Proteja Suas Cargas de Trabalho em Execução no Oracle Cloud Infrastructure com FortiGate

O Oracle Cloud Infrastructure (OCI) oferece os melhores processos operacionais e tecnologia de segurança para proteger seus serviços de nuvem empresarial. No entanto, a segurança na nuvem se baseia em um modelo de responsabilidade compartilhada. A Oracle é responsável pela segurança da infraestrutura subjacente, como instalações de data center, hardware e software para gerenciar operações e serviços de nuvem. Os clientes são responsáveis por proteger suas cargas de trabalho e configurar seus serviços e aplicativos de forma segura para atender às obrigações de conformidade.

As empresas estão se voltando para o Generation 2 Cloud Infrastructure da Oracle para criar novos aplicativos, estender data centers internos e, em última análise, aproveitar a elasticidade da nuvem pública. Essas mesmas empresas estão se voltando para o Fortinet para ajudar a proteger seus aplicativos e dados no OCI.

As soluções Fortinet Adaptive Cloud Security protegem cargas de trabalho e aplicativos em data centers e ambientes de nuvem locais com segurança em várias camadas para aplicativos baseados em nuvem. O Fortinet Security Fabric abrange data centers e nuvens para fornecer uma visão consolidada da postura de segurança, uma única console para geração de relatórios de gerenciamento e governança de políticas e monitoramento de eventos, independentemente da infraestrutura física, virtual ou em nuvem, em nuvens privadas, públicas e híbridas.

As soluções Fortinet estão disponíveis no Oracle Cloud Marketplace, conforme demanda e BYOL (Bring-your-own-license).

Arquitetura

Esta arquitetura de referência ilustra como as organizações podem proteger aplicativos Oracle, como o Oracle E-Business Suite e o PeopleSoft, implantados no OCI usando um firewall FortiGate e design simplificado com um gateway de roteamento dinâmico (DRG).

Para proteger esses fluxos de tráfego, a Fortinet recomenda segmentar a rede usando uma topologia de hub e spoke, em que o tráfego é roteado por meio de um hub de trânsito e é conectado a várias redes distintas (spokes). Certifique-se de ter implantado um cluster FortiGate de alta disponibilidade. Todo o tráfego entre spokes, de/para a internet, de/para local ou para o Oracle Services Network, é roteado por meio do hub e inspecionado com o firewall FortiGate da Fortinet, que oferece recursos de firewall de última geração para organizações de todos os tamanhos, com a flexibilidade de ser implantada como um firewall de última geração, um firewall de segmentação interna ou um gateway de rede privada virtual (VPN). Ele protege contra ameaças cibernéticas com alto desempenho, eficácia de segurança e visibilidade profunda.

Implante cada camada do seu aplicativo em sua própria rede virtual na nuvem (VCN), que atua como um spoke. A VCN de hub contém um cluster ativo-passivo de alta disponibilidade, gateway de internet da Oracle, DRG e Oracle Service Gateway.

Essa arquitetura pode fornecer um design altamente escalável e modular para conectar vários spokes, em que cada rede falada representa a camada de um aplicativo, como web, aplicativo e banco de dados. Ele funciona em um ambiente, como produção, teste e desenvolvimento, e em diferentes infraestruturas, como regiões, data center local e multicloud.

A VCN de hub se conecta às VCNs de spoke por meio do DRG. Todo o tráfego de spoke usa regras de tabela de roteamento para rotear o tráfego pelo DRG para o hub usando a tabela de roteamento de entrada da VCN para o firewall FortiGate para inspeção.

Você também pode gerenciar o firewall FortiGate usando FortiManager. O Gerenciamento de painel único do FortiManager oferece uma estratégia centralizada de gerenciamento e provisionamento construída em torno da malha de segurança do Fortinet, que integra firmemente a infraestrutura de rede e a arquitetura de segurança de uma organização para aplicar controle de acesso, segmentação e proteção consistente de dispositivos, aplicativos e usuários.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração fortigate-oci-arch.png

Para cada fluxo de tráfego, verifique se as políticas de segurança, traduções de endereço de rede (NAT) e rotas estão presentes nos Firewalls FortiGate.

• Tráfego de entrada do norte-americano

  O diagrama a seguir ilustra como o tráfego de entrada norte-sul acessa a camada de aplicativos Web pela Internet e por meio de data centers remotos.

  
  Descrição da ilustração fort-oci-ns-inbound.png

• Tráfego de saída do norte-sul

  O diagrama a seguir ilustra como as conexões de saída do aplicativo Web e das camadas de banco de dados com a Internet fornecem atualizações de software e acesso a serviços Web externos.

  
  Descrição da ilustração fort-oci-ns-outbound.png

• Tráfego leste-oeste (da Web ao banco de dados)

  O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para a camada do banco de dados.

  
  Descrição da ilustração fort-oci-ew-w2db.png

• Tráfego leste-oeste (banco de dados para a Web)

  O diagrama a seguir ilustra como o tráfego é movido da camada do banco de dados para o aplicativo Web.

  
  Descrição da ilustração fort-oci-ew-db2w.png

• Tráfego leste-oeste (Aplicativo Web para Oracle Services Network)

  O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para o Oracle Services Network.

  
  Descrição da ilustração fort-oci-ew-w2osn.png

• Tráfego leste-oeste (Oracle Services Network to Web Application)

  O diagrama a seguir ilustra como o tráfego passa do Oracle Services Network para o aplicativo Web.

  
  Descrição da ilustração fort-oci-ew-osn2w.png

A arquitetura tem os seguintes componentes:

• Fortinet FortiGate firewall de última geração

  Fornece serviços de rede e segurança, como proteção contra ameaças, inspeção de SSL e latência ultrabaixa, para proteger segmentos internos e ambientes de missão crítica. Ele suporta virtualização direta de E/S de raiz única (SR-IOV) para um melhor desempenho. FortiGate pode ser implantado diretamente no Oracle Cloud Marketplace.

• Fortinet FortiManager

  Fornece gerenciamento de painel único na rede e fornece visualizações históricas e em tempo real na atividade da rede.

• Camada de aplicativos do Oracle E-Business Suite ou PeopleSoft

  Composto dos servidores de aplicativos Oracle E-Business Suite ou PeopleSoft e do sistema de arquivos.

• Oracle E-Business Suite ou camada de banco de dados PeopleSoft

  Composto do serviço Oracle Database, mas não limitado ao serviço Oracle Exadata Database Cloud ou ao Oracle Database.

• Região

  Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

• Domínio de disponibilidade

  Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou a rede interna de domínios de disponibilidade. Portanto, uma falha em um domínio de disponibilidade provavelmente não afetará os outros domínios de disponibilidade na região.

• Domínio de falha

  Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

• Rede virtual na nuvem (VCN) e sub-rede

  Uma VCN é uma rede personalizável definida por software que você configura em uma região OCI. Como as redes de data center tradicionais, as VCNs permitem controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você poderá alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter como escopo uma região ou um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não são sobrepostos com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• VCN de Hub

  A VCN de hub é uma rede centralizada na qual as instâncias do Firewall Fortinet FortiGate são implantadas. Ele oferece conectividade segura com todas as VCNs de spoke, serviços OCI, pontos finais e clientes públicos e redes de data center locais.

• VCN de spoke da camada do aplicativo

  A VCN spoke da camada de aplicativos contém uma sub-rede privada para hospedar componentes do Oracle E-Business Suite ou do PeopleSoft.

• VCN de spoke da camada do banco de dados

  A VCN de spoke da camada do banco de dados contém uma sub-rede privada para hospedar bancos de dados Oracle.

• Balanceador de carga

  O serviço OCI Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no backend.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que devem ser permitidos dentro e fora da sub-rede.

• Tabela de roteamento
  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways. Na VCN hub, você tem as seguintes tabelas de roteamento:

  • Tabela de roteamento de gerenciamento anexada à sub-rede de gerenciamento, que tem uma rota padrão conectada ao gateway de internet
  • Tabela de roteamento não confiável anexada à sub-rede não confiável ou à VCN padrão para rotear tráfego da VCN de hub para destinos da internet ou locais. Essa tabela de roteamento também tem entradas para cada rota de bloco CIDR de VCNs de spoke por meio de gateways de roteamento dinâmico.
  • Tabela de roteamento de confiança anexada à sub-rede de confiança apontando para o bloco CIDR das VCNs de spoke por meio de gateways de roteamento dinâmico
  • Tabela de roteamento de alta disponibilidade anexada à sub-rede de alta disponibilidade para o bloco CIDR no qual você deseja enviar o tráfego
  • A tabela de roteamento de entrada da VCN de hub é anexada ao anexo da VCN de hub para enviar qualquer tráfego de entrada de VCNs de spoke por meio do gateway de roteamento dinâmico para a interface de confiança do firewall FortiGate
  • Para cada spoke anexado ao hub por meio de gateways de roteamento dinâmico, uma tabela de roteamento distintas é definida e anexada a uma sub-rede associada. Essa tabela de roteamento encaminha todo o tráfego (0.0.0.0/0) da VCN de spoke associada a gateways de roteamento dinâmico por meio da interface de confiança de firewall FortiGate flutuante de IP.
  • Tabela de roteamento do gateway de serviço Oracle anexado ao gateway de serviço Oracle para comunicação do Oracle Service Network. Essa rota encaminha todo o tráfego (0.0.0.0/0) para o IP flutuante da interface de confiança do firewall FortiGate.

  Para manter a simetria de tráfego, as rotas também são adicionadas a cada firewall FortiGate para apontar o bloco CIDR do tráfego da VCN de spoke para o IP de gateway padrão da sub-rede confiável (o primeiro IP da sub-rede confiável na VCN de hub) e o bloco CIDR padrão (0.0.0.0/0) para apontar para o IP de gateway padrão da sub-rede não confiável (o primeiro IP da sub-rede não confiável na VCN de hub).
• Gateway de internet

  O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway NAT

  O gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet recebidas.

• DRG (Dynamic Routing Gateway)

  O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede local ou uma rede em outro provedor de nuvem.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como o OCI Object Storage. O tráfego da VCN para o serviço Oracle viagens pela malha da rede Oracle e nunca atravessa a internet.

• FastConnect

  O OCI FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o OCI. O Serviço FastConnect fornece opções de maior largura de banda e uma experiência de rede mais confiável quando comparado com conexões baseadas na Internet.

• VNIC (Virtual Network Interface Card)

  Os serviços nos data centers do OCI têm NICs (network interface cards) físicas. As instâncias de máquina virtual (VM) se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante o processo de inicialização e está disponível durante o ciclo de vida da instância. O DHCP é oferecido somente para o VNIC principal. Você pode adicionar VNICs secundárias após a inicialização da instância. Defina IPs estáticos para cada interface.

• IPs Privados

  Um endereço IPv4 privado e informações relacionadas para acessar uma instância. Cada VNIC tem um IP privado principal, e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal de uma instância é anexado durante a inicialização da instância e não é alterado durante o tempo de vida da instância. Os IPs secundários também pertencem ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante porque ele pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como um ponto final diferente para hospedar serviços diferentes.

• IPs Públicos

  Os serviços de rede definem um endereço IPv4 público escolhido pela Oracle que é mapeado para um IP privado. Os IPs Públicos têm os seguintes tipos: Efêmero: Esse endereço é temporário e existe durante a vida útil da instância. Reservado: Este endereço persiste além do tempo de vida da instância. Não pode ser atribuído e reatribuído a outra instância.

• Verificação de origem e destino

  Cada VNIC executa a verificação de origem e destino em seu tráfego de rede. A desabilitação desse sinalizador permite que os Firewalls FortiGate do Fortinet manipulem o tráfego de rede que não é direcionado para o firewall.

• Forma de computação

  A forma de uma instância de computação especifica o número de CPUs e o volume de memória alocado para a instância. A configuração do Compute também determina o número de VNICs e a largura de banda máxima disponível para a instância do Compute.

Recomendações

Use as recomendações a seguir como ponto de partida para proteger as cargas de trabalho do Oracle E-Business Suite ou do PeopleSoft no OCI usando o Fortinet FortiGate Firewall. Os requisitos podem diferir da arquitetura descrita aqui.

• VCN

  Quando você cria uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

  Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

  Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere seu fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou função específica à mesma sub-rede, que pode servir como limite de segurança.

  Use sub-redes regionais. Anexe suas VCNs de spoke conforme necessário para que você possa enviar tráfego aos firewalls FortiGate de hub da VCN. Defina as tabelas de roteamento de e para cada anexo VCN de gateways de roteamento dinâmico.

