1. Fortinet 보안 패브릭을 통해 Oracle E-Business Suite 업무 보호
  2. Fortinet 보안 패브릭을 통해 Oracle E-Business Suite 워크로드 보호

Fortinet 보안 패브릭을 통해 안전한 Oracle E-Business Suite 업무

Fortinet 보안 패브릭을 사용하여 Oracle E-Business Suite 워크로드를 클라우드로 이동하거나 확장하여 중요한 구성, 통합 또는 비즈니스 프로세스 변경 없이 Oracle Cloud Infrastructure에서 제공하는 네이티브 보안 옵션을 보강합니다.

클라우드의 보안은 공유 책임 모델을 기반으로 합니다. Oracle은 데이터 센터 시설, 하드웨어 및 소프트웨어와 같은 기본 인프라의 보안을 책임지고 클라우드 운영 및 서비스를 관리합니다. 고객은 작업 부하를 보호하고 해당 서비스와 애플리케이션을 안전하게 구성하여 규정 준수 의무를 충족할 수 있습니다.

Oracle Cloud Infrastructure는 동급 최강의 보안 기술 및 운영 프로세스를 제공하여 엔터프라이즈 클라우드 서비스를 보호합니다. Fortinet은 Oracle Cloud Infrastructure와의 기본 통합을 포함하도록 Fortinet 보안 패브릭을 확장하는 엔터프라이즈급 클라우드 보안 솔루션을 제공합니다.

또한 이들은 온프레미스 데이터 센터와 클라우드 환경 전반에서 애플리케이션을 보호함으로써 확장 가능한 성능을 제공하고 고급 보안 통합관리 및 통합 위협 보호 기능을 제공합니다.

구조

이 아키텍처는 허브에 Fortinet 보안 패브릭을 사용하여 Oracle E-Business Suite 워크로드를 배포하고 네트워크 토폴로지를 사용하여 Oracle Cloud Infrastructure에서 제공하는 네이티브 보안 옵션을 보완합니다.

허브 스포크 토폴로지는 중앙화된 네트워크(허브)를 여러 개의 연결된 네트워크(스포크)에 연결하는 네트워킹 패턴입니다. 이러한 네트워크 간의 트래픽은 가용성이 높은 FortiGate 차세대 방화벽을 통해 중앙 집중식 위치를 통해 보안 및 트래픽 검사를 시행합니다. 허브 VCN(가상 클라우드 네트워크)은 네트워크에 들어오고 나가는 트래픽(북부 트래픽)과 네트워크 내의 트래픽(동서부 트래픽)을 위한 중앙 연결 지점입니다. Oracle E-Business Suite 구조의 각 계층은 자체 스포크 VCN에 배포되므로 각 계층 간에 이동하는 모든 패킷을 검사하고 보호할 수 있으므로 보호 계층을 한층 더 늘려 마이크로 세분화합니다.

이 아키텍처는 여러 스포크 연결을 위한 확장성이 뛰어난 모듈식 설계로, 각 스포크 네트워크는 일반적으로 응용 프로그램, 데이터베이스 등 하나의 특정 응용 프로그램 계층을 나타냅니다. 개발, 테스트, 운영 등 다양한 환경과 지역, 온프레미스 데이터 센터, 여러 클라우드 등의 다양한 인프라를 통해 아키텍처를 사용할 수 있습니다.

다음 다이어그램은 이 참조 아키텍처를 보여줍니다.


다음은 ebs-fortinet-oci-architecture.png에 대한 설명입니다.
그림 ebs-fortinet-oci-architecture.png에 대한 설명

ebs-fortinet-oci-architecture.zip

다음과 같은 여러 방법으로 허브 및 스포크 토폴로지를 구현할 수 있습니다.

  • LPG(로컬 피어링 게이트웨이)를 사용한 전송 경로 지정을 활용하여 허브 VCN과 Spoke VCN을 연결합니다.

