1. Aplicaciones web seguras alojadas en Oracle Cloud VMware Solution con certificados de OCI
  2. Aplicaciones web seguras alojadas en Oracle Cloud VMware Solution con certificados OCI

Aplicaciones web seguras alojadas en Oracle Cloud VMware Solution con OCI Certificates

Publique sus aplicaciones esenciales de forma segura integrando Oracle Cloud VMware Solution con Oracle Cloud Infrastructure Certificates y Oracle Cloud Infrastructure Load Balancing (LBaaS).

En el panorama en constante evolución de la computación en la nube, dos componentes críticos han surgido como pilares esenciales para optimizar el rendimiento, la seguridad y la escalabilidad de las aplicaciones web: equilibradores de carga y certificados SSL / TLS. Estos elementos desempeñan un papel fundamental para garantizar un funcionamiento fluido, la integridad de los datos y la confianza del usuario en el entorno de nube.

Los equilibradores de carga distribuyen el tráfico de red entrante entre varios servidores o instancias para evitar que un único servidor se vea abrumado, lo que garantiza un uso y una capacidad de respuesta óptimos.

Con las redes que atraviesan los datos, garantizar su confidencialidad e integridad es crucial. Aquí es donde entran en juego los certificados SSL/TLS. Estos certificados digitales se utilizan para negociar un canal de comunicación cifrado, protegiéndolo contra intrusiones, manipulaciones o accesos no autorizados.

La unión de equilibradores de carga y certificados SSL/TLS dentro de la infraestructura en la nube es una potente combinación. Los equilibradores de carga garantizan que el tráfico se distribuya de manera eficiente, optimizan el rendimiento y evitan las sobrecargas, mientras que los certificados SSL/TLS protegen las transmisiones de datos, protegen la confidencialidad y la integridad. Esta sinergia no solo mejora la experiencia del usuario final, sino que también contribuye significativamente a la estrategia de seguridad general de los servidores web alojados en Oracle Cloud VMware Solution.

Oracle Cloud VMware Solution proporciona un entorno en la nube basado en VMware nativo gestionado por el cliente, instalado en el arrendamiento de un cliente y ofrece un control completo con herramientas VMware conocidas.

Oracle Cloud Infrastructure (OCI) es una oferta de infraestructura como servicio (IaaS) de última generación diseñada sobre principios de diseño que priorizan la seguridad. Estos principios incluyen virtualización de red aislada e implementación prístina de host físico, que antes eran difíciles de lograr con diseños de nube pública anteriores. Con estos principios de diseño, OCI ayuda a reducir el riesgo de amenazas persistentes avanzadas.

Esta arquitectura de referencia describe las opciones de integración de Oracle Cloud VMware Solution con OCI Certificates y Oracle Cloud Infrastructure Load Balancing (LBaaS) que permiten a los clientes publicar de forma segura sus aplicaciones esenciales. Sin embargo, LBaaS también se puede utilizar sin servicio de certificado.

Arquitectura

Esta arquitectura de referencia lógica se centra en el uso de OCI Certificates frente a los servidores web que se ejecutan dentro de las cargas de trabajo de Oracle Cloud VMware Solution.

Los certificados se generan mediante certificados de OCI nativos y los utiliza el equilibrador de carga de capa 7 de OCI para la descarga de SSL. Los servidores web se ejecutan dentro del SDDC de Oracle Cloud VMware Solution en forma de máquinas virtuales (VM).

Este diagrama lógico representa el flujo de tráfico general que representa la descarga de SSL en el equilibrador de carga de capa 7 de OCI y es de confianza para los certificados emitidos por los OCI Certificates.


Descripción de ocvs-traffic-flow-diagram.png
Descripción de la ilustración ocvs-traffic-flow-diagram.png

ocvs-tráfico-flujo-diagrama-oracle.zip

En el siguiente diagrama se muestran los dos tipos de opciones de conectividad de red del equilibrador de carga de OCI a los servidores web alojados en el SDDC de Oracle Cloud VMware Solution. También muestra la emisión de certificados SSL de la autoridad de certificación (CA) que se ejecuta en OCI para un acceso seguro a los servidores web integrándolos con el equilibrador de carga de OCI.

Note:

Los certificados emitidos por OCI Certificates solo se pueden utilizar en el equilibrador de carga de OCI y la funcionalidad no se puede ampliar hasta los servidores web para SSL completo.

