Cargas de Trabalho de Aplicativos Seguros com Firewall Palo Alto Networks VM-Series

Mova ou estenda com segurança as cargas de trabalho do aplicativo do Oracle E-Business Suite ou do PeopleSoft na nuvem usando firewalls virtuais de última geração (NGFWs) da Palo Alto Network VM-Series.

Os NGFWs virtuais da Palo Alto Networks VM-Series protegem ambientes multicloud, fornecendo visibilidade e controle completos do tráfego de aplicativos sobre aplicativos personalizados, gerenciamento consistente de firewall entre nuvens e aplicação de políticas, proteção contra ameaças e prevenção de exfiltração acionada por linguagem de máquina e recursos automatizados de implantação e provisionamento para acompanhar até mesmo os ambientes mais dinâmicos.

A segurança na nuvem é baseada em um modelo de responsabilidade compartilhada. A Oracle é responsável pela segurança da infraestrutura subjacente, como instalações de data center e hardware e software para gerenciar operações e serviços na nuvem. Os clientes são responsáveis por proteger suas cargas de trabalho e configurar seus serviços e aplicativos de forma segura para atender às suas obrigações de conformidade.

Os firewalls da série VMs da Palo Alto Networks fornecem prevenção consistente de ameaças e segurança de rede em linha em ambientes de nuvem, ajudando as equipes de segurança de rede a recuperar a visibilidade e o controle sobre o tráfego em suas redes na nuvem. Os principais recursos do Palo Alto Networks VM-Series incluem firewall de Camada 7, assinaturas de segurança fornecidas na nuvem e gerenciamento de segurança consolidado.

Descrição da ilustração pan-advanced-security.png

Arquitetura

Esta arquitetura de referência ilustra como as organizações podem proteger aplicações Oracle, como Oracle E-Business Suite e PeopleSoft, implantadas no Oracle Cloud Infrastructure usando firewalls Palo Alto Networks VM-Series.

Para proteger esses fluxos de tráfego, a Palo Alto Networks recomenda segmentar a rede usando uma topologia hub e spoke, onde o tráfego é roteado por um hub central e está conectado a várias redes distintas (spokes). Todo o tráfego entre spokes, de e para a internet, de e para o local ou para a Oracle Services Network, é roteado pelo hub e inspecionado com as tecnologias de prevenção de ameaças em várias camadas do firewall da Palo Alto Networks VM-Series.

Implante cada camada do seu aplicativo em sua própria rede virtual na nuvem (VCN), que atua como spoke. A VCN hub contém um cluster de alta disponibilidade de firewall do Palo Alto Networks VM-Series, gateway de internet Oracle, gateway de roteamento dinâmico (DRG), gateway de serviço Oracle e gateways de pareamento local (LPGs).

A VCN hub se conecta às VCNs spoke por meio de LPGs ou anexando placas de interface de rede virtual secundárias (VNIC) ao firewall da Série VMs de Redes Palo Alto. Todo o tráfego falado usa regras de tabela de roteamento para rotear o tráfego através dos LPGs para o hub para inspeção pelo cluster de alta disponibilidade do firewall Palo Alto Networks VM-Series.

Você pode configurar e gerenciar o firewall Palo Alto Networks VM-Series localmente ou centralmente usando o Panorama, o sistema centralizado de gerenciamento de segurança Palo Alto Networks. O Panorama ajuda os clientes a reduzir a complexidade e a sobrecarga administrativa no gerenciamento de atualizações de configuração, políticas, software e conteúdo dinâmico. Usando grupos de dispositivos e modelos no Panorama, você pode gerenciar efetivamente a configuração específica do firewall localmente em um firewall e impor políticas compartilhadas em todos os firewalls ou grupos de dispositivos.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração palo_alto_nw_vm_oci.png

Tráfego de Entrada Norte-Sul

O diagrama a seguir ilustra como o tráfego de entrada Norte-Sul acessa a camada de aplicativos Web pela Internet e por data centers remotos. Essa configuração garante que a NAT (Network Address Translation) e as políticas de segurança estejam abertas no firewall Palo Alto Networks VM-Series.

