为 Oracle Cloud Infrastructure 设计 CloudGuard 网络安全性并保护负载

为 Oracle Cloud Infrastructure 设计 CloudGuard 网络安全并保护您的负载

使用“检查点 CloudGuard 网络安全”在云中移动或扩展任何应用负载，例如 Oracle E-Business Suite 或 PeopleSoft，从而在不进行重大配置、集成或业务流程更改的情况下增加原生安全选项。

云端安全性基于共享的责任模式。Oracle 负责底层基础设施的安全性，例如数据中心设施、硬件以及用于管理云运营和服务的软件。客户负责保护负载并安全地配置其服务和应用，以满足其合规性义务。

Oracle Cloud Infrastructure (OCI) 提供了先进的安全技术和运营流程来保护其企业云服务。检查点 CloudGuard OCI 的网络安全性提供高级的多层安全性，可保护应用免受攻击，同时实现企业和混合云网络的安全连接。此外，它们还能够跨内部部署数据中心和云环境保护应用，从而提供可扩展的性能，并实现高级安全编排和统一的威胁保护。

安全控制包括以下功能：

访问控制（防火墙）
记录
应用程序控制
URL 过滤
入侵预防 (Intrusion Prevention， IPS)
高级威胁预防（反病毒、反机器人、SandBlast 零天保护）
站点到站点虚拟专用网络 (VPN)，用于与内部部署网络通信
用于与漫游用户通信的远程访问 VPN
网络地址转换（用于互联网边界通信）

体系结构

此参考体系结构说明了组织如何通过检查点的 CloudGuard 网络安全以及灵活的网络负载平衡器来保护 Oracle 应用程序，例如 Oracle E-Business Suite、PeopleSoft 以及 OCI 中部署的其他应用程序。

为了保护这些流量，Check Point 建议使用南北和北中心对网络进行细分并设计请求：

北方集线器保护公众获取的资源，使其免受恶意入侵。北中心使用 Oracle 灵活的网络负载平衡器，组织可以通过该负载平衡器创建一组可扩展的 CloudGuard 网络安全网关，并根据吞吐量需求相应地调整其大小。
南集线器可保护发言流量、互联网流量、Oracle 服务网络流量以及内部部署网络流量之间的流量。我们再次建议，南部中心包含具有高可用性的 CloudGuard 网络安全网关集群，以便对敏感于中断的流量进行有状态故障转移。
将应用的每一层部署在其自己的虚拟云网络 (VCN) 中，该虚拟云网络充当请求者。通过这种分离，可以细粒度控制发言人之间的流量。
北方中心 VCN 通过灵活的网络负载平衡器和动态路由网关 (DRG) 将来自互联网的传入流量连接到各种请求式 VCN。
南枢纽 VCN 通过 DRG 连接到分支 VCN。发言人之间的所有传出流量和流量都使用路由表规则将流量从 DRG 路由到南集线器，供 CloudGuard 网络安全群集检查。
使用以下方法之一管理环境：
- 通过检查点安全管理服务器或多域管理服务器来集中管理环境，该服务器部署在其位于北极 VCN 的子网中，或者部署为可供安全网关访问的现有客户部署。
- 通过检查点 Smart-1 Cloud management-as-a-service 集中管理环境。

下图说明了此参考体系结构。

下面是 cloudguard-net-sec-arch.png 的说明
插图 cloudguard-net-sec-arch.png 的说明

对于每个通信流方案，确保在 CloudGuard 网络安全网关上配置网络地址转换 (network address translation， NAT) 和安全策略。当前支持的灵活网络负载平衡器用例要求在流出通信的防火墙上启用源 NAT。

