1. Proteja suas cargas de trabalho na nuvem com o firewall da série de VMs Palo Alto Networks e simplifique seu design
  2. Proteja suas cargas de trabalho na nuvem com o firewall da série de VMs Palo Alto Networks e simplifique seu projeto

Proteja suas cargas de trabalho na nuvem com o firewall da série de VMs Palo Alto Networks e simplifique seu projeto

A segurança na nuvem se baseia em um modelo de responsabilidade compartilhada. A Oracle é responsável pela segurança da infraestrutura subjacente, como instalações de data center, hardware e software para gerenciar operações e serviços de nuvem. Os clientes são responsáveis por proteger suas cargas de trabalho e configurar seus serviços e aplicativos de forma segura para atender às suas obrigações de conformidade.

O Oracle Cloud Infrastructure (OCI) oferece os melhores processos operacionais e tecnologia de segurança para proteger seus serviços de nuvem empresarial. Os firewalls da série VM para OCI oferecem prevenção de ameaças consistente e segurança de rede em linha em ambientes de nuvem, ajudando as equipes de segurança de rede a recuperar a visibilidade e o controle sobre o tráfego em suas redes na nuvem. Como parte da família de NGFWs capacitados para AM do Palo Alto Networks, a série VM oferece todos os mesmos recursos que os firewalls de hardware líderes do setor do Palo Alto em um fator de forma da VM, tornando-o altamente escalável, um pré-requisito para ambientes de nuvem.

O VM-Series expande os recursos de firewall da Camada 7 integrando-se perfeitamente nas assinaturas de segurança fornecidas pela nuvem do Palo Alto Networks, como os outros firewalls de última geração do Palo Alto Networks (Firewalls de contêiner CN-Series e firewalls físicos do PA-Series) e o Prisma Access. Essas assinaturas de segurança fornecidas pela nuvem coordenam recursos de inteligência e fornecem proteção em todos os vetores de ataque. Essa segurança elimina lacunas de cobertura geradas por ferramentas de segurança de rede distintas e fornece uma experiência de plataforma consistente para proteger sua organização contra as ameaças mais avançadas e evasivas.

Esta arquitetura de referência mostra como você pode usar o firewall VM-Series para proteger suas cargas de trabalho e fornece um modelo baseado no Terraform para implantar a arquitetura.

Arquitetura

Esta arquitetura de referência ilustra como as organizações podem proteger aplicativos Oracle, como Oracle E-Business Suite, PeopleSoft e aplicativos implantados no OCI usando o firewall Palo Alto Networks VM-Series, com balanceadores de carga de rede flexíveis, além de simplificar o design usando gateways de roteamento dinâmico (DRGs).

Para proteger esses fluxos de tráfego, a Palo Alto Networks recomenda segmentar a rede usando uma topologia de hub e spoke, onde o tráfego é roteado através de um hub central e é conectado a várias redes distintas (spokes). Verifique se você implantou várias instâncias de VM-Series entre balanceadores de carga de rede flexíveis, considerados uma topologia de sanduíche. Todo o tráfego entre spokes, de/para a internet, de/para local ou para o Oracle Services Network, é roteado por meio do hub e inspecionado com as tecnologias de prevenção de ameaças multicamadas do firewall Palo Alto Networks.

Implante cada camada do seu aplicativo em sua própria rede virtual na nuvem (VCN), que atua como um spoke. A VCN de hub contém um cluster ativo-ativo de firewall da Série de VM Palo Alto Networks, gateway de internet da Oracle, DRG, Oracle Service Gateway e balanceadores de carga de rede flexíveis internos e externos.

A VCN de hub se conecta às VCNs de spoke por meio de um DRG. Cada VCN tem um anexo ao DRG, o que permite que eles se comuniquem entre si. Todo o tráfego de spoke usa regras de tabela de roteamento para rotear o tráfego pelo DRG para o hub usando um balanceador de carga de rede flexível para inspeção pelo cluster de firewall VM-Series da Palo Alto Networks.

Você pode configurar e gerenciar o firewall Palo Alto Networks localmente, ou pode gerenciá-lo centralmente usando o Panorama, o sistema de gerenciamento de segurança centralizado do Palo Alto Networks. O Panorama ajuda os clientes a reduzir a complexidade e a sobrecarga administrativa no gerenciamento de configurações, políticas, softwares e atualizações dinâmicas de conteúdo. Usando grupos de dispositivos e modelos no Panorama, você pode gerenciar de forma eficaz a configuração específica do firewall localmente em um firewall e aplicar políticas compartilhadas em todos os firewalls ou grupos de dispositivos.

