在 Oracle Cloud 上部署 Palo Alto 网络 VM 系列防火墙,以保护 Siebel 负载
在 Oracle Cloud Infrastructure 中使用 Palo Alto Networks VM-Series 防火墙保护和细分 Oracle Siebel 负载,防止高级威胁和提高应用可见性。
Palo Alto VM-Series 是 Palo Alto Networks 下一代防火墙的虚拟化形式因素,可帮助您实现以下目标:
- 减少攻击面并插入威胁预防。
- 网络安全自动化可确保安全、按需扩展。
- 跨不同部署一致地管理网络安全性。
体系结构
此体系结构显示了一个 Oracle Siebel 部署,该部署在 Oracle Cloud Infrastructure (OCI) 中使用 Palo Alto Networks VM 系列防火墙。
Palo Alto Networks (PAN) VM 可以直接从 OCI 控制台 中的市场部署。务必直接与 Palo Alto Networks 合作,以使用此参考体系结构作为指导来验证您的设计。
Palo Alto Networks( Palo Alto 网络)和多个 OCI VCN 部署(如体系结构图中所示),允许您控制南北和西南流量:
- 南北流量 :Palo Alto Networks VM 可以保护从不可信源或云网络进入云网络的流量,从而到达不可信源头。
- 东西流量 :Palo Alto Networks VM 可以保护云环境中的流量在虚拟云网络 (Virtual Cloud Network, VCN) 之间移动。
尽管 Palo Alto Networks 建议使用集线器对网络进行细分,并讲述拓扑,其中流量通过中央集线器进行路由,并连接到多个不同的网络(发言人),但在下面的体系结构中,所有南北和东西流量都被视为经过 PAN VM 系列防火墙,以实现额外的安全性。这取决于公司的安全标准和要求。
所有 Oracle Siebel 内部和外部通信都应通过 Palo Alto Networks VM。VCN 之间没有本地对等连接设置,这意味着 Siebel 应用程序子网与 Siebel 数据库子网之间的任何流量流都应通过 Palo Alto Networks VM,从而提高安全性。
下图说明了此参考体系结构。
插图 deploy-siebel-palo-alto-vm-firewall.png 的说明
deploy-siebel-palo-alto-vm-firewall-oracle.zip
该体系结构包含以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,大片距离可以分开(跨国家甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源,控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,可以定义策略来指定谁可以访问资源以及可以访问哪些操作。
- 可用性域
可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。
- 故障域
故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域,具有独立电源和硬件。在多个容错域之间分配资源时,您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义的网络。与传统的数据中心网络类似,VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网,这些子网可以限定于某个区域或可用性域。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的,也可以是专用的。
要在 OCI 中部署 VM 系列防火墙,VCN 必须至少具有三个用于管理接口的虚拟网络接口卡 (virtual network interface card, VNIC) 和两个数据接口。
- PAN VM 系列防火墙
Palo Alto Networks VM 系列防火墙是 Palo Alto Networks 下一代防火墙的虚拟形式。它位于虚拟化或云环境中,可用于保护东北和南北流量。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务可以将一个入口点的流量自动分配到可从 VCN 访问的多个服务器。该服务提供了一个负载平衡器,您可以选择使用公共或专用 IP 地址以及预配的带宽。负载平衡器可以提高资源利用率,促进扩展并帮助确保高可用性。您可以配置多个负载平衡策略和特定于应用程序的健康检查,以确保负载平衡器将流量仅定向到健康的实例。负载平衡器可以在将流量从不健康的应用服务器中排出后将其从服务中移除以减少维护窗口。使用负载平衡服务,您可以在 VCN 内创建公共或专用负载平衡器。公共负载平衡器具有可从互联网访问的公共 IP 地址。专用负载平衡器具有来自托管子网的 IP 地址,该子网仅在 VCN 中可见。将针对将来的要求为专用或公共负载平衡器创建专用子网。对于任何面向互联网的 Web 应用或基于 HTTP 的 API,将考虑使用 Oracle Cloud Infrastructure Web Application Firewall (WAF) 的 OCI 公共负载平衡器。
- 应用程序层
