Projete a Segurança de Rede CloudGuard para o Oracle Cloud Infrastructure e Proteja Suas Cargas de Trabalho
Mova ou estenda quaisquer cargas de trabalho de aplicativos, como o Oracle E-Business Suite ou o PeopleSoft, na nuvem, usando o Check Point CloudGuard Network Security para aumentar as opções nativas de segurança, sem alterações significativas na configuração, integração ou nos processos de negócios.
A segurança na nuvem se baseia em um modelo de responsabilidade compartilhada. A Oracle é responsável pela segurança da infraestrutura subjacente, como instalações de data center, hardware e software para gerenciar operações e serviços de nuvem. Os clientes são responsáveis por proteger suas cargas de trabalho e configurar seus serviços e aplicativos de forma segura para atender às suas obrigações de conformidade.
O Oracle Cloud Infrastructure (OCI) oferece os melhores processos operacionais e tecnologia de segurança para proteger seus serviços de nuvem empresarial. A Segurança de Rede CloudGuard do Check Point para OCI fornece segurança avançada em várias camadas para proteger os aplicativos contra ataques, permitindo, ao mesmo tempo, conectividade segura entre redes corporativas e híbridas na nuvem. Juntos, eles protegem os aplicativos entre data centers locais e ambientes de nuvem, oferecendo um desempenho escalável e trazendo orquestração de segurança avançada e proteção unificada de ameaças.
- Controles de acesso (firewall)
- Log
- Controle de aplicativo
- Filtragem de URL
- Prevenção de invasão (IPS)
- Prevenção avançada de ameaças (Anti-virus, anti-bot, SandBlast proteção de zero dia)
- VPN (Virtual Private Network, Rede privada virtual) site a site para comunicação com a rede local
- VPN de acesso remoto para comunicação com usuários de roaming
- Conversão de endereço de rede para tráfego vinculado à Internet
Arquitetura
Esta arquitetura de referência ilustra como as organizações podem proteger aplicativos Oracle, como Oracle E-Business Suite, PeopleSoft e outros aplicativos implantados no OCI usando o Check Point CloudGuard Network Security com balanceador de carga de rede flexível.
- O hub norte protege recursos acessíveis publicamente do tráfego de entrada malicioso. O hub norte utiliza o balanceador de carga de rede flexível da Oracle que permite às organizações criar um conjunto escalável de gateways de Segurança de Rede CloudGuard que podem ser dimensionados adequadamente com base nos requisitos de throughput.
- O hub do sul protege o tráfego entre spokes, saída de tráfego para a internet, tráfego para o Oracle Services Network e tráfego para ou de redes locais. Recomendamos que o hub do sul contenha um cluster altamente disponível de gateways de Segurança de Rede CloudGuard, para que failover com monitoramento de estado possa ocorrer para tráfego sensível à interrupção.
- Implante cada camada do seu aplicativo em sua própria rede virtual na nuvem (VCN), que atua como um spoke. Essa separação permite o controle granular do tráfego entre spokes.
- A VCN de hub norte conecta o tráfego de entrada da internet às várias VCNs de spoke por meio de balanceador de carga de rede flexível e DRG (Dynamic Routing Gateway).
- A VCN de hub do sul se conecta às VCNs de spoke por meio do DRG. Todo o tráfego de saída e o tráfego entre spokes usa regras de tabela de roteamento para rotear o tráfego pelo DRG para o hub do sul para inspeção pelo cluster de Segurança de Rede CloudGuard.
- Use um dos seguintes métodos para gerenciar o ambiente:
- Gerencie centralmente o ambiente com um servidor de gerenciamento de segurança de ponto de verificação ou com um servidor de gerenciamento de vários domínios, implantado em sua própria sub-rede na VCN de hub norte ou como uma implantação de cliente pré-existente que é acessível aos gateways de segurança.
- Gerencie centralmente o ambiente no Check Point Smart-1 Cloud management como serviço.
