Proteja cargas de trabalho com o Firewall Palo Alto Networks VM-Series usando o Balanceador de Carga de Rede Flexível
Os firewalls virtuais de última geração da Palo Alto Networks VM-Series protegem ambientes multicloud fornecendo visibilidade e controle completos do tráfego de aplicativos sobre aplicativos personalizados, gerenciamento consistente de firewall entre nuvens e aplicação de políticas, proteção contra ameaças e prevenção de exfiltração geradas por linguagem mecânica e recursos automatizados de implantação e provisionamento para acompanhar até mesmo os ambientes mais dinâmicos.
Os firewalls virtuais de última geração da VM-Series aumentam os controles de segurança de rede nativos da Oracle Cloud Infrastructure, protegendo-se contra exploits, malware, ameaças conhecidas e desconhecidas e exfiltração de dados.
Os firewalls virtuais de última geração da VM-Series fornecem todos os recursos de firewalls físicos de última geração em um fator de forma de máquina virtual (VM), oferecendo segurança de rede em linha e prevenção de ameaças para proteger consistentemente nuvens públicas e privadas, data centers virtualizados e locais de ramificação. Os firewalls virtuais da VM-Series oferecem os recursos de que as equipes de segurança precisam para proteger ambientes de nuvem pública, incluindo total visibilidade e controle, aplicação consistente de políticas, segurança de aplicativos, prevenção de exfiltração, gerenciamento de riscos e conformidade, automação de segurança e gerenciamento de diagnóstico na nuvem.
- Visibilidade e controle completos encontram ameaças em todos os ambientes
- Aplicação consistente de políticas oferece a melhor segurança da categoria
- Conformidade e Risk Management Tornam-se Mais Fáceis
- A Automação de Segurança Protege o DevOps
Arquitetura
Esta arquitetura de referência ilustra como as organizações podem proteger aplicativos Oracle, como Oracle E-Business Suite e PeopleSoft, implantados no Oracle Cloud Infrastructure (OCI) usando o Firewall Palo Alto Networks VM Series com balanceador de carga de rede flexível.
Para proteger esses fluxos de tráfego, a Palo Alto Networks recomenda segmentar a rede usando uma topologia hub e spoke, onde o tráfego é roteado por um hub central e está conectado a várias redes distintas (spokes). Certifique-se de implantar várias instâncias da Série VMs entre balanceadores de carga de rede flexíveis considerados como Topologia Sanduíche. Todo o tráfego entre spokes, de e para a Internet, de e para o local ou para a Rede de Serviços Oracle, é roteado pelo hub e inspecionado com as tecnologias de prevenção de ameaças em várias camadas do Firewall da Série VM Palo Alto Networks.
Implante cada camada do seu aplicativo em sua própria rede virtual na nuvem (VCN), que atua como spoke. A VCN hub contém um cluster ativo/ativo do Firewall Palo Alto Networks VM Series, gateway de internet Oracle, gateway de roteamento dinâmico (DRG), Oracle Service Gateway, gateways de pareamento local (LPGs), balanceadores de carga de rede flexíveis internos e externos.
A VCN hub se conecta às VCNs spoke por meio de LPGs. Todo o tráfego falado usa regras de tabela de roteamento para rotear o tráfego através dos LPGs para o hub usando balanceador de carga de rede flexível para inspeção pelo cluster Firewall da série Palo Alto Networks VM.
Você pode configurar e gerenciar o firewall Palo Alto Networks localmente ou pode gerenciá-lo centralmente usando o Panorama, o sistema de gerenciamento de segurança centralizado Palo Alto Networks. O Panorama ajuda os clientes a reduzir a complexidade e a sobrecarga administrativa no gerenciamento de atualizações de configuração, políticas, software e conteúdo dinâmico. Usando grupos de dispositivos e modelos no Panorama, você pode gerenciar efetivamente a configuração específica do firewall localmente em um firewall e impor políticas compartilhadas em todos os firewalls ou grupos de dispositivos.
O diagrama a seguir ilustra essa arquitetura de referência.
Descrição da ilustração palo_alto_nlb_nw_vm_oci.png
Para cada fluxo de tráfego, certifique-se de que a tradução de endereços de rede (NAT) e as políticas de segurança estejam abertas no Firewall Palo Alto Networks VM Series.
