Aplicativos Web Seguros Hospedados na Oracle Cloud VMware Solution com Certificados OCI
Publique seus aplicativos essenciais com segurança integrando o Oracle Cloud VMware Solution ao Oracle Cloud Infrastructure Certificates e ao Oracle Cloud Infrastructure Load Balancing (LBaaS).
No cenário em constante evolução da computação em nuvem, dois componentes críticos surgiram como pilares essenciais para otimizar o desempenho, a segurança e a escalabilidade de aplicativos Web: balanceadores de carga e certificados SSL/TLS. Esses elementos desempenham um papel fundamental para garantir a operação perfeita, a integridade dos dados e a confiança do usuário no ambiente de nuvem.
Os balanceadores de carga distribuem o tráfego de rede recebido em vários servidores ou instâncias para evitar que qualquer servidor seja sobrecarregado, garantindo assim a utilização e a capacidade de resposta ideais.
Com os dados atravessando redes, garantir sua confidencialidade e integridade é crucial. É aqui que os certificados SSL / TLS entram em jogo. Esses certificados digitais são usados para negociar um canal de comunicação criptografado, protegendo-o de espionagem, adulteração ou acesso não autorizado.
O casamento de balanceadores de carga e certificados SSL/TLS na infraestrutura de nuvem é uma combinação poderosa. Os balanceadores de carga garantem que o tráfego seja distribuído com eficiência, otimizando o desempenho e evitando sobrecargas, enquanto os certificados SSL/TLS protegem transmissões de dados, preservando a confidencialidade e a integridade. Essa sinergia não apenas melhora a experiência do usuário final, mas também contribui significativamente para a postura de segurança geral dos servidores Web hospedados na Oracle Cloud VMware Solution.
O Oracle Cloud VMware Solution fornece um ambiente de nuvem gerenciado pelo cliente, baseado em VMware nativo, instalado na tenancy de um cliente e oferece controle completo usando ferramentas familiares do VMware.
A Oracle Cloud Infrastructure (OCI) é uma oferta de infraestrutura como serviço (IaaS) de última geração projetada com base em princípios de design que priorizam a segurança. Esses princípios incluem virtualização de rede isolada e implantação de host físico intacta, que antes eram difíceis de serem alcançados com projetos de nuvem pública anteriores. Com esses princípios de design, a OCI ajuda a reduzir o risco de ameaças persistentes avançadas.
Esta arquitetura de referência descreve as opções de integração da Oracle Cloud VMware Solution com OCI Certificates e Oracle Cloud Infrastructure Load Balancing (LBaaS), permitindo que os clientes publiquem com segurança seus aplicativos críticos. No entanto, LBaaS também pode ser usado sem o serviço de certificado.
Arquitetura
Essa arquitetura de referência lógica se concentra no uso de Certificados OCI na frente dos servidores Web em execução dentro das cargas de trabalho da Oracle Cloud VMware Solution.
Os certificados são gerados usando Certificados OCI nativos e aproveitados pelo balanceador de carga da Camada 7 do OCI para descarregamento de SSL. Os servidores Web estão sendo executados dentro do SDDC da Oracle Cloud VMware Solution na forma de máquinas virtuais (VMs).
Este diagrama lógico representa o fluxo de tráfego geral que representa o descarregamento de SSL no balanceador de carga da Camada 7 do OCI e é confiável pelos certificados emitidos pelos Certificados do OCI.
ocvs-traffic-flow-diagrama-oracle.zip
O próximo diagrama ilustra os dois tipos de opções de conectividade de rede do balanceador de carga do OCI para os servidores Web hospedados no SDDC da Oracle Cloud VMware Solution. Ele também descreve a emissão dos certificados SSL da autoridade de certificação (CA) em execução no OCI para acesso seguro aos servidores Web, integrando-os ao balanceador de carga do OCI.
Observação:
Os certificados emitidos pelos Certificados do OCI só podem ser usados no balanceador de carga do OCI e a funcionalidade não pode ser estendida até os servidores Web para SSL de ponta a ponta.Quando se trata de conectar seus servidores Web hospedados na Oracle Cloud VMware Solution à rede virtual na nuvem, você tem duas opções de conectividade:
- Segmentos NSX
- Grupos de portas suportadas pela VLAN (Virtual Local Area Network)
Os segmentos NSX aproveitam a rede definida por software (SDN) para criar redes isoladas e logicamente segmentadas. Esta abordagem traz vários benefícios:
- Microsegmentação: os segmentos NSX permitem a microsegmentação, permitindo o isolamento e a segurança de cargas de trabalho individuais.