    각 Spoke VCN에는 모든 트래픽을 LPG로 전달하는 경로 규칙이 있어야 하고, LPG 내에서 허브 VCN에 연결된 FortiGate(플루팅 IP)의 신뢰할 수 없는 IP 주소로 트래픽을 전달하는 다른 경로 규칙이 있어야 합니다.

  • 각 FortiGate VNIC(가상 네트워크 인터페이스 카드)를 각 스포크 VCN에 연결합니다.

    각 스포크 VCN에는 Spoke VCN에 연결된 FortiGate VNIC 전용 IP 주소로 모든 트래픽을 전달하는 경로 규칙이 있어야 합니다.

대상 IP가 VCN CIDR 범위 내에 있는 각 VCN 내의 트래픽은 FortiGate에서 검사되지 않아야 합니다. 따라서 Oracle Cloud Infrastructure는 내부 Oracle Cloud Infrastructure 서브넷 기본 게이트웨이를 통해 대상이 VCN 자체를 직접 전달하는 모든 패킷을 자동으로 대상 IP로 전달합니다.

북남 인바운드 트래픽

인터넷 또는 온프레미스 네트워크에서 시작되는 인바운드 트래픽은 FortiGate 방화벽의 untrust 또는 WAN 인터페이스에 호스팅된 공용 IP 주소에 연결됩니다. 공용 IP 주소(예약 또는 임시)는 Oracle에서 관리하는 NAT IP 주소로, Oracle Cloud Infrastructure의 트러스트되지 않은 서브넷 내의 보조 전용 IP 주소와 연결되어 있습니다. 보조 전용 IP 주소(부동 IP)는 정적으로 FortiGate의 untrust 인터페이스에 지정됩니다. 페일오버가 발생하면 부동 IP가 공용 IP 주소와 함께 다른 호스트로 이동합니다.

패킷 검사 후 인바운드 트래픽은 트러스트 인터페이스를 통해 FortiGate를 유지합니다. 대상 주소는 애플리케이션 계층 Spoke VCN에 배포된 FortiADC 가상 IP 주소입니다. FortiADC는 로드 밸런서 정책을 기반으로 활성 Oracle E-Business Suite 애플리케이션 서버 간 트래픽의 균형을 조정합니다. 이 트래픽은 VCN 내에 있기 때문에 패킷이 대상 호스트로 직접 전달됩니다. 수신 트래픽은 다음 패턴으로 전송됩니다.

  • FortiGate 허브 VCN: FortiGate 신뢰할 수 없는 VNIC부터 FortiGate 신뢰 VNIC까지, Oracle Cloud Infrastructure 신뢰 서브넷의 LPG까지 기본 게이트웨이를 사용합니다.
  • 애플리케이션 계층을 통해 VCN 확장: 애플리케이션 계층 서브넷의 LPG에서 Oracle Cloud Infrastructure FortiADC 서브넷 기본 게이트웨이에서 FortiADC VNIC, 즉 Oracle E-Business Suite 애플리케이션 서버로 전송합니다.

동일한 방화벽을 통해 검사되는 여러 환경의 경우 신뢰할 수 없는 인터페이스와 보안 인터페이스(VNIC)에 여러 보조 IP 주소를 지정할 수 있습니다. 각 전용 IP는 방화벽 정책의 특정 대상 응용 프로그램 또는 환경에 매핑될 수 있는 소스 주소로 사용해야 합니다. 또는 FortiGate에서 각 개별 대상 응용 프로그램 또는 환경을 나타낼 수 있는 서로 다른 가상 IP 또는 포트를 가리키는 포트 전달을 사용하여 대상 NAT 정책을 설정할 수 있습니다.

북남미 아웃바운드 트래픽

FortiGate hub VCN의 아웃바운드 트래픽은 인터넷 게이트웨이를 통해 라우팅됩니다.