O diagrama a seguir ilustra essa arquitetura de referência.
Descrição da ilustração cloudguard-net-sec-arch.png
Para cada cenário de fluxo de tráfego, certifique-se de que a conversão de endereço de rede (NAT) e as políticas de segurança estejam configuradas nos gateways de Segurança de Rede CloudGuard. O caso de uso do Balanceador de Carga de Rede Flexível atualmente suportado requer que você ative o NAT de origem nos firewalls dos quais o tráfego está saindo.
Fluxo de tráfego de entrada do norte-sul por meio da VCN de hub do norte
O diagrama a seguir ilustra como o tráfego de entrada norte-sul acessa a camada de aplicativos Web pela Internet:
Descrição da ilustração input-no-hub-vcn.png
Fluxo de tráfego de saída do norte-sul por meio da VCN de hub do sul
O diagrama a seguir ilustra como as conexões de saída do aplicativo Web e das camadas de banco de dados com a Internet fornecem atualizações de software e acesso a serviços Web externos:
Descrição da ilustração Outbound-so-hub-vcn.png
Fluxo de tráfego do leste-oeste (da Web para o banco de dados) por meio da VCN de hub do sul
O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para a camada do banco de dados:
Descrição da ilustração e-w-w2db-so-hub.png
Fluxo de tráfego do leste-oeste (banco de dados para a Web) por meio da VCN de hub do sul
O diagrama a seguir ilustra como o tráfego passa da camada do banco de dados para o aplicativo Web:
Descrição da ilustração e-w-db2w-so-hub.png
Fluxo de tráfego do leste-oeste (Aplicativo Web para Oracle Services Network) por meio da VCN de hub do sul
O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para o Oracle Services Network:
Descrição da ilustração e-w-w2osn-so.png
Fluxo de tráfego do leste-oeste (Oracle Services Network para aplicativo Web) por meio da VCN de hub do sul
O diagrama a seguir ilustra como o tráfego passa do Oracle Services Network para o aplicativo Web:
Descrição da ilustração e-w-osn2web-so.png
- Gateways de Segurança de Rede CloudGuard do Ponto de Verificação
Fornece prevenção avançada de ameaças e segurança de rede na nuvem para nuvens híbridas.
- Gerenciamento de Segurança do Check Point
- Servidor de gerenciamento de segurança
- Gerenciamento de vários domínios
- Smart-1 Gerenciamento na nuvem como serviço
- Camada de aplicativos do Oracle E-Business Suite ou PeopleSoft
Composto dos servidores de aplicativos e do sistema de arquivos do Oracle E-Business Suite ou PeopleSoft.
- Camada do Oracle E-Business Suite ou do banco de dados PeopleSoft
Composto do Oracle Database, mas não limitado ao serviço Oracle Exadata Database Cloud ou aos serviços do Oracle Database.
- Região
Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).
- Domínio de disponibilidade
Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou resfriamento, ou a rede interna do domínio de disponibilidade. Portanto, uma falha em um domínio de disponibilidade provavelmente não afetará os outros domínios de disponibilidade na região.
- Domínio de falha
Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.
- Rede virtual na nuvem (VCN) e sub-rede
Uma VCN é uma rede personalizável definida por software que você configura em uma região OCI. Como as redes de data center tradicionais, as VCNs permitem controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você poderá alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter como escopo uma região ou um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não são sobrepostos com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- VCN de hub do Norte
A VCN de hub norte é uma rede centralizada na qual os gateways de Segurança de Rede do Ponto de Verificação CloudGuard são implantados. Ele fornece conectividade de entrada segura com todas as VCNs de spoke.
- VCN de hub do Sul
A VCN de hub do sul é uma rede centralizada na qual os gateways de Segurança de Rede do Check Point CloudGuard são implantados no cluster de alta disponibilidade. Ele oferece conectividade segura com todas as VCNs de spoke, serviços OCI, pontos finais e clientes públicos e redes de data center locais.
