Proteja Seus Recursos de Nuvem Usando um Firewall Virtual

Embora o Oracle Cloud Infrastructure ofereça controles de segurança de rede por meio de listas de segurança e grupos de segurança de rede, em alguns cenários são necessários diferentes tipos de segurança de rede. Para esses cenários, o Oracle Cloud Infrastructure usa redes virtuais na nuvem (VCN) e sub-redes para colocar os diferentes segmentos da rede e o firewall para tratar os controles de segurança.

A implantação de um firewall para controlar o fluxo de rede oferece os seguintes benefícios:

• Controles de acesso centralizados
• Filtragem de conteúdo
• Conversão de endereços de rede de entrada e saída (NAT) e tradução de endereços portuários (PAT)
• Políticas avançadas de tráfego
• Consistência de procedimentos através de diferentes ambientes (on-premise e outros provedores de nuvem), o que também simplifica a migração e expansão para a nuvem porque as mesmas ferramentas estão sendo usadas
• Capacidades de projeto estendidas para cenários complexos

Arquitetura

Nesta arquitetura, um firewall virtual controla o tráfego Norte-Sul e o tráfego Leste-Oeste. A arquitetura mostra como criar a rede e onde colocar o firewall.

O tráfego Norte-Sul é o tráfego que vem da internet (por meio do gateway de internet) ou do ambiente local (por meio do gateway de roteamento dinâmico) para as VCNs. O tráfego Leste-Oeste é o tráfego entre VCNs em sua tenancy.

O diagrama a seguir ilustra esta arquitetura de referência.

Descrição da ilustração firewall-oci.png

firewall-oci-oracle.zip

No diagrama, as VNICs conectam as sub-redes a um firewall virtual (como um firewall Palo Alto Networks VM-Series). As sub-redes assumem as seguintes atribuições na arquitetura:

1. A Sub-rede Pública de Gerenciamento em VCN1 (CIDR 10.0.1.0/24) fornece ao administrador de rede acesso à console do firewall virtual por meio de SSH e HTTPS.
2. A Sub-rede Pública Não Confiável em VCN1 (CIDR 10.0.2.0/24) permite que os clientes acessem sub-redes privadas na Internet com o controle de Firewall Palo Alto.
3. A Sub-rede Privada Confiável em VCN1 (CIDR 10.0.3.0/24) atua como o DMZ.
4. A Sub-rede Privada Confiável em VCN2 (CDIR 10.1.1.0/24) permite recursos privados ocultos.

A arquitetura tem os seguintes componentes:

• Região

  Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. As regiões são independentes de outras regiões, e grande distância pode separá-las (entre países ou até mesmo continentes).

• Domínios de disponibilidade

  Os domínios de disponibilidade são data centers independentes e independentes em uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos nos outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou resfriamento, ou a rede de domínio de disponibilidade interna. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade da região.

• Domínios com falha

  Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha, com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

• Rede virtual na nuvem (VCN) e sub-redes

  Uma VCN é uma rede personalizada e definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs permitem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo em uma região ou em um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contínuo de endereços que não se sobrepõem com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Gateway de internet

  O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway de roteamento dinâmico (DRG)

  O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

• Tabela de rota

  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, normalmente por meio de gateways.

• Listas de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Placa de interface de rede virtual (VNIC)

  Uma VNIC permite que uma instância se conecte a um VCN e determina como a instância se conecta com pontos finais dentro e fora do VCN. Cada instância vem automaticamente com uma VNIC principal e você pode adicionar secundárias.

• Firewall

  O firewall controla o fluxo entre os segmentos em seu ambiente. Os recursos avançados variam entre os provedores.

Recomendações

Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.

• VCN

  Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estão dentro do espaço de endereço IP privado padrão.

  Selecione uma faixa de endereços que não se sobreponha à sua rede local, para que você possa configurar uma conexão entre a VCN e sua rede local, se necessário.

  Depois de criar uma VCN, você pode alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere sua funcionalidade e seus requisitos de segurança. Anexe todas as instâncias de computação da mesma camada ou atribuição à mesma sub-rede.

  Use sub-redes regionais.

• Listas de segurança

  Embora todo o tráfego esteja fluindo pelo firewall, as listas de segurança ainda são necessárias para o tráfego dentro e entre sub-redes.

• Firewall

  Se seu ambiente for de missão crítica, certifique-se de que o firewall implementado suporte uma implantação altamente disponível para evitar interrupções inesperadas.

  Ao usar um firewall stand-by, implante-o em outro domínio de falha.

  Como o firewall não é gerenciado como parte do Oracle Cloud Infrastructure, certifique-se de que seus patches sejam sempre aplicados.

  O firewall requer várias VNICs para conectar os diferentes segmentos do seu ambiente. Escolha uma forma de instância que forneça VNICs suficientes.

Considerações

• Desempenho

  Como ponto central de comunicação, a instância do firewall deve ter VNICs suficientes para conectar os segmentos existentes. Na maioria dos casos, a CPU não é um fator limitante. No Oracle Cloud Infrastructure, o número de VNICs e a largura de banda associada aumentam com o número de OCPUs da forma da instância.

• Segurança

  O firewall não é gerenciado como parte do Oracle Cloud Infrastructure. Implementar procedimentos seguros para garantir acesso seguro ao gerenciamento e uma boa política de patch.

• Disponibilidade

  O firewall é o ponto central onde todas as comunicações fluem. O firewall escolhido deve ser capaz de trabalhar em um modo de alta disponibilidade para evitar impactos se ocorrer uma paralisação não planejada.

• Custo

  O custo do uso dessa arquitetura se baseia no tamanho da forma da instância usada para o firewall. Se você escolher uma solução de firewall paga, os custos de licenciamento também devem ser considerados.

Implantação

O código do Terraform para esta arquitetura de referência está disponível como uma pilha de amostra no Oracle Cloud Infrastructure Resource Manager. Você também pode baixar o código do GitHub, e personalizá-lo de acordo com seus requisitos específicos.

• Implante usando o Oracle Cloud Infrastructure Resource Manager:
  1. Clique em

     Se você ainda não estiver conectado, informe a tenancy e as credenciais do usuário.

  2. Revise e aceite os termos e condições.
  3. Selecione a região na qual você deseja implantar a pilha.
  4. Siga os prompts na tela e as instruções para criar a pilha.
  5. Após criar a pilha, clique em Ações do Terraform e selecione Planejar.
  6. Aguarde a conclusão da tarefa e revise o plano.

     Para fazer qualquer alteração, retorne à página Detalhes da Pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Planejar novamente.

  7. Se nenhuma alteração adicional for necessária, retorne à página Detalhes da Pilha, clique em Ações do Terraform e selecione Aplicar.
• Implante usando o código do Terraform no GitHub:
  1. Vá para GitHub.
  2. Clone ou faça download do repositório para seu computador local.
  3. Siga as instruções no documento README.

Explorar Mais

• Proteja as cargas de trabalho de aplicativos com o Palo Alto Networks VM-Series Firewall
• Implementações de Redes Palo Alto Suportadas no OCI
• Fortinet FortiGate no OCI - Alta Disponibilidade (HA)

Alterar Log

Esse log lista alterações significativas:

28 de março de 2022

Seção Implantação adicionada e instruções adicionadas para implantar a arquitetura usando o Oracle Cloud Infrastructure Resource Manager. Atualizou o diagrama e adicionou uma versão editável para download na Arquitetura.