Spoke VCN에서 모든 대상으로의 아웃바운드 트래픽은 스포크 VCN LPG에서 허브 VCN의 피어링된 LPG로 라우팅됩니다. 패킷이 허브 VCN에 도달하면 LPG와 연관된 경로가 신뢰 인터페이스의 FortiGate 부동 IP로 트래픽을 전달합니다. 여기서 검사 후 FortiGate는 패킷을 신뢰할 수 없는 서브넷 기본 게이트웨이로 라우팅합니다. 트러스트 서브넷 경로 테이블을 기반으로 인터넷 게이트웨이를 통해 인터넷 또는 온프레미스로 계속됩니다.

동부 트래픽

Oracle은 서브넷 레벨이 아닌 VCN 레벨에서 네트워크를 분할하여 VCN CIDR 블록 내의 모든 트래픽이 내부 Oracle Cloud Infrastructure 서브넷 기본 게이트웨이를 통해 자동으로 경로 지정되므로 이 경로를 겹쳐쓸 수 없도록 East-West 트래픽을 검사할 것을 권장합니다.

스포크 VCN의 동서 트래픽은 스포크 VCN LPG에서 허브 VCN의 피어링된 LPG로 라우팅된 다음 트러스트 인터페이스의 FortiGate 부동 IP로 라우팅됩니다. FortiGate는 수신 트래픽을 검사하고, FortiGate 방화벽 정책을 기반으로 대상 주소를 스포크 VCN의 대상 호스트 또는 패킷을 보낸 소스 호스트로 재설정합니다. 이 트래픽은 FortiGate에서 신뢰 인터페이스를 벗어나서 패킷을 대상 Spoke 데이터베이스 또는 애플리케이션 VCN에 피어링된 LPG의 기본 게이트웨이를 통해 전송됩니다.

구조에는 다음과 같은 구성 요소가 있습니다.

  • Fortinet FortiGate 차세대 방화벽

    FortiGate은 Fortinet의 차세대 방화벽으로, 내부 세그먼트 및 미션 크리티컬 환경을 보호하기 위한 위협 보호, SSL 검사, 매우 짧은 대기 시간 등의 네트워크 및 보안 서비스를 제공합니다. 이 솔루션은 Oracle Cloud Marketplace를 직접 배포하고 성능 향상을 위해 SR-IOV(직접 단일 루트 I/O 가상화)를 지원합니다.

  • Fortinet FortiAnalyzer

    FortiAnalyzer는 중앙 집중식 네트워크 로깅, 분석 및 보고를 통해 데이터 기반 엔터프라이즈 보안 통찰력을 제공하는 FortiGate 서브넷에 배치된 선택적 구성요소입니다.

  • Fortinet FortiManager

    FortiManager는 FortiGate 서브넷에 배치된 선택적 구성 요소로, 네트워크에서 단일 클래스 관리를 제공하고 네트워크 작업에 실시간 및 기록 뷰를 제공합니다.

  • Fortinet FortiADC

    여러 지역에 걸쳐 트래픽을 분산하고 정책 라우팅을 기반으로 컨텐츠를 동적으로 재작성하여 애플리케이션 및 서버 로드 밸런싱, 압축, 캐싱, HTTP 2.0 및 HTTP PageSpeed 최적화를 보장합니다.

  • Oracle E-Business Suite 애플리케이션 계층

    Fortinet FortiADC 로드 밸런서 및 Oracle E-Business Suite 애플리케이션 서버 및 파일 시스템으로 구성됩니다.

  • Oracle E-Business Suite 데이터베이스 계층

    Oracle Database로 구성되었지만 Oracle Exadata Database Cloud 서비스 또는 Oracle Database 서비스로 제한되지 않음.

  • 영역

    Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 현지화된 지리적 영역입니다. 지역은 다른 지역에 독립적이며, 거리가 먼 나라 전체나 대륙을 구분할 수 있습니다.

  • 가용성 도메인

    가용성 도메인은 한 지역 내의 독립형 독립적인 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인에서 장애가 발생해도 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.