- VCN de spoke da camada do aplicativo
A VCN spoke da camada de aplicativos contém uma sub-rede privada para hospedar componentes do Oracle E-Business Suite ou do PeopleSoft.
- VCN de spoke da camada do banco de dados
A VCN de spoke da camada do banco de dados contém uma sub-rede privada para hospedar bancos de dados Oracle.
- Balanceador de carga
O serviço OCI Load Balancing fornece distribuição automatizada de tráfego de um ponto de entrada único para vários servidores no backend.
- Balanceador de carga da rede flexível
O balanceador de carga de rede flexível do OCI fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores de backend nas suas VCNs. Ele opera no nível de conexão e em balanceadores de carga conexões de clientes recebidas com servidores de backend íntegros baseados em dados de Layer3 ou Layer4 (protocolo IP).
- Lista de segurança
Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que devem ser permitidos dentro e fora da sub-rede.
- Tabela de roteamento
As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways. Na VCN de hub norte, você tem as seguintes tabelas de roteamento:
- A tabela de roteamento do balanceador de carga da rede anexada à sub-rede do balanceador de carga da rede apontando para o bloco CIDR da sub-rede local por meio de DRGs e tem uma rota padrão para conexão com o gateway de internet.
- Tabela de roteamento de referência anexada à sub-rede de frontend, que tem uma rota padrão conectada ao gateway de internet para rotear o tráfego da VCN de hub norte para alvos na internet ou locais.
- Tabela de roteamento de backend anexada à sub-rede de backend apontando para o bloco CIDR das VCNs de spoke por meio de DRGs.
- Tabela de roteamento de referência anexada à sub-rede de fronteira que tem uma rota padrão conectada ao gateway de internet para rotear o tráfego da VCN de hub do sul para destinos da Internet ou locais.
- Tabela de roteamento de backend anexada à sub-rede de backend apontando para o bloco CIDR das VCNs de spoke por meio de gateways de roteamento dinâmico.
- A tabela de roteamento de Entrada de VCN do Hub do Sul está anexada ao anexo da VCN de hub para enviar qualquer tráfego de entrada de VCNs de spoke por meio do gateway de roteamento dinâmico para o endereço IP flutuante secundário da interface de backend principal do Gateway de Segurança de Rede CloudGuard.
- Para cada falado anexado ao hub do Norte por meio de gateways de roteamento dinâmico, uma tabela de roteamento distinta é definida e anexada a uma sub-rede associada. Essa tabela de roteamento encaminha todo o tráfego (0.0.0.0/0) da VCN de spoke associada a gateways de roteamento dinâmico por meio do endereço IP flutuante secundário da interface de backend principal do CloudGuard Network Security Gateway ou você pode defini-lo em nível granular também.
- Tabela de roteamento do gateway de serviço Oracle anexada ao gateway de serviço Oracle para comunicação do Oracle Service Network. Essa rota encaminha todo o tráfego (0.0.0.0/0) ao endereço IP flutuante secundário da interface de backend do gateway de Segurança de Rede CloudGuard principal.
- Para manter a simetria de tráfego, as rotas também são adicionadas a cada gateway de Segurança de Rede CloudGuard do Ponto de Verificação para apontar o bloco CIDR do tráfego de spoke para o IP do gateway padrão da sub-rede (IP do gateway padrão disponível na sub-rede de backend na VCN do hub do Sul) e o bloco CIDR padrão (0.0.0.0/0) apontando para o IP do gateway padrão da sub-rede frontend.
- Para cada anexo de VCN de spoke, você tem uma tabela de roteamento do DRG associada para garantir que o tráfego vai para a VCN de hub do sul. Adicione uma regra de roteamento para garantir que o tráfego destinado à sub-rede de backend da VCN de hub norte siga o mesmo caminho de origem do tráfego.
