Observação:

Este tutorial requer acesso ao Oracle Cloud. Para se inscrever e obter uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Proteja suas cargas de trabalho do Oracle Cloud VMware Solution com o Oracle Cloud Infrastructure Network Firewall

Introdução

Este documento abrange como você pode usar o Oracle Cloud Infrastructure (OCI) Network Firewall para proteger suas cargas de trabalho em execução em uma Oracle Cloud VMware Solution. O Oracle Cloud VMware Solution permite que você crie e gerencie VMware SDDCs (Software-Defined Data Center) na OCI.

O Firewall de Rede do OCI pode ser implantado como um modelo Distribuído ou um modelo de Trânsito. Neste tutorial, implantaremos o modelo de Trânsito, no qual o Firewall de Rede está no Hub VCN, SDDC do Oracle Cloud VMware Solution em uma VCN de spoke. Usando os recursos de roteamento Intra-VCN e Entrada da Rede OCI, você pode inspecionar o tráfego via Firewall de Rede em execução na VCN do Hub.

Observação: embora este tutorial mostre o OCI Network Firewall, a maioria dos conceitos deve se aplicar a quaisquer outros appliances de 3a parte, como Fortinet, Palo Alto Networks, Cisco, Check Point e muito mais. O cliente precisa trabalhar com o fornecedor/parceiro específico para garantir que ele seja suportado pelo fornecedor.

Casos de Uso

Os recursos de roteamento Intra VCN do OCI nos dão a simplicidade de configurar o roteamento para suportar o tráfego de carga de trabalho do OCI em VCNs, e você também pode usar um Firewall para inspecionar/proteger seu tráfego. Usaremos recursos Intra-VCN e de roteamento de entrada que incluem:

Roteamento intra-VCN - Isso permite alterar o roteamento direto para tráfego intra-VCN com suas rotas definidas. Você poderá definir rotas no nível da sub-rede.
Roteamento de entrada do Gateway de Internet/Network Address Translation Gateway - Isso permite a definição de rotas para tráfego público de entrada para a VCN em direção a um próximo salto selecionado pelo usuário.
Aprimoramento do roteamento de entrada do Gateway de Software - Isso permite que você defina suas rotas para o Gateway de Software para rotear o tráfego de serviços do OCI para destinos dentro da sua VCN.

Neste tutorial, validaremos diferentes cenários de tráfego e os recursos de chave suportados pelo OCI Network Firewall:

Inspeção de Tráfego Norte-Sul entre o OCI e o NSX Overlay: Tráfego seguro da VM de Computação Nativa do OCI para VMs de Carga de Trabalho NSX do Oracle Cloud VMware Solution.
Inspeção de Tráfego Norte-Sul entre o NSX Overlay e a Internet Pública: Tráfego seguro de cargas de trabalho do Oracle Cloud VMware Solution NSX para tráfego voltado para a Internet.
Inspeção de Tráfego do Leste Oeste nas Sub-redes e VLANs da OCI: Tráfego seguro da VM do OCI Native Comute para o Oracle Cloud VMware Solution vSphere, que é hospedado na VLAN da OCI.
Inspeção de Tráfego do Leste Oeste nas Sub-redes OCI: Tráfego seguro da VM de BD do OCI para o Host SDDC ESXi do Oracle Cloud VMware Solution hospedado em uma Sub-rede do OCI.
Valide os recursos de segurança do Firewall de Rede incluindo Prevenção de Invasão, Detecção de Invasão, Filtragem de URL e inspeção de Entrada SSL.

Observação: você não pode inspecionar o tráfego leste-oeste em VMs de carga de trabalho NSX usando o modelo de Trânsito. Se você quiser inspecionar esse tráfego, recomenda-se implantar a solução 3rd Party Partner no ambiente Oracle Cloud VMware Solution, que não é abordada neste tutorial.

Objetivo

Este tutorial descreve o recurso OCI Intra-VCN Routing com a solução OCI Network Firewall em um ambiente de solução VMware do Oracle Cloud. Nós cobrimos o caso de uso do Virtual Cloud Networking Routing que simplifica sua implantação do Firewall na OCI.