Cuando se trata de conectar los servidores web alojados en Oracle Cloud VMware Solution a la red virtual en la nube, tiene dos opciones de conectividad:

  • Segmentos NSX
  • Grupos de puertos respaldados por red de área local virtual (VLAN)

Los segmentos NSX aprovechan las redes definidas por software (SDN) para crear redes aisladas y segmentadas lógicamente. Este enfoque aporta varios beneficios:

  • Micro-segmentación: los segmentos NSX permiten la micro-segmentación, permitiendo el aislamiento y la seguridad de las cargas de trabajo individuales.
  • Escalado dinámico: los segmentos NSX son altamente escalables y se pueden aprovisionar a demanda, acomodando los cambios en el tráfico de red y los requisitos de carga de trabajo.
  • Agrupación lógica: las máquinas virtuales se pueden agrupar según los niveles de aplicación o los requisitos de seguridad, y las políticas se pueden aplicar a nivel de segmento, lo que garantiza una aplicación coherente en toda la red.
  • Gestión mejorada: NSX proporciona gestión centralizada para la configuración de red, las políticas de seguridad y los flujos de tráfico.

A diferencia de la naturaleza dinámica de los segmentos NSX, los grupos de puertos respaldados por VLAN utilizan la tecnología VLAN tradicional para aislar las máquinas virtuales dentro de un entorno virtualizado. Estas son algunas características clave de este enfoque:

  • Simplicidad y familiaridad: para las organizaciones que ya están familiarizadas con las VLAN, el uso de grupos de puertos respaldados por VLAN puede ser sencillo y familiar, lo que requiere un entrenamiento adicional mínimo.
  • Uso compartido de recursos: aunque las VLAN pueden aislar el tráfico de red, es posible que no proporcionen el mismo nivel de granularidad que los segmentos NSX cuando se trata de aplicación de políticas y microsegmentación.

Selección del Enfoque Correcto

La decisión de utilizar segmentos NSX o grupos de puertos respaldados por VLAN depende de varios factores, incluidas las necesidades específicas de una organización, la infraestructura existente y los requisitos de seguridad.

Los segmentos NSX y los grupos de puertos respaldados por VLAN ofrecen ventajas distintas en la gestión de máquinas virtuales dentro de un entorno virtualizado. Los segmentos NSX destacan por su capacidad para proporcionar microsegmentación, escalado dinámico y gestión centralizada, mientras que los grupos de puertos respaldados por VLAN ofrecen simplicidad y familiaridad para aquellos que ya están acostumbrados a las redes VMware tradicionales.

En las siguientes secciones, mostraremos aspectos de conectividad LBaaS a servidores web desplegados en segmentos NSX y grupos de puertos respaldados por VLAN.

Servidores web conectados al segmento de superposición de NSX

Conecte aspectos del equilibrador de carga de OCI con servidores web conectados al segmento de superposición de NSX en OCVS y utilice OCI Certificates para emitir los certificados para la publicación segura de los servidores web que se ejecutan en OCVS.

El objetivo principal de esta arquitectura de referencia es mostrar el siguiente objetivo.

  • Aspecto de conectividad del equilibrador de carga de OCI con servidores web conectados al segmento de superposición de NSX en el SDDC de Oracle Cloud VMware Solution.
  • Uso de Certificate Manager para emitir los certificados para la publicación segura de los servidores web que se ejecutan en el SDDC Oracle Cloud VMware Solution.

La arquitectura de los servidores web conectados al segmento de red de superposición NSX se ilustra a continuación.


Descripción de web-server-nsx-diagram.png siguiente
Descripción de la ilustración web-server-nsx-diagram.png

web-server-nsx-diagrama-oracle.zip

Componentes de arquitectura

La arquitectura tiene los siguientes componentes.