Tráfego de Entrada Norte-Sul
O diagrama a seguir ilustra como o tráfego de entrada Norte-Sul acessa a camada de aplicativos Web pela Internet e por data centers remotos.
Descrição da ilustração palo_alto_nlb_north_south_inbound.png
Tráfego de Saída Norte-Sul
O diagrama a seguir ilustra como as conexões de saída da aplicação Web e as camadas do banco de dados para a Internet fornecem atualizações de software e acesso a serviços Web externos.
Descrição da ilustração palo_alto_nlb_north_south_outbound.png
Tráfego Leste-Oeste (Web para Banco de Dados)
O diagrama a seguir ilustra como o tráfego se move da aplicação Web para a camada do banco de dados.
Descrição da ilustração palo_alto_nlb_east_west_web_db.png
Tráfego Leste-Oeste (Banco de Dados para Web)
O diagrama a seguir ilustra como o tráfego se move da camada do banco de dados para a aplicação Web.
Descrição da ilustração palo_alto_nlb_east_west_db_web.png
Tráfego Leste-Oeste (Aplicativo Web para Rede de Serviços Oracle)
O diagrama a seguir ilustra como o tráfego se move da aplicação Web para a Rede de Serviços Oracle.
Descrição da ilustração palo_alto_nlb_east_west_webapp_osn.png
Tráfego Leste-Oeste (Rede de Serviços Oracle para Aplicativo Web)
O diagrama a seguir ilustra como o tráfego se move da Rede de Serviços Oracle para a aplicação Web.
Descrição da ilustração palo_alto_nlb_east_west_osn_webapp.png
A arquitetura tem os seguintes componentes:
- Firewall Palo Alto Networks VM-Series
Fornece todos os recursos de firewalls físicos de próxima geração em uma máquina virtual (VM), oferecendo segurança de rede em linha e prevenção de ameaças para proteger consistentemente nuvens públicas e privadas.
- Região
Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. As regiões são independentes de outras regiões e grandes distâncias podem separá-las (entre países ou mesmo continentes).
- Domínios de disponibilidade
Os domínios de disponibilidade são data centers independentes e independentes em uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos nos outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou resfriamento, ou a rede de domínio de disponibilidade interna. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade na região.
- Domínios de falha
Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de energia dentro de um domínio de falha.
- Rede virtual na nuvem (VCN) e sub-redes
Um VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle total sobre seu ambiente de rede. Um VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar depois de criar o VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em uma faixa contígua de endereços que não se sobrepõem às outras sub-redes na VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- Hub VCN
A VCN hub é uma rede centralizada na qual os firewalls da Série VMs da Palo Alto Networks são implantados. Ele fornece conectividade segura a todas as VCNs spoke, serviços Oracle Cloud Infrastructure, pontos finais e clientes públicos e redes de data center locais.
- A camada do aplicativo falava VCN
A VCN spoke da camada da aplicação contém uma sub-rede privada para hospedar componentes Oracle E-Business Suite ou PeopleSoft.
- A camada do banco de dados falava VCN
O VCN spoke da camada de banco de dados contém uma sub-rede privada para hospedar bancos de dados Oracle.
- Balanceador de carga
O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no backend.
- Balanceador de carga de rede flexível
O balanceador de carga de rede flexível da Oracle Cloud Infrastructure fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores de backend nas suas redes virtuais na nuvem. Ele opera no nível da conexão e equilibra as conexões do cliente de entrada com servidores de backend íntegros com base nos dados do Layer3/Layer4 (protocolo IP).
- Lista de segurança
Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.
- Tabela de Rota
As tabelas de roteamento virtuais contêm regras para rotear tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.
Na VCN hub, você tem as seguintes tabelas de roteamento:
- Tabela de roteamento de gerenciamento anexada à sub-rede de gerenciamento que tem uma rota padrão conectada ao gateway de internet.
- Tabela de roteamento não confiável anexada à sub-rede não confiável ou à VCN default para rotear tráfego da VCN hub para a Internet ou alvos locais.
Essa tabela de roteamento também tem uma entrada adicional apontando para suas sub-redes locais usando um gateway de roteamento dinâmico. Isso garante que nenhuma interrupção de tráfego ocorra durante o suporte futuro à tradução de endereços de rede nativa.