Pré-requisitos

Uma Topologia de Rede Intra-VCN em funcionamento pode ser configurada de acordo com o diagrama de topologia.
Um Firewall de Rede do OCI em funcionamento na sua VCN Hub:
- Você pode seguir este workshop para se familiarizar com a solução OCI Network Firewall.
Um ambiente SDDC do Oracle Cloud VMware Solution em funcionamento implantado em uma VCN dedicada, você pode seguir a documentação do Oracle Cloud VMware Solution. Para este tutorial, implantamos um único SDDC de host.
Neste tutorial, implantamos uma VM do Linux Bastion e uma VM do Host Jump do Windows em respectivas sub-redes para representar as cargas de trabalho Nativas do OCI. Elas podem ser substituídas por qualquer outra VM que possa hospedar um aplicativo ou banco de dados.

Observação: em um ambiente de produção, você deve implantar Firewalls em alta disponibilidade.

Arquitetura

Você pode consultar a topologia a seguir para suportar esse caso de uso.

Figura 1

Tarefa 1: Configurar o Firewall de Rede do OCI

As seções a seguir mostram a configuração mínima necessária do Firewall de Rede do OCI. Para obter configurações mais avançadas, consulte a documentação oficial.

Sub-redes e VLANs da VCN: A primeira etapa é garantir que você tenha criado VCNs e sub-redes necessárias, conforme descrito na seção Pré-requisitos, para suportar sua topologia de caso de uso.
- Você pode verificá-las usando a Console do OCI navegando até Redes Virtuais na Nuvem, Detalhes da Rede Virtual na Nuvem, Recursos.
  - Sub-rede Firewall-Subnet-IAD para suportar Firewall de Rede na VCN do Hub
  - Public-Bastion-Subnet-IAD, sub-redes JumpHost-Subnet-IAD no Hub-VCN para suportar VMs para validações de tráfego
  - Sub-rede DB-Subnet-IAD na VCN DB-Spoke-VCN-IAD para suportar cargas de trabalho do BD
  - Durante a implantação do SDDC Oracle Cloud VMware Solution, as Sub-redes e as VLANs apropriadas devem ter sido criadas
- A imagem a seguir mostra o Hub-VCN (Firewall-VCN-IAD) e as sub-redes associadas.
- Em seguida, você precisa implantar o firewall da Rede do OCI implantado na sub-rede do firewall. Para obter mais informações, siga a documentação oficial.
Regras de Política de Firewall de Rede do OCI: Certifique-se de que as regras de segurança de firewall necessárias sejam adicionadas para suportar o tráfego de casos de uso. Para obter mais informações sobre como configurar regras, siga a documentação oficial.
Firewall de Rede do OCI: No Hub-VCN, implante o firewall de Rede conforme os pré-requisitos. Quando sua VM de Firewall estiver ativa, use-a para proteger seu tráfego.
Tabelas de roteamento para VCN, Sub-redes, VLANs e Anexos DRG: Você precisaria configurar as tabelas de roteamento para refletir as regras de roteamento corretas para a topologia do caso de uso. Em um nível alto, você precisaria modificar as tabelas de roteamento nas VCNs da seguinte forma:
- Firewall-VCN
  - Tabela de Roteamento da Sub-rede de Firewall: Crie entradas com cada CIDR de sub-rede como destino e destino como gateway de internet, gateway nat, gateway de serviço ou DRG.
  - Tabela de Roteamento da Sub-rede Pública do Bastion: Crie entradas com cada CIDR da sub-rede como destino e destino como endereço IP do firewall de rede.
  - Tabela de Roteamento de Sub-rede JumpHost Privada: Crie entradas com cada CIDR de sub-rede como destino e destino como endereço IP do firewall de rede.
  - Tabela de Roteamento de Entrada da VCN: Crie entradas com cada CIDRs de destino e o destino como endereço IP de firewall para inspecionar o tráfego de VCNs Spoke.
- VCN do Oracle Cloud VMware Solution
  - Tabela de Roteamento do SDDC da Sub-rede: Crie entradas com cada CIDR da sub-rede como destino e destino como DRG.
  - vSphere Tabela de Roteamento de VLAN: Crie entradas com cada CIDR de sub-rede como destino e destino como DRG.
  - Tabela de Roteamento de VLAN do Uplink 1 do NSX Edge: Crie entradas com cada CIDR de sub-rede como destino e destino como DRG.
  - Tabela de Roteamento de Entrada da VCN: Crie entradas com cada CIDRs de Sobreposições de destino e o destino como endereço IP NSX-EDGE-UPLINK para garantir que o tráfego retorne aos hosts de sobreposição.
- VCN do BD
  - Tabela de Roteamento de Sub-rede de BD: Crie entradas com cada CIDR de sub-rede como destino e o destino como DRG para inspecionar o tráfego via Firewall de Rede do OCI.
- Anexo de VCNs do DRG
  - Tabela de Roteamento de Anexo de VCN do Firewall: Crie entradas com cada CIDRs de carga de trabalho NSX como destino e o próximo salto como anexo de VCN do Oracle Cloud VMware Solution. Importe a Distribuição de Rota com critérios correspondidos do Oracle Cloud VMware Solution e DB VCN.
  - Tabela de Roteamento de Anexo da Oracle Cloud VMware Solution-VCN: Crie entradas com cada CIDR de sub-rede como destino e destino como Anexo da VCN do Firewall para inspecionar o tráfego via Firewall de Rede do OCI.
  - Tabela de Roteamento de Anexo de BD: Crie entradas com cada CIDR de sub-rede como destino e o próximo salto como Anexo de VCN de Firewall para inspecionar o tráfego via Firewall de Rede do OCI.