  • Oracle Cloud VMware Solution: entorno del arrendamiento del cliente donde se alojan los servidores web.
    • Segmento de superposición de NSX: el segmento de superposición de NSX ofrece conectividad de red a los servidores web.
    • Enrutador de nivel 0: enrutador lógico que proporciona servicios de puerta de enlace entre la red lógica y física (Norte-Sur).
    • Enrutador de nivel 1: los segmentos de superposición NSX están conectados al enrutador de nivel 1 y controlan el tráfico de este a oeste.
    • VLAN de enlace superior de NSX Edge 1: esta VLAN es una interfaz entre la red subyacente de OCI y la red de superposición de NSX para conectar la comunicación entre redes de superposición (NSX) y de superposición (VCN).
    • Servidores web: los servidores web son las máquinas virtuales desplegadas dentro del SDDC Oracle Cloud VMware Solution.
  • Equilibrador de carga de OCI (LBaaS): equilibrador de carga de capa 7 de OCI que equilibra el tráfico hacia los servidores web. La IP pública o la IP proporcionada por OCI se pueden utilizar con el equilibrador de carga.
    • Comprobación del sistema: los servidores web de backend se configuran con comprobaciones del sistema HTTP.
    • Listener: el listener está configurado con HTTPS para la descarga de SSL.
  • Servicio OCI Certificate Manager: el servicio OCI Certificate Manager ayuda a proporcionar acceso seguro SSL/TLS a servidores, aplicaciones web, etc. El administrador puede crear y gestionar jerarquías de autoridades de certificación (CA) privadas y certificados TLS que se integren con el equilibrio de carga de OCI.
    • Autoridad de certificación (CA): las autoridades de certificación privadas están configuradas para emitir los certificados.
    • Vault: los almacenes proporcionan el cifrado creciente de datos y aplicaciones con almacenamiento de claves escalable.
    • Clave: RSA (clave asimétrica) con modo HSM es la única clave admitida para certificados.

Servidores web conectados a la red VLAN

Conecte el equilibrador de carga de OCI con servidores web conectados a vSphere DvPortGroup respaldados por la red VLAN y utilice OCI Certificates para emitir los certificados para la publicación segura de servidores web que se ejecutan en el SDDC de OCVS.

El objetivo principal de esta arquitectura de referencia es mostrar el siguiente objetivo.

  • Aspecto de conectividad del equilibrador de carga de OCI con servidores web conectados a vSphere DvPortGroup respaldados por la red VLAN.
  • Uso de OCI Certificate Manager para emitir los certificados para la publicación segura de los servidores web que se ejecutan en el SDDC de Oracle Cloud VMware Solution.

La arquitectura de los servidores web conectados a la red respaldada por VLAN se muestra a continuación.


Descripción de web-server-vlan-diagram.png siguiente
Descripción de la ilustración web-server-vlan-diagram.png

web-server-vlan-diagrama-oracle.zip

Componentes de arquitectura

La arquitectura tiene los siguientes componentes.

  • Oracle Cloud VMware Solution: entorno del arrendamiento del cliente donde se alojan los servidores web.
    • Red VLAN: VLAN dedicada creada en la VCN de Oracle Cloud VMware Solution para los servidores web. Esta red se considera una red subyacente.
    • vSphere Conmutador distribuido (VDS): conmutador virtual en vCenter para proporcionar capacidades de red virtual a las cargas de trabajo de Oracle Cloud VMware Solution.
    • Grupo de puertos distribuidos vSphere: opciones de configuración de puertos para cada puerto miembro. Red respaldada por VLAN para representar la base de las cargas de trabajo de Oracle Cloud VMware Solution.
    • Servidores web: los servidores web son las máquinas virtuales desplegadas dentro del SDDC Oracle Cloud VMware Solution.
  • Equilibrador de carga de OCI (LBaaS): equilibrador de carga de capa 7 de OCI que equilibra el tráfico hacia los servidores web. La IP pública o la IP proporcionada por OCI se pueden utilizar con el equilibrador de carga.
    • Comprobación del sistema: los servidores web de backend se configuran con comprobaciones del sistema HTTP.
    • Listener: el listener está configurado con HTTPS para la descarga de SSL.
  • Certificados de OCI: los certificados de OCI ayudan a proporcionar acceso seguro SSL/TLS a servidores, aplicaciones web, etc. El administrador puede crear y gestionar jerarquías de autoridades de certificación (CA) privadas y certificados TLS que se integren con el equilibrio de carga de OCI.
    • Autoridad de certificación (CA): autoridades de certificación privadas configuradas para emitir los certificados.
    • Vault: los almacenes proporcionan el cifrado creciente de datos y aplicaciones con almacenamiento de claves escalable.
    • Clave: RSA (clave asimétrica) con modo HSM es la única clave admitida para certificados.

Acerca de los servicios necesarios

Esta solución requiere los siguientes servicios:

  • Oracle Cloud VMware Solution
  • Equilibrio de carga de OCI
  • Certificados de OCI

Estos son los roles necesarios para cada servicio.

Nombre de servicio Necesario para...
Oracle Cloud VMware Solution Ejecute cargas de trabajo con VMware vSphere.
Equilibrio de carga de OCI Tráfico de equilibrio de carga.
Certificados de OCI Emitir y gestionar certificados.

Consulte Productos, soluciones y servicios de Oracle para obtener lo que necesita.