  • 결함 도메인

    장애 도메인은 한 가용성 도메인 내 하드웨어와 인프라의 그룹입니다. 각 가용성 도메인에는 독립적인 전원 및 하드웨어의 3개의 장애 도메인이 있습니다. 여러 장애 도메인에 걸쳐 리소스를 분배할 경우 응용 프로그램은 결함 도메인 내에서 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.

  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 Oracle Cloud Infrastructure 지역에서 설정하는 사용자 정의 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경에 대한 완벽한 제어를 제공합니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 영역 또는 가용성 도메인으로 범위가 지정될 수 있는 서브넷으로 분할할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속 주소 범위로 구성됩니다. 서브넷 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • 허브 VCN

    허브 VCN은 FortiGate를 배포해야 하며 모든 스포크 VCN, Oracle Cloud Infrastructure 서비스, 공용 엔드포인트 및 클라이언트, 온프레미스 데이터 센터 네트워크에 대한 연결을 제공할 수 있는 중앙 네트워크입니다. 일반적으로 다음 서브넷으로 구성됩니다.

    • 관리 서브넷: FortiGate의 기본 VNIC가 연결되었으며 FortiGate 제어 평면 작업 및 일반 관리 작업을 담당하는 공용 서브넷입니다.
    • 신뢰할 수 없는 서브넷: 공용 인터넷 또는 고객 온-프레미스 데이터 센터의 수신 트래픽 통신을 위한 게이트웨이 또는 끝점으로 작동하는 FortiGate VNIC 첨부 파일이 포함된 공용 서브넷입니다.
    • 신뢰 서브넷: 허브 VCN에 연결된 LPG로 트래픽을 전달한 다음 트래픽을 적절한 스포크 VCN으로 전달하는 FortiGate VNIC 연결을 포함하는 전용 서브넷입니다. 또한 Spoke VCN로부터 수신 패킷을 수신합니다.
    • 고가용성(HA) 서브넷: 하트비트 또는 고가용성 트래픽 전용 FortiGate VNIC 연결이 포함된 전용 서브넷입니다.
  • 애플리케이션 계층 스포크 VCN

    애플리케이션 계층 Spoke VCN에는 Oracle E-Business Suite 구성요소와 Fortinet FortiADC 로드 밸런서를 호스팅하는 전용 서브넷이 포함되어 있습니다.

  • 데이터베이스 계층 스포크 VCN

    데이터베이스 계층 spoke VCN에는 Oracle 데이터베이스를 호스팅하기 위한 전용 서브넷이 포함되어 있습니다.

  • 로드 밸런서

    Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드의 여러 서버로 자동화된 트래픽 분배를 제공합니다.

  • 보안 목록

    각 서브넷에 대해 서브넷 내부/외부에서 허용해야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.

  • 경로 테이블

    가상 경로 테이블에는 서브넷에서 일반적으로 게이트웨이를 통해 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.

  • 인터넷 게이트웨이

    인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 사이의 트래픽을 허용합니다.

  • NAT(Network Address Translation) 게이트웨이

    NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 접속에 해당 리소스를 노출시키지 않고도 인터넷의 호스트에 액세스할 수 있습니다.

  • 로컬 피어링 게이트웨이(LPG)

    LPG를 사용하면 한 VCN을 같은 지역의 다른 VCN과 피어링할 수 있습니다. 피어링이란 인터넷을 통과하거나 온프레미스 네트워크를 통해 라우팅하는 트래픽 없이 VCN이 전용 IP 주소를 사용하여 통신한다는 의미입니다.

  • DRG(Dynamic Routing Gateway)

    DRG는 VCN과 지역 외부의 네트워크(예: 다른 Oracle Cloud Infrastructure 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 간 전용 네트워크 트래픽 경로를 제공하는 가상 라우터입니다.

  • 서비스 게이트웨이

    서비스 게이트웨이는 VCN에서 다른 서비스(예: Oracle Cloud Infrastructure Object Storage)로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.