- Para o anexo da VCN de hub do sul, uma tabela de roteamento do DRG associada garante que as rotas importadas de cada VCNs anexadas ao DRG façam parte dessa tabela de roteamento.
- Gateway de internet
O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.
- Gateway NAT
O gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet recebidas.
- DRG (Dynamic Routing Gateway)
O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede local ou uma rede em outro provedor de nuvem.
- Gateway de serviço
O gateway de serviço fornece acesso de uma VCN a outros serviços, como o OCI Object Storage. O tráfego da VCN para o serviço Oracle viagens pela malha da rede Oracle e nunca atravessa a internet.
- FastConnect OCI
O FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o OCI. O Serviço FastConnect fornece opções de maior largura de banda e uma experiência de rede mais confiável quando comparado com conexões baseadas na Internet.
- VNIC (Virtual Network Interface Card)
Os serviços nos data centers do OCI têm NICs (network interface cards) físicas. As instâncias de VM se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante a implantação e está disponível durante o ciclo de vida da instância. O DHCP é oferecido somente para o VNIC principal. Você pode adicionar VNICs secundárias após a implantação da instância. Defina IPs estáticos para cada interface.
- IPs Privados
Um endereço IPv4 privado e informações relacionadas para acessar uma instância. Cada VNIC tem um IP privado principal, e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal de uma instância é anexado durante a implantação da instância e não é alterado durante a vida útil da instância. Os IPs secundários também pertencem ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante porque ele pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como um ponto final diferente para hospedar serviços diferentes.
- IPs Públicos Os serviços de rede definem um endereço IPv4 público escolhido pela Oracle que é mapeado para um IP privado. Os IPs Públicos têm os seguintes tipos: Efêmero:
- Esse endereço é temporário e existe durante a vida útil da instância.
- Reservado: Este endereço persiste além do tempo de vida da instância. Você pode cancelá-lo e designá-lo a outra instância.
- Verificação de origem e destino
Cada VNIC executa a verificação de origem e destino em seu tráfego de rede. A desativação desse sinalizador permite que um gateway de Segurança de Rede CloudGuard do Check Point controle o tráfego da rede que não é direcionado para o firewall.
Recomendações
- VCN
Quando você cria uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.
Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.
Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.
Ao projetar as sub-redes, considere seu fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou função específica à mesma sub-rede, que pode servir como limite de segurança.
Use sub-redes regionais e utilize todo o CIDR de VCN como parte do CIDR de sub-rede para que todo o tráfego de VCNs de spoke seja inspecionado.
- Segurança da Rede do Ponto de Verificação CloudGuard
- Implante um cluster de alta disponibilidade no hub do sul.
- Implante um conjunto escalável no hub norte.
- Sempre que possível, implante em domínios de falha distintos em um domínio de disponibilidade mínimo ou diferente.
- Certifique-se de que MTU esteja definido como 9000 em todas as VNICs.
- Utilize interfaces de SRIOV e VFIO (somente formas AMD).
- Crie uma segunda topologia de hubspoke em uma região separada para recuperação de desastres ou detalhamento.
- Não restrinja o tráfego por meio de listas de segurança ou de gateways de segurança de rede (NSGs) porque todo o tráfego é protegido pelo gateway de segurança.
- Por padrão, as portas 443 e 22 estão abertas no gateway, e mais portas são abertas com base nas políticas de segurança.
- Gerenciamento de Segurança do Check Point
- Se você estiver criando uma implantação hospedada no OCI, crie uma sub-rede dedicada para gerenciamento.
- Implante um servidor de gerenciamento secundário (alta disponibilidade de gerenciamento) em outro domínio de disponibilidade ou região.
- Use listas de segurança ou NSGs para restringir o acesso de entrada às portas 443, 22 e 19009 provenientes da internet para administração da política de segurança e para exibir logs e eventos.
- Crie uma lista de segurança ou um NSG que permita o tráfego de entrada e saída para os gateways de segurança do servidor de gerenciamento de segurança.
