Cargas de trabajo seguras de aplicaciones con cortafuegos Palo Alto Networks VM Series

Mueva o amplíe de forma segura las cargas de trabajo de la aplicación desde Oracle E-Business Suite o PeopleSoft en la nube mediante firewalls virtuales de próxima generación (NGFW) de Palo Alto Network VM Series.

Palo Alto Networks VM-Series virtuales NGFW protegen entornos multicolores proporcionando visibilidad y control de tráfico de aplicaciones completas sobre aplicaciones personalizadas, administración y aplicación de políticas consistentes de firewall entre nubes, protección contra amenazas impulsada por máquina y prevención de exfiltraciones, y capacidades automatizadas de despliegue y aprovisionamiento para mantenerse al día con incluso los entornos más dinámicos.

La seguridad en la nube se basa en un modelo de responsabilidad compartida. Oracle es responsable de la seguridad de la infraestructura subyacente, como las instalaciones del centro de datos y el hardware y el software para gestionar las operaciones y los servicios en la nube. Los clientes son responsables de proteger sus cargas de trabajo y configurar sus servicios y aplicaciones de forma segura para cumplir con sus obligaciones de cumplimiento.

Los firewalls de la serie VM de Palo Alto Networks proporcionan una prevención de amenazas constante y seguridad de red en línea en entornos de nube, lo que ayuda a los equipos de seguridad de red a recuperar visibilidad y control sobre el tráfico en sus redes en la nube. Las funciones clave de la serie VM de Palo Alto Networks incluyen firewall de capa 7, suscripciones de seguridad proporcionadas en la nube y gestión de seguridad consolidada.

Descripción de la ilustración pan-advanced-security.png

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden proteger las aplicaciones Oracle, como Oracle E-Business Suite y PeopleSoft, desplegadas en Oracle Cloud Infrastructure mediante firewalls de la serie VM de Palo Alto Networks.

Para proteger estos flujos de tráfico, Palo Alto Networks recomienda segmentar la red utilizando un centro y topología hablada, donde el tráfico se enruta a través de un centro central y está conectado a múltiples redes distintas (radios). Todo el tráfico entre radios, ya sea desde y hacia Internet, desde y hacia las instalaciones, o hacia la red de servicios de Oracle, se enruta a través del hub e inspecciona con las tecnologías de prevención de amenazas de varios niveles de Palo Alto Networks VM Series.

Despliegue cada nivel de la aplicación en su propia red virtual en la nube (VCN), que actúa como hablado. El hub VCN contiene un cluster de alta disponibilidad de firewall Palo Alto Networks VM Series, gateway de Internet Oracle, gateway de enrutamiento dinámico (DRG), gateway de servicio Oracle y gateways de peering locales (LPG).

El hub VCN se conecta a los VCN hablados mediante LPG o mediante la conexión de tarjetas de interfaz de red virtual secundarias (VNIC) al firewall Palo Alto Networks VM Series. Todo el tráfico hablado utiliza reglas de tabla de rutas para enrutar el tráfico a través de los GLP al centro para su inspección por el cluster de alta disponibilidad del firewall de la serie VM de Palo Alto Networks.

Puede configurar y gestionar el cortafuegos Palo Alto Networks VM-Series de forma local o centralizada mediante Panorama, el sistema centralizado de gestión de seguridad Palo Alto Networks. Panorama ayuda a los clientes a reducir la complejidad y la sobrecarga administrativa en la gestión de actualizaciones de configuración, políticas, software y contenido dinámico. Mediante grupos de dispositivos y plantillas en Panorama, puede gestionar eficazmente la configuración específica del firewall localmente en un firewall y aplicar políticas compartidas en todos los firewalls o grupos de dispositivos.

En el siguiente diagrama, se ilustra esta arquitectura de referencia.

Descripción de la ilustración palo_alto_nw_vm_oci.png

Tráfico de entrada Norte-Sur

El siguiente diagrama ilustra cómo el tráfico entrante norte-sur accede a la capa de aplicaciones web desde Internet y desde centros de datos remotos. Esta configuración garantiza que la traducción de direcciones de red (NAT) y las políticas de seguridad estén abiertas en el firewall Palo Alto Networks VM-Series.

Descripción de la ilustración palo_alto_nor_sur _inbound.png

Tráfico de salida Norte-Sur

En el siguiente diagrama se muestra cómo las conexiones salientes de la aplicación web y los niveles de base de datos a Internet proporcionan actualizaciones de software y acceso a servicios web externos. Esta configuración garantiza que el NAT de origen esté configurado en la política de firewall de Palo Alto Networks VM Series para las redes relevantes.