  • VPN 접속

    VPN Connect는 온프레미스 네트워크와 VCN 간 사이트 간 IPSec VPN 연결을 Oracle Cloud Infrastructure에 제공합니다. IPSec 프로토콜 제품군은 패킷이 소스에서 대상으로 전송되기 전에 IP 트래픽을 암호화하고 도착 시 트래픽을 해독합니다.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect는 데이터 센터와 Oracle Cloud Infrastructure 간에 전용 개인 연결을 생성하는 간편한 방법을 제공합니다. FastConnect는 더 높은 대역폭 옵션과 인터넷 기반 연결보다 더 신뢰할 수 있는 네트워킹 환경을 제공합니다.

  • VNIC(가상 네트워크 인터페이스 카드)

    Oracle Cloud Infrastructure 데이터 센터의 서비스에는 물리적 네트워크 인터페이스 카드(NIC)가 사용됩니다. 가상 머신 인스턴스는 물리적 NIC와 연관된 VNIC(가상 NIC)를 사용하여 통신합니다. 각 인스턴스에는 실행 중 자동으로 생성 및 연결되는 기본 VNIC가 있으며 인스턴스 수명 동안 사용할 수 있습니다. DHCP는 기본 VNIC에만 제공됩니다. 인스턴스 실행 후 보조 VNIC를 추가할 수 있습니다. 각 인터페이스에 대해 정적 IP를 설정해야 합니다.

  • 전용 IP

    인스턴스 주소 지정을 위한 전용 IPv4 주소 및 관련 정보입니다. 각 VNIC에는 기본 전용 IP가 있으며 보조 전용 IP를 추가 및 제거할 수 있습니다. 인스턴스의 기본 전용 IP 주소는 인스턴스 시작 중에 연결되며 인스턴스 수명 중에는 변경되지 않습니다. 보조 IP도 VNIC 서브넷의 동일한 CIDR에도 속해야 합니다. 보조 IP는 동일한 서브넷 내의 여러 인스턴스에서 서로 다른 VNIC 간에 이동할 수 있으므로 부동 IP로 사용됩니다. 다른 끝점으로 사용하여 다른 서비스를 호스트할 수도 있습니다.

  • 공용 IP

    네트워킹 서비스는 전용 IP에 매핑된 Oracle에서 선택한 공용 IPv4 주소를 정의합니다.

    • 임시: 이 주소는 임시적이며 인스턴스 수명 동안 존재합니다.
    • 예약됨: 이 주소는 인스턴스의 수명을 초과하여 유지됩니다. 할당 해제하고 다른 인스턴스에 다시 할당할 수 있습니다.
  • 소스 및 대상 확인

    모든 VNIC는 해당 네트워크 트래픽에 대해 소스 및 대상 검사를 수행합니다. 이 플래그를 사용 안함으로 설정하면 FortiGate에서 방화벽 대상으로 지정되지 않은 네트워크 트래픽을 처리할 수 있습니다.

  • 컴퓨트 구성

    컴퓨트 인스턴스의 구성은 인스턴스에 할당되는 CPU 수 및 메모리 양을 지정합니다. 컴퓨트 구성은 컴퓨트 인스턴스에 사용할 수 있는 VNIC 수와 최대 대역폭도 결정합니다.

권장 사항

다음 권장 사항을 시작점으로 사용하여 Fortinet 보안 패브릭을 사용하여 Oracle Cloud Infrastructure에서 Oracle E-Business Suite 워크로드를 배포합니다.

  • Oracle E-Business Suite 고가용성

    • 애플리케이션 서버 중복성: 각 계층에는 고가용성 제공을 위해 애플리케이션 서비스, 일괄 처리 서비스 또는 기타 서비스와 같은 다양한 서비스에 대해 사용으로 설정할 수 있는 Oracle E-Business Suite 애플리케이션 서버의 중복 인스턴스가 포함되어 있습니다.