O diagrama a seguir ilustra essa arquitetura de referência.

Veja a seguir a descrição da ilustração drg_nlb_oci_pan_arch.png
Descrição da ilustração drg_nlb_oci_pan_arch.png

Cada fluxo de tráfego garante que a conversão de endereço de rede (NAT) e as políticas de segurança estejam abertas em um Firewall de Série de VM. O caso de uso do Balanceador de Carga de Rede Flexível atualmente suportado requer que você ative o NAT de origem nos firewalls dos quais o tráfego está saindo.

Tráfego de internet de entrada do norte-americano

O diagrama a seguir ilustra como o tráfego de entrada norte-sul acessa a camada de aplicativos Web pela Internet.

Veja a seguir a descrição da ilustração nor_south_inbound.png
Descrição da ilustração nor_south_inbound.png

Tráfego de Internet de saída do norte-americano

O diagrama a seguir ilustra como as conexões de saída do aplicativo Web e das camadas de banco de dados com a Internet fornecem atualizações de software e acesso a serviços Web externos.

Veja a seguir a descrição da ilustração nor_south_outbound.png
Descrição da ilustração nor_south_outbound.png

Tráfego leste-oeste (da Web ao banco de dados)

O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para a camada do banco de dados.

Veja a seguir a descrição de east_west_w2db.png
Descrição da ilustração east_west_w2db.png

Tráfego leste-oeste (banco de dados para a Web)

O diagrama a seguir ilustra como o tráfego é movido da camada do banco de dados para o aplicativo Web.

Veja a seguir a descrição de east_west_db2w.png
Descrição da ilustração east_west_db2w.png

Tráfego leste-oeste (Aplicativo Web para Oracle Services Network)

O diagrama a seguir ilustra como o tráfego passa do aplicativo Web para o Oracle Services Network.

Veja a seguir a descrição de east_west_webapp2osn.png
Descrição da ilustração east_west_webapp2osn.png

Tráfego leste-oeste (Oracle Services Network to Web Application)

O diagrama a seguir ilustra como o tráfego passa do Oracle Services Network para o aplicativo Web.

Veja a seguir a descrição de east_west_osn2webapp.png
Descrição da ilustração east_west_osn2webapp.png

A arquitetura tem os seguintes componentes:
  • Firewall da VM-Series das redes Palo Alto

    Fornece todos os recursos dos firewalls físicos de última geração em um formulário de máquina virtual (VM), entregando segurança de rede em linha e prevenção de ameaças para proteger de forma consistente as nuvens públicas e privadas.

  • Camada de aplicativos do Oracle E-Business Suite ou PeopleSoft

    Composto dos servidores de aplicativos e do sistema de arquivos do Oracle E-Business Suite ou PeopleSoft.

  • Camada do Oracle E-Business Suite ou do banco de dados PeopleSoft

    Composto do Oracle Database, mas não limitado ao serviço Oracle Exadata Database Cloud ou aos serviços do Oracle Database.

  • Região

    Uma região do OCI é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

  • Domínio de disponibilidade

    Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que fornece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou a rede interna de domínios de disponibilidade. Portanto, uma falha em um domínio de disponibilidade provavelmente não afetará os outros domínios de disponibilidade na região.

  • Domínio de falha

    Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

  • Rede virtual na nuvem (VCN) e sub-rede

    Uma VCN é uma rede personalizável definida por software que você configura em uma região OCI. Como as redes de data center tradicionais, as VCNs permitem controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você poderá alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que você pode definir como escopo uma região ou um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não são sobrepostos com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • VCN de Hub

    A VCN de hub é uma rede centralizada na qual os firewalls da VM-Series do Palo Alto Networks são implantados. Ele oferece conectividade segura com todas as VCNs de spoke, serviços OCI, pontos finais e clientes públicos e redes de data center locais. VCN de spoke da camada de aplicativo A VCN de spoke da camada de aplicativo contém uma sub-rede privada para hospedar componentes do Oracle E-Business Suite ou do PeopleSoft.

  • VCN de spoke da camada do banco de dados

    A VCN de spoke da camada do banco de dados contém uma sub-rede privada para hospedar bancos de dados Oracle.

  • Balanceador de carga

    O serviço OCI Load Balancing fornece distribuição automatizada de tráfego de um ponto de entrada único para vários servidores no backend.

  • Balanceador de carga da rede flexível

    O balanceador de carga de rede flexível do OCI fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores de backend nas suas VCNs. Ele opera no nível de conexão e em balanceadores de carga conexões de clientes recebidas com servidores de backend íntegros baseados em dados de Layer3 ou Layer4 (protocolo IP).