Observação: certifique-se de que a simetria de rota seja usada para que o tráfego seja inspecionado corretamente nas duas direções.

Tarefa 2: Validar e inspecionar o tráfego do Firewall de Rede do OCI

Nesse ponto, você pode validar o tráfego da VM do Windows JumpHost, da VM Bastion, do ambiente SDDC do Oracle Cloud VMware Solution, das VMs de Sobreposição de NSX e da VM Spoke do BD e inspecionar o tráfego do Firewall de Rede do OCI. A imagem a seguir mostra as VMs necessárias em execução de acordo com a topologia de caso de uso.

Figura 5

Figura 6

Inspeção de tráfego Norte-Sul de VM do Windows JumpBox para VMs de Sobreposição NSX via IVR (Intra-VCN Routing)

Os recursos de roteamento IVR permitem que você roteie o tráfego na VCN e na rota definida pelo usuário para o IP privado do Firewall. A imagem a seguir mostra o fluxo de tráfego lógico e diferentes tabelas de roteamento associadas para garantir que a VM do Windows JumpHost possa se comunicar com as VMs de carga de trabalho NSX do Oracle Cloud VMware Solution.
Você já empurrou a regra de segurança necessária conforme abaixo, a fim de garantir que o tráfego seja inspecionado por meio do Firewall.
Você pode acessar as VMs de Carga de Trabalho do Oracle Cloud VMware Solution (172.16.X.X) da JumpHost VM do Windows (10.40.1.160).
A imagem a seguir mostra logs de tráfego no Firewall de Rede do OCI com base nas regras de segurança aplicadas.

Inspeção de tráfego Norte-Sul da VM de Sobreposição NSX para a Internet via Roteamento de Entrada do Gateway de Rede

Os recursos de roteamento IVR e roteamento de entrada do Gateway de Rede permitem que você roteie o tráfego dentro de uma VCN e use uma rota definida pelo usuário para um Gateway de Tradução de Endereço de Rede. A imagem a seguir mostra o fluxo de tráfego lógico e as diferentes tabelas de roteamento usadas para ativar roteamentos de entrada IVR e Gateway de Rede das VMs de Carga de Trabalho do Oracle Cloud VMware Solution para a Internet por meio do OCI Network Firewall.
Você já empurrou a regra de segurança necessária conforme abaixo, a fim de garantir que o tráfego seja inspecionado por meio do Firewall.
Você pode estabelecer conectividade da VM de Carga de Trabalho NSX do Oracle Cloud VMware Solution (172.16.1.5) para a Internet (info.cern.ch).
A imagem a seguir mostra logs de tráfego no Firewall de Rede do OCI com base nas regras de segurança aplicadas.