- Políticas de segurança do Check Point
Consulte a documentação do aplicativo na seção Explore mais para obter as informações mais atualizadas sobre portas e protocolos necessários.
Considerações
Ao proteger as cargas de trabalho do Oracle E-Business Suite ou PeopleSoft no OCI usando o gateway de Segurança de Rede do Check Point CloudGuard, considere os seguintes fatores:
- Desempenho
- Selecionar o tamanho correto da instância, determinado pela forma de Computação, determina o throughput máximo disponível, a CPU, a RAM e o número de interfaces.
- As organizações precisam saber quais tipos de tráfego percorre o ambiente, determinar os níveis de risco apropriados e aplicar controles de segurança adequados, conforme necessário. Diferentes combinações de controles de segurança ativados afetam o desempenho.
- Considere adicionar interfaces dedicadas para serviços FastConnect ou VPN. Considere o uso de grandes configurações do Compute para maior throughput e acesso a mais interfaces de rede.
- Executar testes de desempenho para validar o design pode manter o desempenho e o throughput necessários.
- Segurança
- A implantação do Check Point Security Management no OCI permite a configuração centralizada da política de segurança e o monitoramento de todas as instâncias do gateway de Segurança física e virtual do Check Point.
- Para clientes de Check Point existentes, a migração do Gerenciamento de Segurança para OCI também é suportada.
- Defina grupo ou política dinâmicos de IAM (Identity and Access Management) distintos por implantação de cluster.
- Disponibilidade
- Implante sua arquitetura em regiões geográficas distintas para obter maior redundância.
- Configure VPNs de site a site com redes organizacionais relevantes para conectividade redundante com redes locais.
- Custo
- O Check Point CloudGuard está disponível nos modelos de licença BYOL (bring-your-own-license) e Pay As You Go (PAYG) para gateways de segurança e de segurança no Oracle Cloud Marketplace.
- O licenciamento do gateway de Segurança de Rede CloudGuard do Check Point é baseado no número de vCPUs (uma OCPU é equivalente a duas vCPUs).
- As licenças do Check Point BYOL são portáveis entre instâncias. Por exemplo, se você estiver migrando cargas de trabalho de outras nuvens públicas que também usam licenças BYOL, não será necessário comprar novas licenças do Check Point. Verifique com o representante do Check Point se você tiver dúvidas ou precisar de verificação do status da sua licença.
- O Check Point Security Management é licenciado por gateway de segurança gerenciado. Por exemplo, dois clusters são contados como quatro em relação à licença de Gerenciamento de Segurança.
Implantar
- Implante usando a pilha no Oracle Cloud Marketplace:
- Configure a infraestrutura de rede necessária, conforme mostrado no diagrama de arquitetura, ao qual você pode consultar como exemplo. Para obter instruções detalhadas, consulte Configurar uma topologia de rede hub e spoke.
- Implante o aplicativo (Oracle E-Business Suite, PeopleSoft ou aplicativos necessários) no seu ambiente.
- O Oracle Cloud Marketplace tem várias listas para diferentes configurações e requisitos de licenciamento. Por exemplo, o recurso de listas a seguir traz seu próprio licenciamento (BYOL). Para cada listagem escolhida, clique em Obter Aplicativo e siga os prompts na tela.
- Implante usando o código do Terraform no GitHub:
- Vá para GitHub.
- Clone ou faça download do repositório no computador local.
- Siga as instruções no documento
README
.
Explorar Mais
Saiba mais sobre os recursos dessa arquitetura e sobre os recursos relacionados.
-
Estrutura de melhores práticas para o Oracle Cloud Infrastructure
-
Saiba mais sobre como implementar o Oracle E-Business Suite no Oracle Cloud Infrastructure
-
Aprenda como implementar o PeopleSoft no Oracle Cloud Infrastructure
-
Implantando um Cluster de Check Point no OCI (Oracle Cloud Infrastructure)