Carichi di lavoro sicuri con Palo Alto Networks VM-Series Firewall

Spostare o estendere in modo sicuro i carichi di lavoro dell'applicazione da Oracle E-Business Suite o PeopleSoft nel cloud utilizzando i firewall virtuali di nuova generazione della serie VM Palo Alto Network (NGFWs).

Le NGFW virtuali della serie VM Palo Alto Networks proteggono ambienti multicolori fornendo visibilità e controllo completi del traffico delle applicazioni su applicazioni personalizzate, gestione coerente dei firewall cross-cloud e applicazione delle politiche, protezione contro le minacce e prevenzione delle esfiltrazioni alimentate da lingua elettronica e funzionalità automatizzate di distribuzione e provisioning per tenere il passo con gli ambienti più dinamici.

La sicurezza nel cloud si basa su un modello di responsabilità condivisa. Oracle è responsabile della sicurezza dell'infrastruttura di base, ad esempio le funzionalità dei data center, l'hardware e il software per la gestione delle operazioni e dei servizi cloud. I clienti sono responsabili della sicurezza dei carichi di lavoro e configurano i propri servizi e applicazioni in modo sicuro per soddisfare i propri obblighi di conformità.

I firewall della serie VM Palo Alto Networks forniscono una prevenzione costante delle minacce e la sicurezza della rete in linea in tutti gli ambienti cloud, aiutando i team di sicurezza della rete a recuperare visibilità e controllo sul traffico nelle loro reti cloud. Le funzioni chiave della serie VM Palo Alto Networks includono firewall Layer 7, sottoscrizioni di sicurezza con distribuzione cloud e gestione della sicurezza consolidata.

Descrizione dell'immagine pan-advanced-security.png

Architettura

Questa architettura di riferimento illustra come le organizzazioni possono proteggere le applicazioni Oracle, ad esempio Oracle E-Business Suite e PeopleSoft, distribuite in Oracle Cloud Infrastructure utilizzando i firewall della serie VM Palo Alto Networks.

Per proteggere questi flussi di traffico, Palo Alto Networks consiglia di segmentare la rete utilizzando un hub e una topologia parlata, dove il traffico viene instradato attraverso un hub centrale ed è collegato a più reti distinte (raggi). Tutto il traffico tra i raggi, da e per Internet, da e verso il locale, o verso la rete Oracle Services, viene instradato attraverso l'hub e ispezionato con le tecnologie di prevenzione delle minacce multistrato del firewall della serie VM Palo Alto Networks.

Distribuire ogni livello dell'applicazione nella propria rete cloud virtuale (VCN), che funge da spoke. L'hub VCN contiene un cluster ad alta disponibilità di firewall della serie VM Palo Alto Networks, un gateway Internet Oracle, un gateway di instradamento dinamico (DRG), un gateway dei servizi Oracle e gateway di peering locale (LPG).

L'hub VCN si connette ai VCN parlati tramite LPG o collegando schede VNIC (Virtual Network Interface Card) secondarie al firewall della serie VM Palo Alto Networks. Tutto il traffico parlato utilizza le regole della tabella di instradamento per instradare il traffico attraverso gli LPG all'hub per l'ispezione da parte del cluster ad alta disponibilità del firewall della serie VM Palo Alto Networks.

È possibile configurare e gestire il firewall Palo Alto Networks VM-Series localmente o centralmente utilizzando Panorama, il sistema centralizzato di gestione della sicurezza Palo Alto Networks. Panorama aiuta i clienti a ridurre la complessità e i costi comuni amministrativi nella gestione di configurazione, criteri, software e aggiornamenti dinamici dei contenuti. Utilizzando i gruppi di dispositivi e i modelli su Panorama, è possibile gestire in modo efficace la configurazione specifica del firewall in locale su un firewall e applicare i criteri condivisi in tutti i firewall o gruppi di dispositivi.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine palo_alto_nw_vm_oci.png

Traffico in entrata Nord-Sud

Il seguente diagramma illustra come il traffico in entrata nord-sud accede al livello dell'applicazione Web da Internet e dai data center remoti. Questa configurazione garantisce che la traduzione degli indirizzi di rete (NAT) e i criteri di sicurezza siano aperti sul firewall Palo Alto Networks VM-Series.

Descrizione dell'immagine palo_alto_north_South_inbound.png

Traffico in uscita Nord-Sud

Il diagramma riportato di seguito illustra in che modo le connessioni in uscita dall'applicazione Web e dai livelli di database a Internet forniscono aggiornamenti software e accesso a servizi Web esterni. Questa configurazione garantisce che la NAT di origine sia configurata nel criterio del firewall della serie VM Palo Alto Networks per le reti pertinenti.

Descrizione dell'immagine palo_alto_north_South_outbound.png

Traffico est-ovest (dal Web al database)

Nel diagramma seguente viene illustrato come il traffico passa dall'applicazione Web al livello di database.