应用程序层包括 Oracle Siebel 2021 应用程序的计算实例。在此设计中,应用程序部署在虚拟机中,应用程序层中的所有计算实例都附加到专用子网。因此,这些应用程序在网络级别与拓扑中的所有其他资源隔离,并且免受未经授权的网络访问。NAT 网关允许应用程序层中的专用计算实例访问云外部的主机(例如,下载应用程序补丁程序或任何外部集成)。通过 NAT 网关,专用子网中的计算实例可以启动到互联网的连接并接收响应,但不会接收从互联网上的主机启动的任何入站连接。通过服务网关,应用程序层中的专用计算实例可以访问区域中的 Yum 服务器来获取操作系统更新和其他程序包。通过服务网关,您还可以将应用程序备份到区域中的 Oracle Cloud Infrastructure Object Storage,而无需遍历公共互联网。应用程序层中的组件可以访问共享 Oracle Cloud Infrastructure 文件存储 ,以便存储 Oracle Siebel 应用程序生成的共享二进制文件和数据。
- 数据库层
数据库层包含 Oracle Cloud Infrastructure Database 实例。VM Database/IaaS 计算机或 Oracle Database Exadata Cloud Service 取决于数据库要求。通过服务网关,您可以将数据库备份到区域中的 Oracle Cloud Infrastructure Object Storage,而无需遍历公共互联网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的源、目标和流量类型。
- 网络地址转换 (Network address translation, NAT) 网关
NAT 网关允许 VCN 中的专用资源访问互联网上的主机,而无需向传入的 Internet 连接公开这些资源。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传播,从不穿过互联网。
- Cloud Guard
您可以使用 Oracle Cloud Guard 在 Oracle Cloud Infrastructure 中监视和维护资源的安全性。Cloud Guard 使用 检测器配方 ,您可以定义它来检查资源是否存在安全缺陷,并监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 会根据可定义的 响应方配方 建议采取纠正措施并帮助采取这些操作。
- 安全区域
安全区可以一开始就实施加密数据并阻止公共访问整个区间的网络等策略,从而确保 Oracle 的安全最佳做法。安全区域与同名区间关联,其中包括安全区域策略或应用于区间及其子区间的“配方”。无法将标准区间添加或移动到安全区间。
Oracle 最大安全区是严格执行策略的 Oracle 严格配方。
- 网关服务集群和网关注册表服务
Oracle Siebel 网关为 Siebel 服务器和服务器组件以及 Siebel 应用程序接口和其他模块提供了动态地址注册表。Siebel 应用程序接口和 Siebel 网关协同工作来提供 Siebel 服务器负载平衡。Siebel 网关还会在注册表中包含持久性存储,以便获取 Siebel 服务器、Siebel 应用程序接口和其他可安装组件的配置信息。
Oracle Siebel CRM 支持 Siebel Gateway 的可选原生群集功能,以便为 Siebel CRM 客户提供高可用性优势。此功能在软件级别起作用,是将 Siebel 网关成簇的首选方法和建议方法。群集功能支持 Siebel 网关服务(应用程序容器)和 Siebel 网关注册表。
建议
- VCN
-
创建 VCN 时,请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
-
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
-
设计子网时,请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。
-
使用区域子网。
-
建议使用专用子网使各个路由表来控制 VCN 内外的流量。
-
- 安全性
使用 Oracle Cloud Guard 可主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 会建议您采取纠正措施,并根据可以定义的响应方配方来帮助采取这些操作。
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于优秀实践的 Oracle 定义的安全策略配方关联的区间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
- Cloud Guard
克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定哪些类型的安全违规生成警告以及允许对其执行哪些操作。例如,您可能需要检测可见性设置为公共的对象存储桶。
在租户级别应用 Cloud Guard 可覆盖最广的范围并减轻维护多个配置的管理负担。
还可以使用受管列表功能将某些配置应用于检测器。
- 安全区域
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于优秀实践的 Oracle 定义的安全策略配方关联的区间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
- 网络安全组 (NSG)
可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而不是安全列表,因为 NSG 使您能够将 VCN 的子网体系结构与应用程序的安全要求分开。
- 负载平衡器带宽