北方集线器 VCN 中的南北流量流

下图说明了南北入站流量如何从 Internet 访问 Web 应用程序层：

后面是 inbound-no-hub-vcn.png 的说明
插图 inbound-no-hub-vcn.png 的说明

南站 VCN 的南北出站流量流

下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问：

后面是 Outbound-so-hub-vcn.png 的说明
插图 Outbound-so-hub-vcn.png 的说明

西东通信流（Web 到数据库）流经南站 VCN

下图说明了流量如何从 Web 应用程序移至数据库层：

下面是 e-w-w2db-so-hub.png 的说明
插图 e-w-w2db-so-hub.png 的说明

通过南站 VCN 的东西流量（数据库到 Web）

下图说明了流量如何从数据库层移至 Web 应用程序：

下面是 e-w-db2w-so-hub.png 的说明
插图 e-w-db2w-so-hub.png 的说明

西东通信流（Web 应用到 Oracle 服务网络）通过南站 VCN

下图说明了流量如何从 Web 应用程序移到 Oracle 服务网络：

下面是 e-w-w2osn-so.png 的说明
插图 e-w-w2osn-so.png 的说明

东西流量（Oracle 服务网络到 Web 应用）经过南中心的 VCN

下图说明了流量如何从 Oracle 服务网络迁移到 Web 应用程序：

下面是 e-w-osn2web-so.png 的说明
插图 e-w-osn2web-so.png 的说明

该体系结构包含以下组件：

检查点 CloudGuard 网络安全网关
为混合云提供高级威胁预防功能和云网络安全性。
检查点安全管理
- 安全管理服务器
- 多域管理
- Smart-1 云管理即服务
Oracle E-Business Suite 或 PeopleSoft 应用程序层
由 Oracle E-Business Suite 或 PeopleSoft 应用程序服务器和文件系统组成。
Oracle E-Business Suite 或 PeopleSoft 数据库层
由 Oracle Database 组成，但不限于 Oracle Exadata 数据库云服务或 Oracle Database 服务。
区域
OCI 区域是本地化地理区域，包含一个或多个数据中心，称为可用性域。区域独立于其他区域，大片距离可以分开（跨国家甚至大陆）。
可用性域
可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离，从而提供容错能力。可用性域不共用电源或冷却设备或内部可用性域网络等基础设施。因此，一个可用性域出现故障不太可能影响区域中的其他可用性域。
故障域
故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域，具有独立电源和硬件。在多个容错域之间分配资源时，您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。
虚拟云网络 (VCN) 和子网
VCN 是在 OCI 区域中设置的可定制软件定义网络。与传统的数据中心网络类似，VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定于某个区域或可用性域。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的，也可以是专用的。
North hub VCN
北方集线器 VCN 是部署了 Check Point CloudGuard 网络安全网关的集中网络。它向所有请求 VCN 提供安全的入站连接。
South hub VCN
南枢纽 VCN 是集中网络，检查点 CloudGuard 网络安全网关部署在高可用性集群中。它为所有请求式 VCN、OCI 服务、公共端点和客户机以及内部部署数据中心网络提供安全连接。
应用程序层请求了 VCN
应用程序层请求 VCN 包含用于托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。
数据库层发出了 VCN
数据库层请求 VCN 包含用于托管 Oracle 数据库的专用子网。
负载平衡器
OCI 负载平衡服务提供从单入口点到后端多个服务器的自动流量分配。
弹性网络负载平衡器
OCI 灵活的网络负载平衡器提供从一个入口点到 VCN 中多个后端服务器的自动流量分配。它在连接级别运行，并且负载平衡器根据 Layer3 或 Layer4（IP 协议）数据传入到运行正常后端服务器的客户端连接。
安全列表
对于每个子网，您可以创建安全规则来指定必须允许进出子网的源、目标和流量类型。
路由表
虚拟路由表包含用于将流量从子网路由到 VCN 之外的目标（通常通过网关）的规则。在北极集线器 VCN 中，有以下路由表：
- 连接到网络负载平衡器子网的网络负载平衡器路由表，指向通过 DRG 的内部部署子网的 CIDR 块，并且具有连接到互联网网关的默认路由。
- 前端子网连接的前端路由表，该表具有连接到互联网网关的默认路由，用于将流量从北向中心 VCN 路由到互联网或内部部署目标。