Descrizione dell'immagine palo_alto_east_west_web_db.png

Traffico est-ovest (da database a Web)

Il diagramma riportato di seguito illustra come il traffico si sposta dal livello di database all'applicazione Web.

Descrizione dell'immagine palo_alto_east_west_db_web.png

Traffico est-ovest (Web Application to Oracle Services Network)

Nel diagramma riportato di seguito viene illustrato come il traffico passa dall'applicazione Web alla rete Oracle Services. Questa configurazione assicura di aver abilitato Jumbo Frames nelle interfacce firewall della serie VM Palo Alto Networks.

Descrizione dell'immagine palo_alto_east_west_webapp_osn.png

Traffico est-ovest (rete di servizi Oracle all'applicazione Web)

Nel diagramma riportato di seguito viene illustrato il modo in cui il traffico passa dalla rete Oracle Services all'applicazione Web.

Descrizione dell'immagine palo_alto_east_west_osn_webapp.png

L'architettura contiene i componenti riportati di seguito.

• Firewall della serie VM Palo Alto Networks

  Fornisce tutte le funzionalità dei firewall fisici di nuova generazione in una macchina virtuale (VM), fornendo sicurezza di rete in linea e prevenzione delle minacce per proteggere in modo coerente i cloud pubblici e privati.

• Livello applicazione Oracle E-Business Suite o PeopleSoft

  Composto da server applicazioni e file system Oracle E-Business Suite o PeopleSoft.

• Livello database Oracle E-Business Suite o PeopleSoft

  Composto da Oracle Database, ma non limitato ai servizi Oracle Database Exadata Cloud Service o Oracle Database.

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni, e vaste distanze possono separarle (tra paesi o addirittura continenti).

• Domini di disponibilità

  I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità vengono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza di errore. I domini di disponibilità non condividono infrastrutture quali l'alimentazione o il raffreddamento o la rete di dominio di disponibilità interna. È quindi improbabile che un errore a un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

• Domini di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando si distribuiscono risorse su più domini di errore, le applicazioni possono tollerare errori fisici del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Un VCN è una rete customizzabile e definita dal software impostata in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, i VCN consentono di controllare completamente l'ambiente di rete. Un VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo la creazione di VCN. È possibile segmentare un VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet in VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Hub VCN

  L'hub VCN è una rete centralizzata in cui vengono distribuiti i firewall della serie VM Palo Alto Networks. Fornisce connettività sicura a tutti i VCN spoke, ai servizi Oracle Cloud Infrastructure, agli endpoint pubblici e ai client e alle reti di data center in locale.

• Il livello applicazione ha parlato di VCN

  Il livello applicazione parlava VCN contiene una subnet privata per ospitare i componenti Oracle E-Business Suite o PeopleSoft.

• Il livello di database ha parlato di VCN

  Il livello di database spoke VCN contiene una subnet privata per l'hosting dei database Oracle.

• Bilanciatore di carico

  Il servizio Oracle Cloud Infrastructure Load Balancing fornisce la distribuzione automatica del traffico da un singolo punto di accesso a più server nel backend.

• Lista di sicurezza

  Per ogni subnet è possibile creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Tabella di instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni al di fuori di un VCN, in genere tramite gateway.

  Nell'hub VCN sono disponibili le tabelle di instradamento riportate di seguito.

  • Tabella di instradamento di gestione collegata alla subnet di gestione con un instradamento predefinito connesso al gateway Internet.
  • Non visualizzare la tabella di instradamento collegata alla subnet non sicura o a VCN predefinito per l'instradamento del traffico dall'hub VCN alle destinazioni Internet o in locale.
  • Tabella di instradamento sicuro collegata alla subnet trust che punta al blocco CIDR dei VCN spoke tramite i LPG associati.
  • Tabella di instradamento ad alta disponibilità collegata alla subnet ad alta disponibilità, che gestisce l'elevata disponibilità tra le istanze VM-Series Firewall Palo Alto Networks.
  • Per ogni spoke collegato all'hub, viene definita una tabella di instradamento distinta e collegata a un GPL associato. La tabella di instradamento inoltra tutto il traffico (0.0.0.0/0) dall'LPG parlato associato tramite l'interfaccia di sicurezza VM-Series Firewall Palo Alto che galleggia IP.
  • Tabella di instradamento del gateway del servizio Oracle collegata al gateway del servizio Oracle per la comunicazione di rete Oracle Services. L'instradamento inoltra tutto il traffico (0.0.0.0/0) all'interfaccia di sicurezza di Palo Alto Networks VM-Series Firewall che galleggia IP.
  • Per mantenere la simmetria del traffico, gli instradamenti vengono aggiunti anche a ciascun firewall della serie VM Palo Alto Networks per puntare il blocco CIDR del traffico spoke all'IP gateway predefinito della subnet trust (interno) (IP gateway predefinito disponibile nella subnet trust nell'hub VCN).
• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in un VCN e Internet pubblico.