- Dimensionamento dinâmico: os segmentos NSX são altamente escaláveis e podem ser provisionados sob demanda, acomodando alterações no tráfego de rede e nos requisitos de carga de trabalho.
- Agrupamento lógico: As VMs podem ser agrupadas com base em camadas de aplicativos ou requisitos de segurança, e as políticas podem ser aplicadas no nível do segmento, garantindo uma aplicação consistente em toda a rede.
- Gerenciamento aprimorado: o NSX fornece gerenciamento centralizado para configuração de rede, políticas de segurança e fluxos de tráfego.
Em contraste com a natureza dinâmica dos segmentos NSX, os grupos de portas com suporte de VLAN utilizam a tecnologia VLAN tradicional para isolar VMs em um ambiente virtualizado. Aqui estão algumas características-chave desta abordagem:
- Simplicidade e familiaridade: Para organizações já familiarizadas com VLANs, o uso de grupos de portas com suporte de VLAN pode ser simples e familiar, exigindo treinamento adicional mínimo.
- Compartilhamento de recursos: Embora as VLANs possam isolar o tráfego de rede, elas podem não fornecer o mesmo nível de granularidade dos segmentos NSX quando se trata de aplicação de políticas e microsegmentação.
Escolhendo a Abordagem Certa
A decisão de usar segmentos NSX ou grupos de portas com suporte de VLAN depende de vários fatores, incluindo as necessidades específicas de uma organização, a infraestrutura existente e os requisitos de segurança.
Segmentos NSX e grupos de portas com suporte de VLAN oferecem vantagens distintas no gerenciamento de máquinas virtuais em um ambiente virtualizado. Os segmentos NSX se destacam em sua capacidade de fornecer microsegmentação, dimensionamento dinâmico e gerenciamento centralizado, enquanto os grupos de portas com suporte de VLAN oferecem simplicidade e familiaridade para aqueles já acostumados à rede VMware tradicional.
Nas seções a seguir, mostraremos os aspectos de conectividade LBaaS para servidores Web implantados em segmentos NSX e grupos de portas com suporte de VLAN.
Servidores Web Conectados ao Segmento de Sobreposição NSX
Conecte aspectos do balanceador de carga do OCI com servidores Web conectados ao segmento de sobreposição NSX no OCVS e use Certificados OCI para emitir os certificados para publicação segura dos servidores Web em execução no OCVS.
O objetivo principal dessa arquitetura de referência é mostrar o objetivo a seguir.
- Aspecto de conectividade do balanceador de carga do OCI com servidores Web conectados ao segmento de sobreposição NSX no SDDC da Oracle Cloud VMware Solution.
- Uso do Gerenciador de Certificados para emitir os certificados para publicação segura dos servidores Web em execução no SDDC da Oracle Cloud VMware Solution.
A arquitetura dos servidores Web conectados ao segmento de rede NSX overlay é ilustrada abaixo.
web-server-nsx-diagrama-oracle.zip
Componentes de arquitetura
A arquitetura possui os seguintes componentes.
- Oracle Cloud VMware Solution: O ambiente na tenancy do cliente em que os servidores Web estão hospedados.
- Segmento de sobreposição NSX: O segmento de sobreposição NSX oferece conectividade de rede aos servidores Web.
- Roteador Tier 0: Um roteador lógico que fornece serviços de gateway entre a rede lógica e física (Norte-Sul).
- Roteador Tier 1: Os segmentos de sobreposição NSX são conectados ao roteador Tier 1 e controlam o tráfego Leste-Oeste.
- VLAN uplink 1 do NSX Edge: Esta VLAN é uma interface entre a rede underlay do OCI e a rede overlay do NSX para estabelecer uma ponte entre as redes overlay (NSX) e underlay (VCN).
- Servidores Web: Os servidores Web são as VMs implantadas no SDDC da Oracle Cloud VMware Solution.