    • 결함 허용: 각 계층의 서버 노드는 다중 가용성 도메인이 있는 지역의 서로 다른 가용성 도메인에 배치됩니다. 단일 가용성 도메인 영역에서 서버 노드를 다른 결함 도메인에 배치할 수 있습니다. 모든 인스턴스는 논리 호스트 이름으로 구성되고 로드 밸런서로부터 트래픽을 수신합니다.

    • Database redundancy: For performance and high-availability requirements, Oracle recommends that you use two-node Oracle real application cluster (RAC) database systems on Oracle Cloud Infrastructure Compute at a minimum or Oracle Database Exadata Cloud Service in Oracle Cloud Infrastructure.

  • FortiGate 고가용성

    세션 복제를 유지 관리하고 중단된 경우 통신을 재개하려면 능동-수동 고가용성 모드로 FortiGate를 배포하고 신뢰 및 신뢰할 수 없는 인터페이스에 대해 보조 VNIC에서 소스 및 대상 검사를 사용 안함으로 설정합니다. 고가용성 또는 하트비트 트래픽용 전용 인터페이스 및 서브넷을 만듭니다.

    보조 IP는 페일오버 이벤트 중 사용됩니다. FortiGate을 사용하면 Oracle Cloud API를 호출하여 이 IP를 기본 호스트에서 보조 FortiGate 호스트로 이동할 수 있습니다.

  • FortiADC 고가용성

    FortiADC은 활성-활성-VRRP 고가용성 모드로 배치하며, 프로토콜 자체는 아니지만 가상 라우터 중복 프로토콜(VRRP)의 개념을 기반으로 합니다. 이 모드는 다른 고가용성 모드와 마찬가지로 구성 동기화 및 세션 동기화를 허용합니다. 내부 인터페이스에 대해 보조 VNIC에서 소스/대상 검사 건너뛰기 옵션을 사용으로 설정합니다.

  • VCN

    VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수를 기반으로 필요한 CIDR 블록 수 및 각 블록의 크기를 확인하십시오. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.

    전용 접속을 설정할 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.

    VCN을 생성한 후에는 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.

    서브넷을 설계할 때는 트래픽 플로우와 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결하여 보안 경계 역할을 할 수 있습니다.

    지역 서브넷을 사용합니다.

    여러 환경 및 애플리케이션을 위해 이 아키텍처를 확장하려는 경우 서비스 한도 내 VCN당 최대 LPG 수를 확인하십시오.

  • 보안 목록

    보안 목록을 사용하여 전체 서브넷에 적용되는 수신 및 송신 규칙을 정의합니다.

    기본적으로 보안 규칙은 Stateful이며, 해당 규칙과 일치하는 연결 추적을 사용하도록 나타내는 데 사용되는 방식입니다. 따라서 트래픽의 응답이 추적되고 송신 규칙에 관계없이 원래 호스트로 다시 허용됩니다.

    FortiGate next-gen 방화벽은 모든 트래픽을 검사하므로 보안 목록을 통해 엄격한 규칙을 적용할 필요가 없습니다. 데이터 보호의 두 번째 장벽으로 사용될 수 있지만 필요하지는 않습니다. FortiGate 구성을 관리하는 경우에만 SSH 및 HTTPS 트래픽 또는 필요할 수 있는 추가 서비스를 허용하는 보안 목록을 만듭니다. 방화벽을 통과하는 허브와 Spoke VCN의 모든 나머지 트래픽에 대해 모든 포트 및 프로토콜에 대한 수신 및 송신 트래픽을 허용하도록 기본 보안 목록을 수정합니다.

  • FortiGate 방화벽 정책

    방화벽 정책은 방화벽을 통한 트래픽 흐름을 제어하는 완성된 지침 집합입니다. 이러한 지침은 트래픽이 발생하는 위치, 트래픽 처리 방법, 처리 방법 및 FortiGate를 통과하도록 허용되는지 여부도 제어합니다. 방화벽은 연결 패킷을 받으면 패킷의 소스 주소, 대상 주소 및 서비스를 포트 번호별로 분석합니다. 또한 수신 및 송신 인터페이스를 등록합니다. 정책과 연관된 수락 또는 거부 작업도 있습니다. 작업이 수락되면 정책이 통신 세션을 허용합니다. 그렇지 않으면 정책 작업이 통신 세션을 차단합니다.