Descripción de la ilustración palo_alto_nor_sur _outbound.png

Tráfico Este-Oeste (Web a Base de Datos)

El siguiente diagrama ilustra cómo el tráfico se mueve de la aplicación web a la capa de base de datos.

Descripción de la ilustración palo_alto_east_west_web_db.png

Tráfico Este-Oeste (Base de Datos a Web)

El siguiente diagrama ilustra cómo el tráfico se mueve de la capa de base de datos a la aplicación web.

Descripción de la ilustración palo_alto_east_west_db_web.png

Tráfico Este-Oeste (Aplicación Web a la Red de Servicios de Oracle)

En el siguiente diagrama, se muestra cómo el tráfico se mueve de la aplicación web a Oracle Services Network. Esta configuración garantiza que ha activado Jumbo Frames en las interfaces de firewall Palo Alto Networks VM Series.

Descripción de la ilustración palo_alto_east_west_webapp_osn.png

Tráfico Este-Oeste (Oracle Services Network to Web Application)

En el siguiente diagrama, se muestra cómo el tráfico se mueve de Oracle Services Network a la aplicación web.

Descripción de la ilustración palo_alto_east_west_osn_webapp.png

La arquitectura tiene los siguientes componentes:

• Cortafuegos Palo Alto Networks VM Series

  Proporciona todas las capacidades de firewalls físicos de próxima generación en forma de máquina virtual (VM), proporcionando seguridad de red en línea y prevención de amenazas para proteger constantemente las nubes públicas y privadas.

• Nivel de aplicación Oracle E-Business Suite u PeopleSoft

  Compuesto por servidores de aplicaciones de Oracle E-Business Suite u PeopleSoft y sistema de archivos.

• Nivel de base de datos Oracle E-Business Suite u PeopleSoft

  Compuesto por Oracle Database, pero no limitado a los servicios de Oracle Database Exadata Cloud Service o Oracle Database.

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlas (entre países o incluso continentes).

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como energía o refrigeración, o la red de dominio de disponibilidad interna. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a otros dominios de disponibilidad de la región.

• Dominios de fallo

  Un dominio de fallos es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de fallos con energía y hardware independientes. Al distribuir recursos entre varios dominios de fallos, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de fallos.

• Red virtual en la nube (VCN) y subredes

  VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes tradicionales de centros de datos, las VCN le proporcionan un control completo sobre su entorno de red. VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear VCN. Puede segmentar VCN en subredes, que se pueden asignar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se superponen con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• VCN de hub

  El hub VCN es una red centralizada en la que se despliegan firewalls Palo Alto Networks VM-Series. Proporciona conectividad segura a todas las VCN habladas, los servicios Oracle Cloud Infrastructure, los puntos finales públicos y los clientes, y las redes de centros de datos locales.

• VCN de nivel de aplicación hablado

  VCN de nivel de aplicación hablado contiene una subred privada para alojar componentes Oracle E-Business Suite o PeopleSoft.

• VCN de nivel de base de datos

  VCN de nivel de base de datos hablado contiene una subred privada para alojar bases de datos Oracle.

• Equilibrador de carga

  El servicio Oracle Cloud Infrastructure Load Balancing proporciona distribución automática del tráfico desde un único punto de entrada hasta varios servidores en el extremo posterior.

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, destino y tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de Direccionamiento

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico de subredes a destinos fuera de VCN, normalmente a través de gateways.

  En el hub VCN, tiene las siguientes tablas de rutas:

  • Tabla de rutas de gestión anexa a la subred de gestión que tiene una ruta por defecto conectada al gateway de Internet.
  • Tabla de rutas de desconfianza asociada a la subred de desconfianza o VCN por defecto para enrutar el tráfico desde el VCN de hub a los destinos de Internet o locales.
  • Tabla de rutas de confianza anexa a la subred de confianza que apunta al bloque CIDR de los VCN hablados a través de los LPG asociados.
  • Tabla de rutas de alta disponibilidad conectada a la subred de alta disponibilidad, que gestiona la alta disponibilidad entre instancias de firewall de la serie VM de Palo Alto Networks.
  • Para cada uno de los parlantes conectados al hub, se define una tabla de rutas distinta y se adjunta a un GLP asociado. Esa tabla de rutas reenvía todo el tráfico (0.0.0.0/0) desde el LPG hablado asociado a través de la interfaz de confianza de firewall de la serie VM de Palo Alto Networks.
  • Tabla de rutas de gateway de servicio Oracle conectada al gateway de servicio Oracle para la comunicación de red de servicios Oracle. Esa ruta reenvía todo el tráfico (0.0.0.0/0) a la interfaz de confianza de Firewall de la serie VM de Palo Alto Networks.
  • Para mantener la simetría de tráfico, también se agregan rutas a cada firewall de Palo Alto Networks VM-Series para apuntar el bloque CIDR de tráfico hablado a la IP de gateway predeterminada de la subred trust (interna) (IP de gateway predeterminada disponible en la subred trust en el hub VCN).
• Gateway de Internet

  El gateway de Internet permite el tráfico entre las subredes públicas en un VCN y el Internet público.