- 连接到后端子网的后端路由表，指向通过 DRG 的请求 VCN 的 CIDR 块。
在南集线器 VCN 中，有以下路由表：
- 前端子网连接的前端路由表，该表具有连接到互联网网关的默认路由，用于将流量从南站 VCN 路由到互联网或内部部署目标。
- 连接到后端子网的后端路由表，指向通过动态路由网关的分支 VCN 的 CIDR 块。
- 南 Hub VCN 入站路由表已附加到集线器 VCN 附件，以将来自请求 VCN 的任何传入流量通过动态路由网关发送到主 CloudGuard 网络安全网关后端接口的辅助浮动 IP 地址。
- 对于通过动态路由网关连接到北极集线器的每个请求，会定义一个不同的路由表并将其附加到关联的子网。该路由表将所有流量 (0.0.0.0/0) 从关联的请求 VCN 转发到动态路由网关（通过主 CloudGuard 网络安全网关后端接口的辅助浮动 IP 地址），也可以在粒度级别定义。
- 连接到 Oracle Service 网络通信的 Oracle 服务网关路由表。该路由将所有流量 (0.0.0.0/0) 转发到主 CloudGuard 网络安全网关后端接口的辅助浮动 IP 地址。
- 为了维护流量对称，路由还添加到每个检查点的 CloudGuard 网络安全网关，以将请求通信的 CIDR 块指向后端（内部）子网的默认网关 IP（位于南集线器 VCN 的后端子网中的默认网关 IP）和指向前端子网默认网关 IP 的默认 CIDR 块 (0.0.0.0/0)。
在 DRG 上，有以下路由表：
- 对于每个分支的 VCN 附件，您都关联了一个 DRG 路由表，以确保流量传输到南集线器 VCN。添加路由规则，以确保传输到北极集线器 VCN 的后端子网的流量遵循相同的流量来源路径。
- 对于南集线器 VCN 连接，关联的 DRG 路由表确保从连接到 DRG 的每个 VCN 导入的路由属于此路由表。
Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的流量。
NAT 网关
NAT 网关允许 VCN 中的专用资源访问互联网上的主机，而不会向传入的 Internet 连接公开这些资源。
动态路由网关 (DRG)
DRG 是虚拟路由器，用于为 VCN 与区域外网络之间的专用网络通信提供路径，例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络。
服务网关
通过服务网关，可以从 VCN 访问其他服务，例如 OCI 对象存储。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传播，从不穿过互联网。
FastConnect OCI
FastConnect 可以在您的数据中心与 OCI 之间轻松创建专用连接。与基于 Internet 的连接相比，FastConnect 提供更高带宽选项和更可靠的网络体验。
虚拟网络接口卡（虚拟网络接口卡， VNIC）
OCI 数据中心中的服务具有物理网络接口卡 (NIC)。VM 实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC， VNIC) 进行通信。每个实例都有一个主要 VNIC，在部署期间自动创建并连接，并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。您可以在实例部署后添加辅助 VNIC。为每个接口设置静态 IP。
专用 IP
用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主要专用 IP，您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例部署期间连接，在实例生命周期内不会更改。辅助 IP 还属于 VNIC 子网的同一 CIDR。辅助 IP 用作浮动 IP，因为它可以在同一子网内的不同实例上的不同 VNIC 之间移动。您还可以将其用作托管不同服务的不同端点。
公共 IP
网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。公共 IP 具有以下类型：临时：
- 此地址是临时地址，在实例的有效期内存在。
- 保留：此地址在实例的有效期内保留。您可以取消分配它，然后将其重新分配给其他实例。
源和目标检查
每个 VNIC 都对其网络流量执行源和目标检查。禁用此标志可启用检查点 CloudGuard 网络安全网关来处理不是防火墙目标的网络通信。

建议

使用以下建议作为起点，使用检查点 CloudGuard 网络安全网关保护 OCI 上的 Oracle E-Business Suite 或 PeopleSoft 工作量或应用程序工作量。您的要求可能与此处介绍的体系结构有所不同。

VCN
创建 VCN 时，请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

选择与要设置专用连接的任何其他网络（在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中）不重叠的 CIDR 块。