Inspeção de tráfego Leste-Oeste da JumpBox VM do Windows para vCenter via IVR (Intra-VCN Routing)

Os recursos de roteamento IVR permitem que você roteie o tráfego na VCN e na rota definida pelo usuário para o IP privado do Firewall. A imagem a seguir mostra o fluxo de tráfego lógico e diferentes tabelas de roteamento associadas para garantir que a VM do Windows JumpHost possa acessar o Servidor vCenter do Oracle Cloud VMware Solution:
Você já empurrou a regra de segurança necessária conforme abaixo, a fim de garantir que o tráfego seja inspecionado por meio do Firewall.
Você pode acessar o Oracle Cloud VMware Solution vCenter Server (10.0.4.2) na JumpHost VM do Windows (10.40.1.160).
A imagem a seguir mostra logs de tráfego no Firewall de Rede do OCI com base nas regras de segurança aplicadas.

Inspeção de tráfego Leste-Oeste do DB Spoke VM e do Host ESXi e vice-versa

Os recursos de roteamento IVR permitem que você roteie o tráfego dentro de VCNs e a rota definida pelo usuário para o IP privado do Firewall. A imagem a seguir mostra o fluxo de tráfego lógico e diferentes tabelas de roteamento associadas para garantir que o tráfego da VM Spoke para um host SDDC ESXi do Oracle Cloud VMware Solution seja eliminado para fins de segurança.
Você já empurrou a regra de segurança necessária conforme abaixo, a fim de garantir que o tráfego seja inspecionado por meio do Firewall.
Você pode acessar o Host do Oracle Cloud VMware Solution ESXi (10.0.0.110) da VM do BD (10.50.0.118) e o tráfego deve ser rejeitado com base na regra de segurança aplicada.
A imagem a seguir mostra logs de tráfego no Firewall de Rede do OCI com base na regra de segurança aplicada.

IPS/IDS, filtragem de URL, proxy de encaminhamento SSL e Tráfego de Inspeção de entrada SSL das VMs de Sobreposição NSX para a internet via Roteamento Inter VCN

Os recursos-chave de firewall de rede fornecem recursos de firewall de última geração, como Prevenção de Intrusão, Detecção de Intrusão, Filtragem de URL, Inspeção de Entrada SSL e muito mais, você pode usá-los em conjunto com o ambiente SDDC do Oracle Cloud VMware Solution.
A imagem a seguir mostra o fluxo de tráfego lógico e diferentes tabelas de roteamento associadas para garantir que os recursos do NGFW possam ser usados:
Para saber mais sobre esses recursos, siga a documentação oficial do OCI Network Firewall.

IPS/IDS

A imagem a seguir mostra a regra de segurança IPS/IDS associada ao Firewall. Em nosso caso, Jumpbox VM fará download de malware EICAR sobre HTTPS.
Você pode acessar o malware voltado para a Internet por meio do roteamento de entrada do Network Gateway na VM Jumpbox. O tráfego fluirá pelo Firewall.
A imagem a seguir mostra logs de tráfego no OCI Network Firewall e um alerta deve ser gerado de acordo com a ação do IDS.

Filtragem de URL

A imagem a seguir mostra URLs filtrando a regra de segurança no Network Firewall. No nosso caso, a VM de Carga de Trabalho NSX do Oracle Cloud VMware Solution acessa determinado URL público e deve ser rejeitada.
A imagem a seguir mostra logs de tráfego no OCI Network Firewall e deve atingir a regra de segurança correta.

Proxy de Encaminhamento de SSL e Inspeção de Entrada de SSL

Criamos uma regra de decriptografia para suportar tráfego SSL/TLS, a qual garantirá que o tráfego HTTPS da VM Jumpbox para a Internet esteja usando o perfil de proxy Encaminhamento SSL.
Você pode acessar os URLs voltados para a Internet por SSL/HTTPS via NGW na VM do Jumpbox. O tráfego fluirá pelo Firewall.

Agradecimentos

Autores:

Arun Poonia (Arquiteto de Soluções Principais)
Praveen Kumar Pedda Vakkalam (arquiteto de soluções principais)

Mais Recursos de Aprendizagem

Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

Título e Informações de Copyright

Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall

F80966-01

April 2023