Descrição da ilustração palo_alto_north_south_inbound.png

Tráfego de Saída Norte-Sul

O diagrama a seguir ilustra como as conexões de saída da aplicação Web e as camadas de banco de dados para a Internet fornecem atualizações de software e acesso a serviços Web externos. Esta configuração garante que o NAT de origem esteja configurado na política de firewall do Palo Alto Networks VM-Series para as redes relevantes.

Descrição da ilustração palo_alto_north_south_outbound.png

Tráfego Leste-Oeste (Web para Banco de Dados)

O diagrama a seguir ilustra como o tráfego se move da aplicação Web para a camada de banco de dados.

Descrição da ilustração palo_alto_east_west_web_db.png

Tráfego Leste-Oeste (Banco de Dados para Web)

O diagrama a seguir ilustra como o tráfego se move da camada do banco de dados para a aplicação Web.

Descrição da ilustração palo_alto_east_west_db_web.png

Tráfego Leste-Oeste (Aplicativo Web para Rede de Serviços Oracle)

O diagrama a seguir ilustra como o tráfego se move da aplicação Web para a Rede de Serviços Oracle. Essa configuração garante que você tenha ativado Jumbo Frames nas interfaces de firewall do Palo Alto Networks VM-Series.

Descrição da ilustração palo_alto_east_west_webapp_osn.png

Tráfego Leste-Oeste (Rede de Serviços Oracle para Aplicativo Web)

O diagrama a seguir ilustra como o tráfego se move da Rede de Serviços Oracle para a aplicação Web.

Descrição da ilustração palo_alto_east_west_osn_webapp.png

A arquitetura tem os seguintes componentes:

• Firewall Palo Alto Networks VM-Series

  Fornece todos os recursos de firewalls físicos de próxima geração em uma máquina virtual (VM), oferecendo segurança de rede em linha e prevenção de ameaças para proteger consistentemente nuvens públicas e privadas.

• Camada de aplicativos Oracle E-Business Suite ou PeopleSoft

  Composto por servidores de aplicativos e sistema de arquivos Oracle E-Business Suite ou PeopleSoft.

• Camada de banco de dados Oracle E-Business Suite ou PeopleSoft

  Composto por Oracle Database, mas não limitado ao serviço Oracle Database Exadata Cloud Service ou aos serviços Oracle Database.

• Região

  Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. As regiões são independentes de outras regiões e vastas distâncias podem separá-las (entre países ou mesmo continentes).

• Domínios de disponibilidade

  Os domínios de disponibilidade são centros de dados independentes e independentes em uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos nos outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou resfriamento, ou a rede de domínios de disponibilidade interna. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade na região.

• Domínios de falha

  Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de energia dentro de um domínio de falha.

• Rede virtual na nuvem (VCN) e sub-redes

  Um VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar depois de criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em uma faixa contígua de endereços que não se sobrepõem às outras sub-redes da VCN. É possível alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Hub VCN

  A VCN hub é uma rede centralizada na qual firewalls da Série VMs de Redes Alto Palo são implantados. Ele fornece conectividade segura a todas as VCNs spoke, serviços Oracle Cloud Infrastructure, pontos finais e clientes públicos e redes de data center on-premise.

• A camada do aplicativo falava VCN

  A VCN spoke da camada da aplicação contém uma sub-rede privada para hospedar componentes Oracle E-Business Suite ou PeopleSoft.

• A camada do banco de dados falava VCN

  A VCN spoke da camada de banco de dados contém uma sub-rede privada para hospedar bancos de dados Oracle.

• Balanceador de carga

  O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição de tráfego automatizada de um único ponto de entrada para vários servidores no backend.

• Lista de Segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Tabela de Rota

  As tabelas de rotas virtuais contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

  Na VCN hub, você tem as seguintes tabelas de roteamento:

  • Tabela de rotas de gerenciamento anexada à sub-rede de gerenciamento que tem uma rota padrão conectada ao gateway de internet.
  • Tabela de rotas não confiáveis anexada à sub-rede não confiável ou à VCN padrão para rotear o tráfego da VCN hub para a internet ou alvos locais.
  • Tabela de rotas confiáveis anexada à sub-rede confiável que aponta para o bloco CIDR das VCNs spoke por meio dos LPGs associados.
  • Tabela de roteamento de alta disponibilidade anexada à sub-rede de alta disponibilidade, que gerencia a alta disponibilidade entre instâncias do Firewall da Série VMs da Palo Alto Networks.
  • Para cada falado anexado ao hub, uma tabela de roteamento distinta é definida e anexada a um LPG associado. Essa tabela de roteamento encaminha todo o tráfego (0.0.0.0/0) do LPG falado associado por meio do IP flutuante da interface confiável do Firewall da Série VMs da Palo Alto Networks.
  • Tabela de roteamento do gateway de serviço Oracle anexada ao gateway de serviço Oracle para comunicação da Rede de Serviços Oracle. Essa rota encaminha todo o tráfego (0.0.0.0/0) para o IP flutuante da interface confiável do Firewall da VM-Series da Palo Alto Networks.
  • Para manter a simetria do tráfego, as rotas também são adicionadas a cada Firewall da Série VMs da Palo Alto Networks para apontar o bloco CIDR do tráfego falado para o IP de gateway padrão da sub-rede confiável (interna) (o IP de gateway padrão disponível na sub-rede confiável na VCN hub).
• Gateway da Internet

  O gateway de internet permite o tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway NAT (Network Address Translation)

  Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões provenientes da internet.

• LPG (Local peering gateway)

  Um LPG permite que você pare um VCN com outro VCN na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem o tráfego que atravessa a Internet ou roteamento através da sua rede local.

• Gateway de roteamento dinâmico (DRG)

  A DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha de rede Oracle e nunca passa pela internet.

• FastConnect

  O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o Oracle Cloud Infrastructure. O FastConnect fornece opções de largura de banda mais alta e uma experiência de rede mais confiável quando comparado a conexões baseadas na Internet.

• Placa de interface de rede virtual (VNIC)

  Os serviços nos data centers do Oracle Cloud Infrastructure têm placas de interface de rede físicas (NICs). As instâncias da máquina virtual se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante a inicialização e está disponível durante a vida útil da instância. DHCP é oferecido somente para a VNIC principal. Você pode adicionar VNICs secundárias após a inicialização da instância. Você deve definir IPs estáticos para cada interface.

• IPs Privados

  Um endereço IPv4 privado e informações relacionadas para tratar uma instância. Cada VNIC tem um IP privado primário e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal em uma instância é anexado durante a inicialização da instância e não é alterado durante a vida útil da instância. Os IPs secundários também devem pertencer ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante porque pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como um ponto final diferente para hospedar diferentes serviços.

• IPs Públicos

  Os serviços de rede definem um endereço IPv4 público escolhido pelo Oracle mapeado para um IP privado.

  • Efêmero: Este endereço é temporário e existe durante toda a vida da instância.
  • Reservado: Este endereço persiste além do tempo de vida útil da instância. Ele pode ser desatribuído e reatribuído a outra instância.
• Verificação de origem e destino

  Cada VNIC executa a verificação de origem e destino em seu tráfego de rede. Desativar esse flag permite que o CGNS manipule o tráfego de rede que não está direcionado para o firewall.

• Forma de computação

  A forma de uma instância de computação especifica o número de CPUs e a quantidade de memória alocada para a instância. A forma de computação também determina o número de VNICs e a largura de banda máxima disponíveis para a instância de computação.

Recomendações

Use as recomendações a seguir como ponto de partida para proteger as cargas de trabalho do Oracle E-Business Suite ou do PeopleSoft no Oracle Cloud Infrastructure usando o Firewall da Série de VMs de Redes Alto Palo. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• VCN

  Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

  Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretenda configurar conexões privadas.

  Após criar um VCN, você pode alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos em uma camada ou atribuição específica à mesma sub-rede, que pode servir como limite de segurança.

  Usar sub-redes regionais.

  Verifique o número máximo de LPGs por VCN em seus limites de serviço, caso deseje estender essa arquitetura para vários ambientes e aplicativos.

• Firewall Palo Alto Networks VM-Series
  • Implante um cluster de alta disponibilidade.
  • Sempre que possível, implante em domínios de falha distintos em um mínimo ou em domínios de disponibilidade diferentes.
  • Verifique se o MTU está definido como 9000 em todas as VNICs.
  • Utilizar interfaces VFIO.
• Gerenciamento de segurança de firewall Palo Alto Networks VM-Series
  • Se você estiver criando uma implantação hospedada no Oracle Cloud Infrastructure, crie uma sub-rede dedicada para gerenciamento.
  • Use listas de segurança ou NSGs para restringir o acesso de entrada às portas 443 e 22 originadas da Internet para administração da política de segurança e para exibir logs e eventos.
• Políticas de firewall da série VM da Palo Alto Networks

  Consulte a documentação do firewall na seção Explorar Mais para obter as informações mais atualizadas sobre políticas, portas e protocolos de segurança necessários.