• Firewall Fortinet FortiGate
  • Implante um cluster ativo-passivo e, se necessário, adicione mais instâncias.
  • Sempre que possível, implante em domínios de falha distintos em um domínio de disponibilidade mínimo ou diferente.
  • Certifique-se de que MTU esteja definido como 9000 em todas as VNICs.
  • Usar interfaces de E/S (VFIO) de função virtual.
• Fortinet FortiGate Gerenciamento de firewall
  • Se você estiver criando uma implantação hospedada no OCI, crie uma sub-rede dedicada para gerenciamento.
  • Use listas de segurança ou NSGs para restringir o acesso de entrada às portas 443 e 22 originadas na internet para administração da política de segurança e para exibir logs e eventos.
• Políticas de firewall

  Para obter as informações mais atualizadas sobre políticas, portas e protocolos de segurança necessários, consulte a documentação de firewall na seção Explore Mais. Manter-se atualizado garante que você tenha configurado as políticas de conversão de endereço de rede/políticas de segurança necessárias ativadas nas instâncias de firewall FortiGate do Fortinet.

Considerações

Ao proteger as cargas de trabalho do Oracle E-Business Suite ou PeopleSoft no OCI usando o Fortinet FortiGate Firewall, considere os seguintes fatores:

• Desempenho
  • Selecionar o tamanho correto da instância, determinado pela forma de Computação, determina o throughput máximo disponível, a CPU, a RAM e o número de interfaces.
  • As organizações precisam saber quais tipos de tráfego percorre o ambiente, determinar os níveis de risco apropriados e aplicar controles de segurança adequados, conforme necessário. Diferentes combinações de controles de segurança ativados afetam o desempenho.
  • Considere adicionar interfaces dedicadas para serviços FastConnect ou VPN. Considere o uso de grandes configurações do Compute para maior throughput e acesso a mais interfaces de rede.
  • Executar testes de desempenho para validar o design pode manter o desempenho e o throughput necessários.
• Segurança

  A implantação do Fortinet FortiManager no OCI permite a configuração centralizada da política de segurança e o monitoramento de todos os firewalls físicos e virtuais do Fortinet FortiGate.

• Disponibilidade

  Implante sua arquitetura em regiões geográficas distintas para obter maior redundância. Configure VPNs de site a site com redes organizacionais relevantes para conectividade redundante com redes locais.

• Custo

  O Fortinet FortiGate oferece listagens de pagamento conforme o uso ou BYOL (Bring-as-you-go) no Oracle Cloud Marketplace e FortiManager está disponível em listagens BYOL no Oracle Cloud Marketplace.

Implantar

Você pode implantar o firewall FortiGate no OCI usando o Oracle Cloud Marketplace. Você também pode fazer download do código do GitHub e personalizá-lo de acordo com seus requisitos de negócios específicos para implantar essa arquitetura. A Oracle recomenda implantar a arquitetura do Oracle Cloud Marketplace.Você também pode fazer download do código do GitHub e personalizá-lo de acordo com seus requisitos comerciais específicos.

• Implante usando a pilha no Oracle Cloud Marketplace:
  1. Configure a infraestrutura de rede necessária conforme mostrado no diagrama de arquitetura.
  2. Implante o aplicativo (Oracle E-Business Suite ou PeopleSoft) no seu ambiente.
  3. O Oracle Cloud Marketplace tem várias listagens para diferentes configurações e requisitos de licenciamento. Por exemplo, o recurso de listas a seguir traz seu próprio licenciamento (BYOL). Para cada listagem escolhida, clique em Obter Aplicativo e siga os prompts na tela:
     • Listagens do Fortinet FortiGate BYOL
     • FortiManager BYOL (Gerenciamento de segurança centralizado)
     • Listas do Fortinet Marketplace
• Implante usando o código do Terraform no GitHub:
  1. Vá para GitHub.
  2. Clone ou faça download do repositório no computador local.
  3. Siga as instruções no documento README.

Explorar Mais

Saiba mais sobre como usar o FortiGate com o Oracle Cloud Infrastructure.

Materiais de referência do Oracle Cloud Infrastructure: :

• Estrutura de melhores práticas para o Oracle Cloud Infrastructure
• Visão Geral da Segurança do Oracle Cloud Infrastructure
• Saiba mais sobre como implementar o Oracle E-Business Suite no Oracle Cloud Infrastructure
• Aprenda como implementar o PeopleSoft no Oracle Cloud Infrastructure
• Saiba mais sobre o uso do Gateway de Roteamento Dinâmico para Direcionar Tráfego ao Firewall
• Implante Firewalls FortiGate e Proteja suas cargas de trabalho no OCI Workshop

Materiais de referência do Fortinet FortiGate:

• Guia de Administração do Oracle Cloud Infrastructure da FortiGate
• Pacote Oracle PeopleSoft Seguro com o Fortinet Security Fabric
• Fortinet FortiGate - Hub e arquitetura Spoke