创建 VCN 后，可以更改、添加和删除其 CIDR 块。

设计子网时，请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。

使用区域子网并利用整个 VCN CIDR 作为子网 CIDR 的一部分，以便检查来自分支 VCN 的所有流量。
检查点 CloudGuard 网络安全性
- 在南部中心部署高可用性集群。
- 在北极中心部署一个可伸缩集。
- 尽可能在不同的容错域中部署至少可用性域或不同的可用性域。
- 确保所有 VNIC 上的 MTU 设置为 9000。
- 利用 SRIOV 和 VFIO 接口（仅限 AMD 配置）。
- 在单独区域为灾难恢复或地理冗余创建第二个集线器 - 以拓扑。
- 不要通过安全列表或网络安全网关 (NSG) 限制流量，因为所有流量都由安全网关保护。
- 默认情况下，在网关上打开端口 443 和 22，基于安全策略打开更多端口。
检查点安全管理
- 如果要创建以 OCI 托管的部署，请创建一个专用子网进行管理。
- 在其他可用性域或区域中部署辅助管理服务器（管理高可用性）。
- 使用安全列表或 NSG 来限制从 Internet 获取的端口 443、22 和 19009 的入站访问，以便管理安全策略以及查看日志和事件。
- 创建安全列表或 NSG，以允许从安全管理服务器向安全网关入站和出站流量。
检查点安全策略
有关所需端口和协议的最新信息，请参阅“浏览更多”部分中的应用程序文档。

考虑事项

使用“检查点 CloudGuard 网络安全”网关在 OCI 上保护 Oracle E-Business Suite 或 PeopleSoft 工作量时，请考虑以下因素：

性能
- 选择适当的实例大小（由计算配置确定）可确定最大可用吞吐量、CPU、RAM 和接口数。
- 组织需要知道哪些类型的流量会遍历环境，确定适当的风险级别，并根据需要实施适当的安全控制。启用的安全控制的不同组合会影响性能。
- 考虑为 FastConnect 或 VPN 服务添加专用接口。考虑使用大型计算配置来提高吞吐量和访问更多网络接口。
- 运行性能测试以验证设计是否能够维持所需的性能和吞吐量。
安全性
- 在 OCI 中部署检查点安全管理可集中配置安全策略并监视所有物理和虚拟检查点安全网关实例。
- 对于现有的检查点客户，也支持将安全管理迁移到 OCI。
- 为每个集群部署定义不同的身份和访问管理 (Identity and Access Management， IAM) 动态组或策略。
可用性
- 将您的架构部署到不同的地理区域，以实现最大的冗余。
- 通过相关的组织网络配置站点到站点 VPN，以便与内部部署网络建立冗余连接。
成本
- 检查点 CloudGuard 适用于 Oracle Cloud Marketplace 中的安全管理和安全网关的自带许可证 (BYOL) 和 Pay As You Go (PAYG) 许可证模型。
- 检查点 CloudGuard 网络安全网关许可基于 vCPUs 的数量（一个 OCPU 等效于两个 vCPUs）。
- 检查点 BYOL 许可证可在实例之间移植。例如，如果您从使用 BYOL 许可证的其他公有云迁移负载，则无需从检查点购买新许可证。如果您有疑问或需要验证许可证状态，请咨询您的检查点代表。
- 检查点安全管理按托管安全网关使用许可。例如，两个群集向“安全管理”许可证计数为 4。

部署

在 Oracle Cloud Marketplace 中，<briefly description architecture> 的 Terraform 代码可用作堆栈。您还可以从 GitHub 下载代码并对其进行定制以满足特定业务需求。

使用 Oracle Cloud Marketplace 中的堆栈进行部署：
- 检查点 CloudGuard 网络安全网关：BYOL
- 检查点的 OCI 市场列表
1. 按体系结构图中所示设置所需的网络基础结构，可将其称为示例。有关详细说明，请参阅建立中心并开始网络拓扑。
2. 在您的环境中部署应用程序（Oracle E-Business Suite、PeopleSoft 或必需的应用程序）。
3. 对于不同的配置和许可要求，Oracle Cloud Marketplace 有多个清单。例如，以下列表功能提供了您自己的许可 (BYOL)。对于您选择的每个列表，单击 "Get App"（获取应用程序），然后按照屏幕上的提示进行操作。
在 GitHub 中使用 Terraform 代码部署：
1. 转至 GitHub。
2. 将资料档案库克隆或下载到本地计算机。
3. 按照 README 文档中的说明进行操作。

浏览更多

详细了解此体系结构的功能和相关资源。