Considerações

Ao proteger cargas de trabalho do Oracle E-Business Suite ou do PeopleSoft no Oracle Cloud Infrastructure usando o Firewall Palo Alto Networks VM-Series, considere o seguinte:

• Desempenho
  • A seleção do tamanho da instância adequada, que é determinada pela forma de computação, determina o throughput máximo disponível, a CPU, a RAM e o número de interfaces.
  • As organizações precisam saber quais tipos de tráfego atravessam o ambiente, determinar os níveis de risco apropriados e aplicar controles de segurança adequados, conforme necessário. Diferentes combinações de controles de segurança ativados impactam o desempenho.
  • Considere adicionar interfaces dedicadas para serviços FastConnect ou VPN.
  • Considere o uso de grandes formas de computação para obter maior throughput e acesso a mais interfaces de rede.
  • Execute testes de desempenho para validar se o design pode manter o desempenho e o throughput necessários.
• Segurança
  • A implantação do Firewall do Palo Alto Networks VM-Series no Oracle Cloud Infrastructure permite a configuração centralizada da política de segurança e o monitoramento de todas as instâncias físicas e virtuais do Palo Alto Networks VM-Series.
  • Defina um grupo dinâmico distinto do Identity and Access Management (IAM) ou uma política por implantação do cluster.
• Disponibilidade
  • Implante sua arquitetura em regiões geográficas distintas para maior redundância.
  • Configure VPNs site a site com redes organizacionais relevantes para conectividade redundante com redes locais.
• Custo
  • O Firewall do Palo Alto Networks VM-Series está disponível em trazer seu próprio licenciamento (BYOL) e modelos de licença de pagamento como você para o Pacote 1 e o Pacote 2 no Oracle Cloud Marketplace.
    • O pacote 1 inclui a licença de capacidade VM-Series, a licença de prevenção de ameaças e um direito de suporte premium.
    • O Pacote 2 inclui a licença de capacidade VM-Series com o conjunto completo de licenças que inclui prevenção de ameaças, WildFire, filtragem de URL, segurança do DNS, GlobalProtect e um direito de suporte premium.

Implantar

O código para proteger o Oracle E-Business Suite ou as cargas de trabalho PeopleSoft no Oracle Cloud Infrastructure usando o Firewall Palo Alto Networks VM-Series está disponível como uma pilha no Oracle Cloud Marketplace.Você também pode baixar o código do GitHub e personalizá-lo para atender às suas necessidades de negócios específicas.

A Oracle recomenda implantar a arquitetura do Oracle Cloud Marketplace.

• Implante usando a pilha no Oracle Cloud Marketplace:
  1. Configure a infraestrutura de rede necessária conforme mostrado no diagrama de arquitetura. Consulte Configurar uma topologia de rede hub e spoke usando gateways de pareamento local.
  2. Implante o aplicativo (Oracle E-Business Suite ou PeopleSoft) no seu ambiente.
  3. O Oracle Cloud Marketplace tem várias pilhas para diferentes configurações e requisitos de licenciamento. Por exemplo, o recurso de pilhas a seguir traz seu próprio licenciamento (BYOL). Para cada pilha escolhida, clique em Obter Aplicativo e siga os prompts na tela:
     • Firewall Palo Alto Networks VM Series - BYOL.
     • Firewall Palo Alto Networks VM Series - Listagens.
• Implante usando o código Terraform no GitHub:
  1. Vá para o repositório do GitHub.
  2. Clonar ou fazer download do repositório para seu computador local.
  3. Siga as instruções no documento README.

Explore Mais

Saiba mais sobre as funcionalidades desta arquitetura e sobre recursos relacionados.

• Estrutura de melhores práticas do Oracle Cloud Infrastructure

• Saiba como implantar o Oracle E-Business Suite no Oracle Cloud Infrastructure

• Aprenda a implantar o PeopleSoft no Oracle Cloud Infrastructure

• Guia de Segurança do Oracle Cloud Infrastructure