• Gateway de traducción de direcciones de red (NAT)

  Un gateway de NAT permite que los recursos privados de una VCN accedan a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Gateway de intercambio de tráfico local (LPG)

  Un LPG permite emparejar una VCN con otra VCN en la misma región. Peering significa que las VCN se comunican utilizando direcciones IP privadas, sin que el tráfico atraviese Internet o enrutamiento a través de su red local.

• Gateway de direccionamiento dinámico (DRG)

  DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre VCN y una red fuera de la región, como VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor de nube.

• Gateway de servicio

  El gateway de servicio proporciona acceso de VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde VCN al servicio Oracle viaja por el tejido de red Oracle y nunca atraviesa Internet.

• FastConnect

  Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión privada y dedicada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de mayor ancho de banda y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

• Tarjeta de Interfaz de Red Virtual (VNIC)

  Los servicios de los centros de datos de Oracle Cloud Infrastructure tienen tarjetas de interfaz de red física (NIC). Las instancias de máquina virtual se comunican mediante NIC virtuales (VNIC) asociadas a las NIC físicas. Cada instancia tiene una VNIC primaria que se crea y se adjunta automáticamente durante el inicio y está disponible durante la vida útil de la instancia. DHCP solo se ofrece a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Debe definir IP estáticas para cada interfaz.

• IP privadas

  Dirección IPv4 privada e información relacionada para dirigirse a una instancia. Cada VNIC tiene una IP privada primaria y puede agregar y eliminar IP privadas secundarias. La dirección IP privada primaria de una instancia se adjunta durante el inicio de la instancia y no cambia durante la vida útil de la instancia. Las IP secundarias también deben pertenecer al mismo CIDR de la subred de la VNIC. La IP secundaria se utiliza como IP flotante porque puede moverse entre diferentes VNIC en diferentes instancias dentro de la misma subred. También puede utilizarlo como un punto final diferente para alojar diferentes servicios.

• IP públicas

  Los servicios de red definen una dirección IPv4 pública seleccionada por Oracle asignada a una IP privada.

  • Ephemeral: Esta dirección es temporal y existe durante toda la vida de la instancia.
  • Reservado: esta dirección persiste más allá de la duración de la instancia. Se puede anular la asignación y reasignarla a otra instancia.
• Comprobación de origen y de destino

  Cada VNIC realiza la comprobación de origen y destino en su tráfico de red. Al desactivar este indicador, CGNS puede manejar el tráfico de red que no está dirigido al firewall.

• Forma de cálculo

  La forma de una instancia de cálculo especifica el número de CPU y la cantidad de memoria asignada a la instancia. La forma de cálculo también determina el número de VNIC y el ancho de banda máximo disponibles para la instancia de cálculo.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para proteger las cargas de trabajo de Oracle E-Business Suite u PeopleSoft en Oracle Cloud Infrastructure mediante Palo Alto Networks VM Series Firewall. Sus requisitos pueden diferir de la arquitectura descrita aquí.

• VCN

  Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a subredes en VCN. Utilice bloques CIDR que se encuentran dentro del espacio de direcciones IP privadas estándar.

  Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, el centro de datos local u otro proveedor de nube) a la que desee configurar conexiones privadas.

  Después de crear VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

  Cuando diseñe las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos dentro de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  Utilice subredes regionales.

  Verifique el número máximo de LPG por VCN en los límites de servicio, en caso de que desee ampliar esta arquitectura para varios entornos y aplicaciones.