- Tabela de roteamento confiável anexada à sub-rede confiável que aponta para o bloco CIDR das VCNs spoke por meio dos LPGs associados.
- Tabela de roteamento do balanceador de carga de rede (NLB) anexada à sub-rede NLB que aponta para o bloco CIDR de sub-redes locais usando gateways de roteamento dinâmico.
- Para cada spoke anexado ao hub, uma tabela de roteamento distinta é definida e anexada a um LPG associado. Essa tabela de roteamento encaminha todo o tráfego (0.0.0.0/0) do LPG falado associado por meio do balanceador de carga de rede flexível interno, ou você também pode defini-lo no nível granular.
- Tabela de roteamento do gateway de serviço Oracle anexada ao gateway de serviço Oracle para comunicação da Rede de Serviços Oracle. Essa rota encaminha todo o tráfego (0.0.0.0/0) para o IP VIP do balanceador de carga interno.
- Para manter a simetria do tráfego, as rotas também são adicionadas a cada Firewall da Série VMs da Palo Alto Networks para apontar o bloco CIDR do tráfego spoke para o IP de gateway padrão da sub-rede confiável (interna) (o IP de gateway padrão disponível na sub-rede confiável na VCN hub) e o bloco CIDR padrão (0.0.0.0/0) apontando para IP de gateway padrão da sub-rede Não Confiável.
- Gateway de Internet
O gateway de internet permite o tráfego entre as sub-redes públicas em uma VCN e a internet pública.
- Gateway NAT
O gateway NAT permite que recursos privados em uma VCN acessem hosts na Internet, sem expor esses recursos a conexões de internet de entrada.
- Gateway de pareamento local (LPG)
Um LPG permite que você pare um VCN com outro VCN na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem o tráfego que atravessa a Internet ou roteamento através de sua rede local.
- Gateway de roteamento dinâmico (DRG)
A DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.
- Gateway de serviço
O gateway de serviço fornece acesso de uma VCN a outros serviços, como Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.
- FastConnect
O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o Oracle Cloud Infrastructure. O FastConnect fornece opções de largura de banda mais altas e uma experiência de rede mais confiável quando comparado às conexões baseadas na internet.
- Placa de interface de rede virtual (VNIC)
Os serviços nos data centers do Oracle Cloud Infrastructure têm placas de interface de rede física (NICs). As instâncias da máquina virtual se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante a inicialização e está disponível durante a vida útil da instância. DHCP é oferecido somente para a VNIC primária. Você pode adicionar VNICs secundárias após a inicialização da instância. Você deve definir IPs estáticos para cada interface.
- IPs Privados
Um endereço IPv4 privado e informações relacionadas para tratar uma instância. Cada VNIC tem um IP privado primário e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal em uma instância é anexado durante a inicialização da instância e não é alterado durante a vida útil da instância. IPs secundários também devem pertencer ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante porque pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como um ponto final diferente para hospedar diferentes serviços.
- IPs Públicos
Os serviços de rede definem um endereço IPv4 público escolhido pelo Oracle mapeado para um IP privado.
- Efêmero: Este endereço é temporário e existe durante a vida útil da instância.
- Reservado: Este endereço persiste além do tempo de vida da instância. Ele pode ser desatribuído e reatribuído a outra instância.
- Verificação de origem e destino
Cada VNIC executa a verificação de origem e destino em seu tráfego de rede. A desativação desse flag permite que o CGNS trate o tráfego de rede que não está direcionado para o firewall.
- Formato de computação
A forma de uma instância de computação especifica o número de CPUs e a quantidade de memória alocada para a instância. A forma de computação também determina o número de VNICs e a largura de banda máxima disponíveis para a instância de computação.
Recomendações
- VCN
Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.
Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretenda configurar conexões privadas.
Depois de criar um VCN, você poderá alterar, adicionar e remover seus blocos CIDR.
Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos em uma camada ou função específica à mesma sub-rede, que pode servir como um limite de segurança.
Usar sub-redes regionais.
Verifique o número máximo de LPGs por VCN em seus limites de serviço, caso deseje estender essa arquitetura para vários ambientes e aplicativos.
- Firewall Palo Alto Networks VM-Series
- Implante um cluster ativo/ativo e, se necessário, adicione instâncias adicionais.