  • Lista de segurança

    Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que devem ser permitidos dentro e fora da sub-rede.

  • Tabela de roteamento

    As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways. Na VCN hub, você tem as seguintes tabelas de roteamento:

    • Tabela de roteamento de gerenciamento anexada à sub-rede de gerenciamento, que tem uma rota padrão conectada ao gateway de internet.
    • Tabela de roteamento não confiável anexada à sub-rede não confiável ou à VCN padrão para rotear tráfego da VCN hub para destinos de VCNs de spoke na internet ou no local por meio do DRG. Esta tabela de roteamento também tem entradas para cada rota de bloco CIDR de VCNs de spoke por meio de DRGs.
    • A tabela de roteamento confiável anexada à sub-rede confiável apontando para o bloco CIDR das VCNs de spoke por meio do DRG.
    • A tabela de roteamento do balanceador de carga de rede (NLB) anexada à sub-rede NLB, apontando para o bloco CIDR das VCNs de spoke por meio do DRG.
    • Para cada spoke anexado ao hub por um DRG, uma tabela de roteamento distinta é definida e o destino da rota é usado como DRG. Essa tabela de roteamento encaminha todo o tráfego (0.0.0.0/0) da VCN de spoke para o DRG por meio do balanceador de carga de rede flexível interno ou você também pode defini-lo em nível granular.
    • A tabela de roteamento do gateway de serviço Oracle anexada ao gateway de serviço Oracle para comunicação do Oracle Services Network. Essa rota encaminha todo o tráfego (0.0.0.0/0) ao IP VIP do balanceador de carga da rede privada interna.
    • Para manter a simetria de tráfego, as rotas também são adicionadas a cada firewall da Série de VM da Palo Alto Networks para apontar o bloco CIDR do tráfego de spoke para o IP de gateway padrão da sub-rede confiável (interna) e o bloco CIDR padrão (0.0.0.0/0) apontando para o IP de gateway padrão da sub-rede não confiável. O IP de gateway padrão está disponível na sub-rede confiável na VCN de hub.
  • Gateway de internet

    O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

  • Gateway NAT

    O gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet recebidas.

  • DRG (Dynamic Routing Gateway)

    O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do OCI, uma rede local ou uma rede em outro provedor de nuvem.

  • Gateway de serviço

    O gateway de serviço fornece acesso de uma VCN a outros serviços, como o OCI Object Storage. O tráfego da VCN para o serviço Oracle viagens pela malha da rede Oracle e nunca atravessa a internet.

  • FastConnect

    O OCI FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre seu data center e o OCI. O Serviço FastConnect fornece opções de maior largura de banda e uma experiência de rede mais confiável quando comparado com conexões baseadas na Internet.

  • VNIC (Virtual Network Interface Card)

    Os serviços nos data centers do OCI têm NICs (network interface cards) físicas. As instâncias de VM se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante a implantação e está disponível durante o ciclo de vida da instância. O DHCP é oferecido somente para o VNIC principal. Você pode adicionar VNICs secundárias após a implantação da instância. Defina IPs estáticos para cada interface.

  • IPs Privados

    Um endereço IPv4 privado e informações relacionadas para acessar uma instância. Cada VNIC tem um IP privado principal, e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal de uma instância é anexado durante a implantação da instância e não é alterado durante a vida útil da instância. Os IPs secundários também pertencem ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante porque ele pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como um ponto final diferente para hospedar serviços diferentes.

  • IPs Públicos
    Os serviços de rede definem um endereço IPv4 público escolhido pela Oracle que é mapeado para um IP privado. Os IPs Públicos têm os seguintes tipos:
    • Efêmero: esse endereço é temporário e existe durante toda a vida útil da instância.
    • Reservado: Este endereço persiste além do tempo de vida da instância. Não pode ser atribuído e reatribuído a outra instância.
  • Verificação de origem e destino

    Cada VNIC executa a verificação de origem e destino em seu tráfego de rede. A desabilitação desse sinalizador permite que o firewall da série VM Palo Alto Networks manipule o tráfego de rede que não é direcionado para o firewall.

  • Forma de computação

    A forma de uma instância do Compute especifica o número de CPUs e o volume de memória alocado para a instância. A forma Computação também determina o número de VNICs e a largura de banda máxima disponível para a instância de computação.

Recomendações

Use as recomendações a seguir como ponto de partida para proteger as cargas de trabalho do Oracle E-Business Suite ou PeopleSoft no OCI usando o firewall Palo Alto Networks VM-Series. Os requisitos podem diferir da arquitetura descrita aqui.
  • VCN

    Quando você cria uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

    Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

    Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

    Ao projetar as sub-redes, considere seu fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou função específica à mesma sub-rede, que pode servir como limite de segurança.