• Gateway NAT (Network Address Translation)

  Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Local peering gateway (LPG)

  Un GPL consente di eseguire il peer di un VCN con un altro VCN nella stessa area. Peering significa che i VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o il routing attraverso la rete locale.

• Gateway di instradamento dinamico (DRG)

  DRG è un router virtuale che fornisce un percorso per il traffico di rete privata tra un VCN e una rete esterna all'area, ad esempio un VCN in un'altra area Oracle Cloud Infrastructure, una rete in locale o una rete in un altro provider cloud.

• Gateway del servizio

  Il gateway del servizio fornisce l'accesso da un VCN ad altri servizi, ad esempio Oracle Cloud Infrastructure Object Storage. Il traffico da VCN al servizio Oracle attraversa il tessuto di rete Oracle e non attraversa mai Internet.

• FastConnect

  Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione privata dedicata tra il data center e Oracle Cloud Infrastructure. FastConnect offre opzioni di larghezza di banda più elevate e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

• Scheda interfaccia di rete virtuale (VNIC)

  I servizi nei data center Oracle Cloud Infrastructure dispongono di schede di interfaccia di rete fisica (NIC). Le istanze Virtual Machine comunicano utilizzando NIC virtuali (VNIC) associate alle NIC fisiche. Ogni istanza dispone di una VNIC primaria creata e collegata automaticamente durante il lancio ed è disponibile durante la durata dell'istanza. DHCP è offerto solo alla VNIC primaria. È possibile aggiungere VNIC secondarie dopo l'avvio dell'istanza. È necessario impostare IP statici per ogni interfaccia.

• IP privati

  Indirizzo IPv4 privato e informazioni correlate per l'indirizzamento di un'istanza. Ogni VNIC ha un IP privato primario ed è possibile aggiungere e rimuovere IP privati secondari. L'indirizzo IP privato primario di un'istanza è collegato durante l'avvio dell'istanza e non cambia durante la durata dell'istanza. Gli IP secondari dovrebbero anche appartenere allo stesso CIDR della subnet della VNIC. L'IP secondario viene utilizzato come IP mobile perché può spostarsi tra VNIC diverse su istanze diverse all'interno della stessa subnet. È inoltre possibile utilizzarlo come endpoint diverso per ospitare servizi diversi.

• IP pubblici

  I servizi di rete definiscono un indirizzo IPv4 pubblico scelto da Oracle mappato a un IP privato.

  • Ephemeral: questo indirizzo è temporaneo ed esiste per tutta la durata dell'istanza.
  • Riservato: questo indirizzo persiste oltre la durata dell'istanza. È possibile annullare l'assegnazione e riassegnarla a un'altra istanza.
• Controllo origine e destinazione

  Ogni VNIC esegue il controllo di origine e destinazione sul suo traffico di rete. La disabilitazione di questo flag consente a CGNS di gestire il traffico di rete non indirizzato al firewall.

• Forma di computazione

  La forma di un'istanza di computazione specifica il numero di CPU e la quantità di memoria allocata all'istanza. La forma di computazione determina anche il numero di VNIC e la larghezza di banda massima disponibile per l'istanza di computazione.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per proteggere i carichi di lavoro Oracle E-Business Suite o PeopleSoft su Oracle Cloud Infrastructure utilizzando Palo Alto Networks VM-Series Firewall. I requisiti potrebbero essere diversi dall'architettura descritta qui.

• VCN

  Quando si crea un VCN, determinare il numero di blocchi CIDR richiesti e la dimensione di ogni blocco in base al numero di risorse che si prevede di associare alle subnet in VCN. Utilizzare blocchi CIDR che si trovano all'interno dello spazio degli indirizzi IP privati standard.

  Selezionare blocchi CIDR che non si sovrappongono a nessun'altra rete (in Oracle Cloud Infrastructure, nel data center in locale o in un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato un VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

  Quando si progettano le subnet, prendere in considerazione il flusso di traffico e i requisiti di sicurezza. Allegare tutte le risorse all'interno di uno specifico livello o ruolo alla stessa subnet, che può fungere da limite di sicurezza.

  Utilizzare le subnet regionali.

  Verificare il numero massimo di LPG per VCN nei limiti del servizio, nel caso in cui si desideri estendere questa architettura a più ambienti e applicazioni.