创建负载平衡器时,可以选择提供固定带宽的预定义配置,或者指定设置带宽范围的定制(灵活)配置,让服务根据流量模式自动扩展带宽。无论采用哪种方法,您都可以在创建负载平衡器后随时更改配置。
考虑事项
在 Oracle Cloud Infrastructure (OCI) 中部署 Oracle Siebel CRM 和 Palo Alto Networks VM 系列防火墙时,请考虑以下事项。
- VCN
AVCN 允许您对网络环境进行全面控制。包括分配您自己的专用 IP 地址空间、创建子网、创建路由表和配置有状态的防火墙。它与传统网络密切类似,具有防火墙规则和可供选择的特定类型的通信网关。
要在 OCI 中部署 VM 系列防火墙,VCN 必须至少具有三个用于管理接口的虚拟网络接口卡 (virtual network interface card, VNIC) 和两个数据接口。- 确保 VCN CIDR 块与 Oracle Cloud Infrastructure 中的其他 VCN(相同或不同区域)以及您的组织专用 IP 网络范围不重叠。
- VCN 的 CIDR 块不能与您对等的其他网络的 CIDR 重叠。
- 确保不是在 VCN 或子网中同时分配所有 IP 地址,而是计划保留一些 IP 地址供将来使用。
- 具有类似路由要求的主机可以在多个可用性域中使用相同的路由表。例如,公共主机、专用主机和 NAT 实例。
- 确保安全列表用作防火墙以管理南北连接(传入和传出 VCN 流量)和东西连接(多个子网之间的内部 VCN 流量),并在子网级别应用。该子网中的所有实例都会继承该 SL 中的所有安全规则。
- 必须排除保留供 Oracle 使用的 IP 地址 (169.254.0.0/16)。
- VCN 涵盖您选择的单个连续 IPv4 CIDR 块。在 VCN 内,可以为群集主机部署单个 IPv4 子网。访问每个子网由安全列表控制。其他安全性在主机级别由防火墙控制。子网是在 VCN 中定义的细分。每个子网都包含与 VCN 中的其他子网不重叠的连续 IP 地址范围。可以指定一个子网来存在于单个可用性域中或者存在于整个区域中。子网充当 VCN 中的配置单元:给定子网中的所有 VNIC 使用相同的路由表、安全列表和 DHCP 选项。在创建子网时,可以将其指定为公共或专用。专用表示子网中的 VNIC 不能具有公共 IP 地址。公共表示子网中的 VNIC 可以自行决定是否具有公共 IP 地址。要控制网络访问,VCN 将使用分层子网策略。通用设计模式是具有以下子网层:
- 适用于外部可访问主机和虚拟防火墙设备的公共子网。
- 内部主机(例如数据库、应用服务器和专用负载平衡器)的专用子网。
- 公共负载平衡器的 DMZ 子网。
- OCI 使用一系列路由表向 VCN 发送流量,并向每个子网添加一个路由表。子网是 VCN 的一部分。如果未指定路由表,则子网将使用 VCN 的默认路由表。每个路由表规则为与 CIDR 匹配的任何流量指定目标 CIDR 块和下一个跃点(目标)。如果目标 IP 地址位于 VCN 指定的 CIDR 块之外,则 OCI 仅使用子网的路由表;不需要路由规则来启用 VCN 中的流量。而且,如果流量具有重叠的规则,则 OCI 使用路由表中的最具体规则来路由流量。
- 性能
- 选择适当的实例大小(由计算配置确定)可确定可用吞吐量、CPU、RAM 和接口数
- 考虑为 FastConnect 或 VPN 服务添加专用接口。
- 考虑使用大型计算配置来提高吞吐量和访问更多网络接口。
根据数据量,您可以使用 Oracle Cloud Infrastructure FastConnect 或 IPSec VPN 管理成本。为了加快访问速度,您可以在 Oracle Cloud Infrastructure Object Storage 标准层中存储需要经常访问的文件。
- 安全性
在 OCI 中部署 Palo Alto 网络 VM 系列防火墙有助于集中配置安全策略,并监视所有物理和虚拟 Palo Alto 网络 VM 系列实例。
- 可用性
- 将您的架构部署到不同的地理区域,以实现最大的冗余。
- 通过相关的组织网络配置站点到站点 VPN,以便与内部部署网络建立冗余连接。
- 考虑 Oracle 高可用性最佳实践。
- 成本
Palo Alto Networks VM-Series Firewall is available in bring-your-own-license (BYOL) and Pay As You Go license model for bundle 1 and bundle 2 in the Oracle Cloud Marketplace.
- 捆绑包 1 包括 VM 系列容量许可证、防止威胁许可证和高级支持权利。
- 捆绑包 2 包括具有完整许可证套件的 VM 系列容量许可证,其中包括防止威胁、WildFire、URL 过滤、DNS 安全性、GlobalProtect 和高级支持权利。
部署
- 使用 Oracle Cloud Marketplace 中的堆栈进行部署:
- 按体系结构图中所示设置所需的网络基础结构。见例,建立中心和网络拓扑。
- 在您的环境中部署应用程序,例如 Oracle Siebel。
- 对于不同的配置和许可要求,Oracle Cloud Marketplace 有多个清单。例如,以下列表功能提供您自己的许可 (BYOL) 或付费。对于您选择的每个列表,单击 获取应用程序 ,然后按照屏幕上的提示进行操作:
- 在 GitHub 中使用 Terraform 代码部署:
- 转至 GitHub。
- 将资料档案库克隆或下载到本地计算机。
- 按照
README文档中的说明进行操作。