- Sempre que possível, implante em domínios de falha distintos em um mínimo ou em domínios de disponibilidade diferentes.
- Certifique-se de que o MTU esteja definido como 9000 em todas as VNICs.
- Utilizar interfaces VFIO.
- Gerenciamento de segurança de firewall Palo Alto Networks VM-Series
- Se você estiver criando uma implantação hospedada no Oracle Cloud Infrastructure, crie uma sub-rede dedicada para gerenciamento.
- Use listas de segurança ou NSGs para restringir o acesso de entrada às portas 443 e 22 originadas da Internet para administração da política de segurança e para exibir logs e eventos.
- Políticas de firewall da série VMs da Palo Alto Networks
Garante que você configurou as políticas de conversão de endereço de rede necessárias ativadas nas instâncias do Firewall VM-Series. Consulte a documentação do firewall na seção Explorar Mais para obter as informações mais atualizadas sobre políticas, portas e protocolos de segurança necessários.
Considerações
Ao proteger cargas de trabalho do Oracle E-Business Suite ou do PeopleSoft no Oracle Cloud Infrastructure usando o Firewall Palo Alto Networks VM-Series, considere o seguinte:
- Desempenho
- A seleção do tamanho adequado da instância, que é determinada pela forma de computação, determina o throughput máximo disponível, a CPU, a RAM e o número de interfaces.
- As organizações precisam saber quais tipos de tráfego atravessam o ambiente, determinar os níveis de risco apropriados e aplicar controles de segurança adequados, conforme necessário. Diferentes combinações de controles de segurança ativados impactam o desempenho.
- Considere adicionar interfaces dedicadas para serviços FastConnect ou VPN.
- Considere o uso de grandes formas de computação para obter maior throughput e acesso a mais interfaces de rede.
- Execute testes de desempenho para validar que o projeto pode manter o desempenho e o throughput necessários.
- Segurança
A implantação do Firewall do Palo Alto Networks VM-Series no Oracle Cloud Infrastructure permite a configuração centralizada da política de segurança e o monitoramento de todas as instâncias físicas e virtuais do Palo Alto Networks VM-Series.
- Disponibilidade
- Implante sua arquitetura em regiões geográficas distintas para maior redundância.
- Configure VPNs site a site com redes organizacionais relevantes para conectividade redundante com redes locais.
- Custo
- O Firewall da Série VMs da Palo Alto Networks está disponível nos modelos de licença "traga-your-own-license" (BYOL) e "pay-as-you-go" para o Pacote 1 e Pacote 2 no Oracle Cloud Marketplace.
- O pacote 1 inclui a licença de capacidade VM-Series, a licença de prevenção de ameaças e um direito de suporte premium.
- O Pacote 2 inclui a licença de capacidade VM-Series com o conjunto completo de licenças que inclui prevenção de ameaças, WildFire, filtragem de URL, segurança DNS, GlobalProtect e um direito de suporte premium.
- O Firewall da Série VMs da Palo Alto Networks está disponível nos modelos de licença "traga-your-own-license" (BYOL) e "pay-as-you-go" para o Pacote 1 e Pacote 2 no Oracle Cloud Marketplace.
Implantar
Você pode implantar o Firewall Palo Alto Networks VM-Series no Oracle Cloud Infrastructure usando o Oracle Cloud Marketplace. Você também pode baixar o código do Github e personalizá-lo para atender às suas necessidades específicas de negócios.
A Oracle recomenda implantar a arquitetura do Oracle Cloud Marketplace.
- Implante usando a pilha no Oracle Cloud Marketplace:
- Configure a infraestrutura de rede necessária, conforme mostrado no diagrama de arquitetura. Consulte Configurar uma topologia de rede hub-and-spoke.
- Implante o aplicativo (Oracle E-Business Suite ou PeopleSoft) no seu ambiente.
- O Oracle Cloud Marketplace tem várias listagens para diferentes configurações e requisitos de licenciamento. Por exemplo, o recurso de listagens a seguir traz seu próprio licenciamento (BYOL). Para cada listagem escolhida, clique em Obter Aplicativo e siga os prompts na tela:
- Implante usando o código Terraform no GitHub:
- Vá para o repositório do GitHub.
- Clone ou faça download do repositório para o computador local.
- Siga as instruções no documento
README.