• Palo Alto Reti VM-Series Firewall
  • Distribuire un cluster High Availability.
  • Quando possibile, distribuire in domini di errore distinti con domini di disponibilità minimi o diversi.
  • Assicurarsi che MTU sia impostato su 9000 su tutte le VNIC.
  • Utilizzare interfacce VFIO.
• Gestione sicurezza firewall serie VM Palo Alto Networks
  • Se si sta creando una distribuzione ospitata in Oracle Cloud Infrastructure, creare una subnet dedicata per la gestione.
  • Utilizzare elenchi di sicurezza o NSG per limitare l'accesso in entrata alle porte 443 e 22 provenienti da Internet per l'amministrazione del criterio di sicurezza e per visualizzare i log e gli eventi.
• Politiche firewall serie VM Palo Alto Networks

  Consultare la documentazione del firewall nella sezione Esplora di più per le informazioni più aggiornate sui criteri di sicurezza, le porte e i protocolli richiesti.

Considerazioni

Quando si proteggono i carichi di lavoro di Oracle E-Business Suite o PeopleSoft su Oracle Cloud Infrastructure utilizzando Palo Alto Networks VM-Series Firewall, prendere in considerazione quanto segue:

• Prestazioni
  • La selezione della dimensione dell'istanza corretta, determinata dalla forma di calcolo, determina il throughput, la CPU, la RAM e il numero massimo di interfacce disponibili.
  • Le organizzazioni devono sapere quali tipi di traffico attraversano l'ambiente, determinare i livelli di rischio appropriati e applicare i controlli di sicurezza appropriati, se necessario. Le diverse combinazioni di controlli di sicurezza abilitati influiscono sulle prestazioni.
  • Considerare l'aggiunta di interfacce dedicate per i servizi FastConnect o VPN.
  • Considerare l'utilizzo di forme di calcolo di grandi dimensioni per un throughput superiore e l'accesso a più interfacce di rete.
  • Eseguire test delle prestazioni per convalidare la progettazione in grado di supportare le prestazioni e il throughput richiesti.
• Sicurezza
  • La distribuzione di Palo Alto Networks VM-Series Firewall in Oracle Cloud Infrastructure consente la configurazione centralizzata dei criteri di sicurezza e il monitoraggio di tutte le istanze della serie VM Palo Alto Networks fisiche e virtuali.
  • Definire un gruppo dinamico o un criterio IAM (Identity and Access Management) distinto per distribuzione cluster.
• Disponibilità
  • Distribuire l'architettura in aree geografiche distinte per la massima ridondanza.
  • Configurare VPN site-to-site con reti organizzative pertinenti per una connettività ridondante con reti in locale.
• Costo
  • Palo Alto Networks VM-Series Firewall è disponibile nei modelli di licenza BYOL (bring-your-own-license) e pay-as-you-go per Bundle 1 e Bundle 2 in Oracle Cloud Marketplace.
    • Il bundle 1 include la licenza di capacità della serie VM, la licenza di prevenzione delle minacce e un'abilitazione al supporto premium.
    • Il bundle 2 include la licenza di capacità della serie VM con la suite completa di licenze che include la prevenzione delle minacce, WildFire, il filtro URL, la sicurezza DNS, GlobalProtect e un'abilitazione di supporto premium.

Distribuire

Il codice per proteggere i carichi di lavoro Oracle E-Business Suite o PeopleSoft su Oracle Cloud Infrastructure utilizzando Palo Alto Networks VM-Series Firewall è disponibile come stack in Oracle Cloud Marketplace.È inoltre possibile scaricare il codice da GitHub e personalizzarlo in base alle specifiche esigenze aziendali.

Oracle consiglia di distribuire l'architettura da Oracle Cloud Marketplace.

• Distribuire utilizzando lo stack in Oracle Cloud Marketplace:
  1. Set up the required networking infrastructure as shown in the architecture diagram. See Set up a hub-and-spoke network topology by using local peering gateways.
  2. Distribuire l'applicazione (Oracle E-Business Suite o PeopleSoft) nell'ambiente.
  3. Oracle Cloud Marketplace dispone di più stack per diverse configurazioni e requisiti di licenza. Ad esempio, la seguente funzione stack porta la propria licenza (BYOL). Per ogni stack scelto, fare clic su Ottieni applicazione e seguire i prompt visualizzati:
     • Firewall serie VM Palo Alto Networks- BYOL.
     • Palo Alto Networks VM Series Firewall- Annunci.
• Distribuire utilizzando il codice Terraform in GitHub:
  1. Andare al repository di GitHub.
  2. Duplicare o scaricare il repository nel computer locale.
  3. Seguire le istruzioni contenute nel documento README.

Esplora altro

Ulteriori informazioni sulle funzioni di questa architettura e sulle risorse correlate.

• Framework procedure ottimali per Oracle Cloud Infrastructure

• Informazioni sulla distribuzione di Oracle E-Business Suite su Oracle Cloud Infrastructure

• Informazioni sulla distribuzione di PeopleSoft su Oracle Cloud Infrastructure

• Guida alla sicurezza di Oracle Cloud Infrastructure