- Balanceador de carga do OCI (LBaaS): Balanceador de carga da Camada 7 do OCI que equilibra o tráfego para os servidores Web. O IP público fornecido pelo OCI ou seu IP pode ser usado com o balanceador de carga.
- Verificação de integridade: os servidores Web de backend são configurados com verificações de integridade HTTP.
- Listener: O listener é configurado com HTTPS para offload de SSL.
- Serviço OCI Certificate Manager: O serviço OCI Certificate Manager ajuda a fornecer acesso seguro SSL/TLS a servidores, aplicativos Web etc. O administrador pode criar e gerenciar hierarquias de autoridades de certificação privadas (CA) e certificados TLS que se integram ao OCI Load Balancing.
- Autoridade de certificação (CA): As autoridades de certificação privadas são configuradas para emitir os certificados.
- Vaults fornecem sua crescente criptografia de dados e aplicativos com armazenamento de chaves escalável.
- Chave: RSA (chave assimétrica) com modo HSM é a única chave suportada para certificados.
Servidores Web Conectados à Rede VLAN
Conecte o balanceador de carga do OCI com servidores Web conectados ao vSphere DvPortGroup com suporte da rede VLAN e use Certificados do OCI para emitir os certificados para servidores Web de publicação segura em execução no SDDC do OCVS.
O objetivo principal dessa arquitetura de referência é mostrar o objetivo a seguir.
- Aspecto de conectividade do balanceador de carga do OCI com servidores Web conectados ao vSphere DvPortGroup com suporte da rede VLAN.
- Uso do OCI Certificate Manager para emitir os certificados para publicação segura dos servidores Web em execução no SDDC da Oracle Cloud VMware Solution.
A arquitetura dos servidores Web conectados à rede suportada por VLAN é ilustrada abaixo.
web-server-vlan-diagrama-oracle.zip
Componentes de arquitetura
A arquitetura possui os seguintes componentes.
- Oracle Cloud VMware Solution: O ambiente na tenancy do cliente em que os servidores Web estão hospedados.
- Rede VLAN: Uma VLAN dedicada criada na VCN do Oracle Cloud VMware Solution para os servidores Web. Esta rede é considerada uma rede underlay.
- vSphere VDS (Distributed Switch): Um switch virtual no vCenter para fornecer recursos de rede virtual às cargas de trabalho do Oracle Cloud VMware Solution.
- Grupo de portas distribuídas vSphere: Opções de configuração de porta para cada porta membro. Rede suportada por VLAN para representar o underlay para cargas de trabalho da Oracle Cloud VMware Solution.
- Servidores Web: Os servidores Web são as VMs implantadas no SDDC da Oracle Cloud VMware Solution.
- Balanceador de carga do OCI (LBaaS): Balanceador de carga da Camada 7 do OCI que equilibra o tráfego para os servidores Web. O IP público fornecido pelo OCI ou seu IP pode ser usado com o balanceador de carga.
- Verificação de integridade: os servidores Web de backend são configurados com verificações de integridade HTTP.
- Listener: O listener é configurado com HTTPS para offload de SSL.
- Certificados OCI: Certificados OCI ajuda a fornecer acesso seguro SSL/TLS a servidores, aplicativos Web etc. O administrador pode criar e gerenciar hierarquias de autoridades de certificação privadas (CA) e certificados TLS que se integram ao OCI Load Balancing.
- Autoridade de certificação (CA): Autoridades de certificação privadas configuradas para emitir os certificados.
- Vaults fornecem sua crescente criptografia de dados e aplicativos com armazenamento de chaves escalável.
- Chave: RSA (chave assimétrica) com modo HSM é a única chave suportada para certificados.
Sobre Serviços Necessários
Esta solução requer os seguintes serviços:
- Oracle Cloud VMware Solution
- Balanceamento de Carga da OCI
- Certificados do OCI
Estas são as atribuições necessárias para cada serviço.
| Nome do Serviço | Obrigatório para... |
|---|---|
| Oracle Cloud VMware Solution | Execute cargas de trabalho com VMware vSphere. |
| Balanceamento de Carga da OCI | Tráfego de balanceamento de carga. |
| Certificados do OCI | Emitir e gerenciar certificados. |
Consulte Produtos, Soluções e Serviços Oracle para obter o que você precisa.