    Oracle E-Business Suite에는 다음 포트 및 프로토콜을 사용하는 정책이 열려 있어야 합니다.

    구성요소 프로토콜 포트
    애플리케이션 계층 VCN: 웹 서버 TCP/HTTPS 443
    애플리케이션 웹 입력 포트 TCP 8000
    WebLogic 관리 서버 TCP 7001, 7002
    데이터베이스 계층: TNSListener TCP 1521–1522
    MWA Telnet(MWA를 사용하는 경우) TCP 10200–10205
    MWA 디스패처(MWA를 사용하는 경우) TCP 10800
    Oracle Cloud Infrastructure 이메일(Oracle 이메일 딜리버리를 사용하는 경우) TCP 25 또는 587

    FFS(파일 스토리지 서비스)

    해당하는 경우

    TCP

    UDP

    111, 2048, 2049 및 2050

    111 및 2048

    예를 들어, East-West 트래픽을 모니터하기 위해 FortiGate 보안 인터페이스에 대한 정책을 생성하여 응용 프로그램과 데이터베이스 계층 간의 트래픽을 허용할 수 있습니다.

    특정 소스 IP 주소 또는 네트워크에서 Oracle E-Business Suite에 대한 액세스를 허용하거나 제한하는 가상 IP 주소를 가리키는 대상 NAT를 사용하여 정책을 생성할 수도 있습니다.

  • FortiGate 정적 경로 지정 정책

    각 스포크 VCN(대상)에 대해 FortiGate에서 정적 경로를 생성하고 게이트웨이 IP를 신뢰할 수 있는 서브넷 기본 게이트웨이 주소인 트러스트 서브넷 CIDR의 첫번째 호스트 IP 주소로 설정합니다.

    아웃바운드 접속의 경우 아웃바운드 트래픽용 FortiGate에 정적 경로를 생성하고 게이트웨이 IP를 신뢰할 수 없는 서브넷 기본 게이트웨이 주소인 신뢰할 수 없는 서브넷 CIDR의 첫번째 호스트 IP 주소로 설정합니다.

  • Oracle Cloud Infrastructure VCN 라우팅 테이블

    북쪽 및 동쪽 트래픽 검사에 대해 다음 경로 테이블을 생성합니다.

    VCN 이름 대상 대상 유형 대상 서브넷에 대한 기본 경로 테이블
    FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 인터넷 게이트웨이 <FortiGate VCN Internet Gateway>

    신뢰할 수 없음

    관리
    FortiGate FortiGate_Trust-route_table <WebApp_Tier VCN CIDR> 로컬 피어링 게이트웨이 <LPG-WebApp_Tier>
    FortiGate FortiGate_Trust-route_table <DB_Tier VCN CIDR> 로컬 피어링 게이트웨이 <LPG-DB_Tier>
    FortiGate LPG-route_table 0.0.0.0/0 전용 IP <FortiGate Trust VNIC Private IP (floating IP)> 해당 사항 없음
    WebApp_Tier 기본 경로 테이블 0.0.0.0/0 해당 사항 없음 <LPG-WebApp_Tier-to-Hub> 해당 사항 없음
    DB_Tier 기본 경로 테이블 0.0.0.0/0 해당 사항 없음 <LPG-DB_Tier-to-Hub> 해당 사항 없음
  • Oracle Cloud Infrastructure VCN 로컬 피어링 게이트웨이

    다음과 같은 로컬 피어링 게이트웨이(LPG)를 생성하여 북-남/동부/서부 커뮤니케이션을 허용합니다.

    • FortiGate VCN LPG 설정:

      이름 경로 지정 테이블 피어 보급 CDIR 교차 테넌시
      LPG-WebApp_Tier LPG-route_table WebApp_Tier VCN CIDR 아닙니다
      LPG-DB_Tier LPG-route_table DB_Tier VCN CIDR 아닙니다
    • WebApp 계층 VCN LPG 설정:
      이름 경로 지정 테이블 피어 보급 CDIR 교차 테넌시
      LPG-WebApp_Tier-to-Hub 해당 사항 없음 0.0.0.0/0 아닙니다
    • 데이터베이스 계층 VCN LPG 설정:
      이름 경로 지정 테이블 피어 보급 CDIR 교차 테넌시
      LPG-DB-Tier-to-Hub 해당 사항 없음 0.0.0.0/0 아닙니다
  • FortiADC 서버 로드 균형 조정

    FortiADC는 고가용성 모드의 애플리케이션 계층과 동일한 VCN에 배포되어야 합니다. 사용자가 애플리케이션 서버와의 지속 세션 상태를 유지할 수 있도록 HTTP 헤더 및 쿠키를 사용하여 특정 지속성 방법으로 구성해야 합니다. 지속성 유형 "쿠키 삽입"을 사용하면 HTTP 헤더 내에 쿠키를 삽입할 FortiADC이 지정됩니다. 이 쿠키는 클라이언트와 함께 FortiADC 세션 ID를 생성하고 모든 후속 요청이 동일한 백엔드 Oracle E-Business Suite 애플리케이션 서버로 전달되도록 합니다. "쿠키 삽입" 유형의 지속성을 만든 후 가상 서버 구성과 연결합니다.

고려 사항

Fortinet Security Fabric을 사용하여 클라우드에 Oracle E-Business Suite 워크로드를 배포함으로써 Oracle Cloud Infrastructure에서 제공하는 네이티브 보안 옵션을 보강할 때 다음 사항을 고려하십시오.

  • 성능

    FortiGate는 이 아키텍처의 주요 구성 요소이며 FortiGate 모델, 컴퓨트 구성 및 실행 옵션의 선택은 작업 로드 성능에 영향을 줄 수 있습니다. FortiGate 데이터 시트의 각 사양으로 모델 목록을 확인합니다.

  • 보안

    고가용성을 위해서는 FortiGate에서 Oracle Cloud Infrastructure IAM 동적 그룹 또는 API 서명 키를 사용하여 페일오버가 발생하는 경우 API 호출을 수행할 수 있습니다. 보안 및 규정 준수 요구사항을 기반으로 정책을 설정합니다.

  • 가용성

    이 지역에 여러 가용성 도메인이 있을 때마다 고가용성을 유지하려면 클러스터의 각 호스트를 다른 가용성 도메인에 배포합니다. 그렇지 않으면 반친화력 규칙에 따라 가용성을 늘릴 다른 장애 도메인을 선택하십시오. 이 규칙은 Fortinet 및 Oracle 제품에 모두 유효합니다.

  • 비용

    Fortinet FortiGate 및 FortiADC는 Oracle Cloud Marketplace에서 제공됩니다. Fortinet FortiGate은 BYOL(자체 라이센스 적용) 또는 유료 제공 서비스로 제공됩니다. Fortinet FortiADC는 BYOL로만 제공됩니다.

배치

Fortinet 보안 패브릭을 사용하여 클라우드에서 Oracle E-Business Suite 워크로드를 배포하려면 다음 단계를 수행하십시오.
  1. Set up the required networking infrastructure as shown in the architecture diagram. See Set up a hub-and-spoke network topology by using local peering gateways.
  2. 환경에 Oracle E-Business Suite를 배포합니다.
  3. Choose from the following stacks in Oracle Cloud Marketplace. For each stack you choose, click Get App and follow the on-screen prompts:

추가 탐색

이 구조의 기능 및 관련 리소스에 대해 자세히 알아봅니다.

로그 변경

이 로그는 중요한 변경 사항을 나열합니다.