• Cortafuegos Palo Alto Networks serie VM
  • Despliegue un cluster de alta disponibilidad.
  • Siempre que sea posible, despliegue en dominios de fallos distintos en dominios de disponibilidad mínimos o diferentes.
  • Asegúrese de que MTU esté definido en 9000 en todas las VNIC.
  • Utilizar interfaces VFIO.
• Gestión de seguridad de firewall de la serie VM de Palo Alto Networks
  • Si está creando un despliegue alojado en Oracle Cloud Infrastructure, cree una subred dedicada a la gestión.
  • Utilice listas de seguridad o NSG para restringir el acceso entrante a los puertos 443 y 22 originados en Internet para la administración de la política de seguridad y para ver logs y eventos.
• Políticas de cortafuegos de Palo Alto Networks VM Series

  Para obtener más información sobre las políticas, puertos y protocolos de seguridad necesarios, consulte la documentación del firewall de la sección Explorar más.

Consideraciones

Al proteger cargas de trabajo de Oracle E-Business Suite o PeopleSoft en Oracle Cloud Infrastructure mediante el firewall Palo Alto Networks VM Series, tenga en cuenta lo siguiente:

• Rendimiento
  • Al seleccionar el tamaño de instancia adecuado, determinado por la forma de cálculo, se determina el rendimiento máximo disponible, la CPU, el RAM y el número de interfaces.
  • Las organizaciones necesitan saber qué tipos de tráfico atraviesa el medio ambiente, determinar los niveles de riesgo adecuados y aplicar controles de seguridad adecuados según sea necesario. Diferentes combinaciones de controles de seguridad activados afectan al rendimiento.
  • Considere la posibilidad de agregar interfaces dedicadas para servicios de FastConnect o VPN.
  • Considere la posibilidad de utilizar grandes formas informáticas para obtener un mayor rendimiento y acceso a más interfaces de red.
  • Ejecute las pruebas de rendimiento para validar el diseño puede mantener el rendimiento y el rendimiento necesarios.
• Seguridad
  • El despliegue del firewall de la serie VM de Palo Alto Networks en Oracle Cloud Infrastructure permite la configuración centralizada de la política de seguridad y la supervisión de todas las instancias físicas y virtuales de Palo Alto Networks VM Series.
  • Defina un grupo dinámico o una política de Identity and Access Management (IAM) distintos por despliegue de cluster.
• Disponibilidad
  • Despliegue su arquitectura en distintas regiones geográficas para mayor redundancia.
  • Configure VPN de sitio a sitio con redes organizativas relevantes para una conectividad redundante con redes locales.
• Costo
  • Palo Alto Networks VM-Series Firewall está disponible en modelos de licencia bring-your-own-license (BYOL) y pay-as-you-go para el paquete 1 y el paquete 2 en Oracle Cloud Marketplace.
    • El paquete 1 incluye la licencia de capacidad de la serie VM, la licencia de prevención de amenazas y un derecho de soporte premium.
    • El paquete 2 incluye la licencia de capacidad de la serie VM con el conjunto completo de licencias que incluye prevención de amenazas, WildFire, filtrado de URL, seguridad de DNS, GlobalProtect y un derecho de soporte premium.

Desplegar

El código para proteger las cargas de trabajo de Oracle E-Business Suite o PeopleSoft en Oracle Cloud Infrastructure mediante Palo Alto Networks VM Series Firewall está disponible como pila en Oracle Cloud Marketplace.También puede descargar el código de GitHub y personalizarlo para adaptarlo a sus requisitos empresariales específicos.

Oracle recomienda desplegar la arquitectura desde Oracle Cloud Marketplace.

• Desplegar mediante la pila en Oracle Cloud Marketplace:
  1. Configure la infraestructura de red necesaria como se muestra en el diagrama de arquitectura. Consulte Configuración de una topología de red de hub y radios mediante gateways de intercambio de tráfico local.
  2. Despliegue la aplicación (Oracle E-Business Suite u PeopleSoft) en el entorno.
  3. Oracle Cloud Marketplace tiene varias pilas para diferentes configuraciones y requisitos de licencias. Por ejemplo, la siguiente función de pilas trae su propia licencia (BYOL). Para cada pila que elija, haga clic en Obtener aplicación y siga las indicaciones de la pantalla:
     • Cortafuegos de la serie VM Palo Alto Networks: BYOL.
     • Cortafuegos Palo Alto Networks VM Series- Anuncios.
• Desplegar mediante el código Terraform en GitHub:
  1. Vaya al repositorio de GitHub.
  2. Clonar o descargar el repositorio en el equipo local.
  3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre las funciones de esta arquitectura y sobre los recursos relacionados.

• Marco de mejores prácticas para Oracle Cloud Infrastructure

• Obtener más información sobre el despliegue de Oracle E-Business Suite en Oracle Cloud Infrastructure

• Obtenga más información sobre el despliegue de PeopleSoft en Oracle Cloud Infrastructure

• Guía de seguridad de Oracle Cloud Infrastructure