    Se você quiser inspecionar o tráfego da VCN de spoke inteiro, use sub-redes regionais e certifique-se de que o CIDR da VCN de spoke esteja totalmente associado a sub-redes de spoke.

  • Firewall da Palo Alto Networks VM-Series
    • Implante um cluster ativo-ativo e adicione instâncias necessárias.
    • Sempre que possível, implante em domínios de falha distintos em um domínio de disponibilidade mínimo ou diferente.
    • Certifique-se de que MTU esteja definido como 9000 em todas as VNICs. Utilizar interfaces VFIO.
  • Gerenciamento de firewall da série VM Palo Alto Networks
    • Se você estiver criando uma implantação hospedada no OCI, crie uma sub-rede dedicada para gerenciamento.
    • Use listas de segurança ou gateways de serviço de rede para restringir o acesso de entrada às portas 443 e 22, provenientes da internet para administração da política de segurança e para exibir logs e eventos.
  • Políticas de firewall Palo Alto Networks VM-Series

    Consulte a documentação do firewall na seção Explore mais para obter as informações mais atualizadas sobre as políticas de segurança, portas e protocolos necessários. Certifique-se de ter configurado as políticas necessárias de conversão de endereço de rede ativadas em instâncias de firewall da Série de VMs.

Considerações

Ao proteger as cargas de trabalho do Oracle E-Business Suite ou PeopleSoft no OCI usando firewalls Palo Alto Networks VM-Series, considere os seguintes fatores:

  • Desempenho
    • Selecionar o tamanho correto da instância, determinado pela forma de Computação, determina o throughput máximo disponível, a CPU, a RAM e o número de interfaces.
    • As organizações precisam saber quais tipos de tráfego percorre o ambiente, determinar os níveis de risco apropriados e aplicar controles de segurança adequados, conforme necessário. Diferentes combinações de controles de segurança ativados afetam o desempenho.
    • Considere adicionar interfaces dedicadas para serviços FastConnect ou VPN.
    • Considere o uso de grandes configurações do Compute para maior throughput e acesso a mais interfaces de rede.
    • Executar testes de desempenho para validar o design pode manter o desempenho e o throughput necessários.
  • Segurança

    A implantação de um firewall Palo Alto Networks VM-Series no OCI permite a configuração centralizada da política de segurança e o monitoramento de todas as instâncias de VM-Series físicas e virtuais do Palo Alto Networks.

  • Disponibilidade
    • Implante sua arquitetura em regiões geográficas distintas para obter maior redundância.
    • Configure VPNs de site a site com redes organizacionais relevantes para conectividade redundante com redes locais.
  • Custo
    O firewall da série Palo Alto Networks está disponível nos modelos de licença BYOL (bring-your-own-license) e Pay As You Go do pacote 1 e do pacote 2 no Oracle Cloud Marketplace.
    • O Pacote 1 inclui a licença de capacidade da Série VM, a licença de prevenção de ameaças e um direito de suporte premium.
    • O bundle 2 inclui a licença de capacidade da VM-Series com o conjunto completo de licenças que inclui prevenção de ameaças, WildFire, filtragem de URLs, segurança de DNS, GlobalProtect e um direito de suporte premium.

Implantar

Você pode implantar o firewall VM-Series no OCI usando o Oracle Cloud Marketplace. Você também pode fazer download do código do GitHub e personalizá-lo de acordo com seus requisitos de negócios específicos. A Oracle recomenda a implantação da arquitetura no Oracle Cloud Marketplace.
  • Implante usando a pilha no Oracle Cloud Marketplace:
    1. Configure a infraestrutura de rede necessária conforme mostrado no diagrama de arquitetura. Consulte o exemplo, Configure uma topologia de rede hub e spoke.
    2. Implante o aplicativo (Oracle E-Business Suite ou PeopleSoft ou aplicativos) em seu ambiente.
    3. O Oracle Cloud Marketplace tem várias listagens para diferentes configurações e requisitos de licenciamento. Por exemplo, o recurso de listagens a seguir traz seu próprio licenciamento (BYOL) ou pago. Para cada listagem escolhida, clique em Obter Aplicativo e siga os prompts na tela:
  • Implante usando o código do Terraform no GitHub:
    1. Vá para GitHub.
    2. Clone ou faça download do repositório no computador local.
    3. Siga as instruções no documento README.

Explorar Mais

Para saber mais sobre os recursos dessa arquitetura e sobre recursos relacionados, revise estas publicações adicionais: