使用 FortiGate 保护在 Oracle Cloud Infrastructure 上运行的工作负载的安全

Oracle Cloud Infrastructure (OCI) 提供了先进的安全技术和运营流程来保护其企业云服务。但是，云端安全性基于共享的责任模式。Oracle 负责底层基础设施的安全性，例如数据中心设施、硬件以及用于管理云运营和服务的软件。客户负责保护负载并安全地配置其服务和应用，以满足其合规性义务。

企业正在转向 Oracle 第二代云基础设施来构建新应用、扩展内部数据中心，并最终利用公有云的弹性。这些企业正在转向 Fortinet，以帮助他们在 OCI 中保护应用和数据。

Fortinet 自适应云安全性解决方案可为内部部署数据中心和云环境提供负载和应用保护，并为基于云的应用提供多层安全性。Fortinet 安全架构可跨数据中心和云提供整合的安全状况视图、适用于策略管理和治理报告的单一控制台，以及适用于私有云、公有云和混合云中的物理、虚拟或云基础设施的事件监视。

Fortinet 解决方案根据需求和自带许可证 (BYOL) 列表提供。Oracle Cloud Marketplace

体系结构

此参考体系结构说明了组织如何使用 FortiGate 防火墙和带有动态路由网关的简化设计 (DRG) 保护在 OCI 中部署的 Oracle 应用程序（如 Oracle E-Business Suite 和 PeopleSoft）。

为了保护这些流量，Fortinet 建议使用集线器和交谈拓扑对网络进行细分，其中，流量通过中转集线器进行路由，并连接到多个不同的网络（发言人）。确保已部署了高可用性 FortiGate 集群。无论是在互联网、内部部署还是 Oracle 服务网络中，发言人之间的所有流量都通过集线器进行路由，并通过 Fortinet 的 FortiGate 防火墙进行检查，为各种规模的组织提供下一代防火墙功能，并可灵活地作为下一代防火墙、内部分区防火墙或虚拟专用网络 (virtual private network， VPN) 网关进行部署。它通过高性能、安全效率和深入洞察来防范网络威胁。

将应用的每一层部署在其自己的虚拟云网络 (VCN) 中，该虚拟云网络充当请求者。集线器 VCN 包含 FortiGate 活动 - 被动、高可用性集群、Oracle Internet 网关、DRG 和 Oracle Service Gateway。

此体系结构可提供高度可扩展的模块化设计，用于连接多个发言人，其中每个请求网络表示一个应用的层，例如 Web、应用程序和数据库。它适用于生产、测试和开发等两种环境，以及区域、内部部署数据中心和多云等不同基础设施。

集线器 VCN 通过 DRG 连接到分支 VCN。所有请求流量都使用路由表规则将流量通过 DRG 路由到集线器，使用 VCN 入站路由表到 FortiGate 防火墙进行检查。

您还可以使用 FortiManager 管理 FortiGate 防火墙。FortiManager 的单窗格管理提供了围绕 Fortinet 安全架构构建的集中管理和预配策略，可以紧密集成组织的网络基础设施和安全架构，从而对设备、应用程序和用户实施访问控制、分段和一致的保护。

下图说明了此参考体系结构。

插图 fortigate-oci-arch.png 的说明

对于每个通信流，请确保 FortiGate 防火墙上有安全策略、网络地址转换 (network address translation， NAT) 和路由。

• 南北入站流量

  下图说明了南北入站流量如何从 Internet 和远程数据中心访问 Web 应用程序层。

  
  插图 fort-oci-ns-inbound.png 的说明

• 南北出站流量

  下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问。

  
  插图 fort-oci-ns-outbound.png 的说明

• 东西流量 （Web 到数据库）

  下图说明了流量如何从 Web 应用程序移到数据库层。

  
  插图 fort-oci-ew-w2db.png 的说明

• 东西流量（数据库到 Web）

  下图说明了流量如何从数据库层移至 Web 应用程序。

  
  插图 fort-oci-ew-db2w.png 的说明

• 东西流量（Web 应用到 Oracle 服务网络）

  下图说明了流量如何从 Web 应用程序移到 Oracle 服务网络。

  
  插图 fort-oci-ew-w2osn.png 的说明

• 东西流量 (Oracle Services Network to Web Application)

  下图说明了流量如何从 Oracle 服务网络迁移到 Web 应用程序。

  
  插图 fort-oci-ew-osn2w.png 的说明

该体系结构包含以下组件：

• Fortinet FortiGate 下一代防火墙

  提供网络和安全服务（例如威胁保护、SSL 检查和极低延迟），以保护内部细分和任务关键型环境。它支持直接单根 I/O 虚拟化 (SR-IOV)，从而提高性能。FortiGate 可以直接从 Oracle Cloud Marketplace 部署。

• Fortinet FortiManager

  在整个网络中提供统一的管理平台，并为网络活动提供实时和历史视图。

• Oracle E-Business Suite 或 PeopleSoft 应用程序层

  由 Oracle E-Business Suite 或 PeopleSoft 应用程序服务器和文件系统组成。

• Oracle E-Business Suite 或 PeopleSoft 数据库层

  由 Oracle Database 服务组成，但不限于 Oracle Exadata 数据库云服务或 Oracle Database。

• 区域

  OCI 区域是本地化地理区域，包含一个或多个数据中心，称为可用性域。区域独立于其他区域，大片距离可以分开（跨国家甚至大陆）。

• 可用性域

  可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离，从而提供容错能力。可用性域不共用电源或冷却设备等基础设施，也不共享内部可用性域网络。因此，一个可用性域出现故障不太可能影响区域中的其他可用性域。

• 故障域

  故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域，具有独立电源和硬件。在多个容错域之间分配资源时，您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。

• 虚拟云网络 (VCN) 和子网

  VCN 是在 OCI 区域中设置的可定制软件定义网络。与传统的数据中心网络类似，VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块，您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为多个子网，这些子网可以限定于某个区域或可用性域。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的，也可以是专用的。

• Hub VCN

  集线器 VCN 是部署了 Fortinet FortiGate 防火墙实例的集中网络。它为所有请求式 VCN、OCI 服务、公共端点和客户机以及内部部署数据中心网络提供安全连接。

• 应用程序层导致 VCN

  应用程序层请求 VCN 包含用于托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。

• 数据库层发出了 VCN 命令

  数据库层请求 VCN 包含用于托管 Oracle 数据库的专用子网。

• 负载平衡器

  OCI 负载平衡服务提供从单个入口点到后端端多个服务器的自动流量分配。

• 安全列表

  对于每个子网，您可以创建安全规则来指定必须允许进出子网的源、目标和流量类型。

• 路由表
  虚拟路由表包含用于将流量从子网路由到 VCN 之外的目标（通常通过网关）的规则。在集线器 VCN 中，有以下路由表：

  • 连接到管理子网的管理路由表，该子网具有连接到互联网网关的默认路由
  • 连接到不可信任子网的不信任路由表或默认 VCN，用于将流量从集线器 VCN 路由到 Internet 或内部部署目标。此路由表还具有通过动态路由网关的每个请求 VCN 的 CIDR 块路由的条目。
  • 连接到信任子网的信任路由表，指向通过动态路由网关的分支 VCN 的 CIDR 块
  • 连接到高可用性子网的高可用性路由表，连接到要发送通信的 CIDR 块
  • hub VCN 入站路由表附加到集线器 VCN 附件，以便通过动态路由网关将来自请求 VCN 的任何传入流量发送到 FortiGate 防火墙信任接口浮动 IP
  • 对于通过动态路由网关连接到集线器的每个请求，将定义一个非重复路由表并将其附加到关联的子网。该路由表通过 FortiGate 防火墙信任接口浮动 IP 将所有流量 (0.0.0.0/0) 从关联的请求 VCN 转向动态路由网关。
  • 连接到 Oracle Service 网络通信的 Oracle 服务网关的 Oracle 服务网关路由表。该路由将所有流量 (0.0.0.0/0) 转发到 FortiGate 防火墙信任接口浮动 IP。

  为了维护流量对称，还会向每个 FortiGate 防火墙添加路由，以将请求 VCN 流量中的 CIDR 块指向信任子网的默认网关 IP（集线器 VCN 上的第一个信任 IP 子网）和默认 CIDR 块 (0.0.0.0/0)，以指向不可信任子网的默认网关 IP（集线器 VCN 上的第一个不信任子网 IP）。
• Internet 网关

  互联网网关允许 VCN 中的公共子网与公共互联网之间的流量。

• NAT 网关

  NAT 网关允许 VCN 中的专用资源访问互联网上的主机，而不会向传入的 Internet 连接公开这些资源。

• 动态路由网关 (DRG)

  DRG 是虚拟路由器，用于为 VCN 与区域外网络之间的专用网络通信提供路径，例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络。

• 服务网关

  通过服务网关，可以从 VCN 访问其他服务，例如 OCI 对象存储。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传播，从不穿过互联网。

• FastConnect

  OCI FastConnect 可以在您的数据中心与 OCI 之间轻松创建专用连接。与基于 Internet 的连接相比，FastConnect 提供更高带宽选项和更可靠的网络体验。

• 虚拟网络接口卡 (virtual network interface card， VNIC)

  OCI 数据中心中的服务具有物理网络接口卡 (NIC)。虚拟机 (Virtual Machine， VM) 实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC， VNIC) 进行通信。每个实例都有一个主要 VNIC，在启动期间自动创建并连接，并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。您可以在实例启动后添加辅助 VNIC。为每个接口设置静态 IP。

• 专用 IP

  用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主要专用 IP，您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例启动期间附加，在实例生命周期内不变。辅助 IP 还属于 VNIC 子网的同一 CIDR。辅助 IP 用作浮动 IP，因为它可以在同一子网内的不同实例上的不同 VNIC 之间移动。您还可以将其用作托管不同服务的不同端点。

• 公共 IP

  网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。公共 IP 具有以下类型： 临时： 此地址是临时地址， 在实例的生命周期内存在。保留：此地址在实例的有效期内保留。它可以取消分配并重新分配到另一实例。

• 源和目标检查

  每个 VNIC 都对其网络流量执行源和目标检查。禁用此标志可使 Fortinet FortiGate 防火墙处理不是防火墙目标的网络通信。

• 计算配置

  计算实例的配置指定分配给实例的 CPU 数和内存量。计算配置还确定可用于计算实例的 VNIC 数量和最大带宽。

建议

使用以下建议作为起点，使用 Fortinet FortiGate 防火墙保护 OCI 上的 Oracle E-Business Suite 或 PeopleSoft 负载。您的要求可能与此处介绍的体系结构有所不同。

• VCN

  创建 VCN 时，请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

  选择与要设置专用连接的任何其他网络（在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中）不重叠的 CIDR 块。

  创建 VCN 后，可以更改、添加和删除其 CIDR 块。

  设计子网时，请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。

  使用区域子网。根据需要连接您所说的 VCN，以便您可以将流量发送到集线器 VCN FortiGate 防火墙。定义到动态路由网关的每个 VCN 连接的防火墙路由表以及从防火墙路由表到其中的路由表。

• Fortinet FortiGate 防火墙
  • 部署主动 - 被动集群，并根据需要添加更多实例。
  • 尽可能在不同的容错域中部署至少可用性域或不同的可用性域。
  • 确保所有 VNIC 上的 MTU 设置为 9000。
  • 使用虚拟功能 I/O (virtual function I/O， VFIO) 接口。
• Fortinet FortiGate 防火墙管理
  • 如果要创建以 OCI 托管的部署，请创建一个专用子网进行管理。
  • 使用安全列表或 NSG 限制从 Internet 获取的端口 443 和 22 的入站访问，以便管理安全策略以及查看日志和事件。
• 防火墙策略

  有关所需安全策略、端口和协议的最新信息，请参阅“浏览更多”部分中的防火墙文档。保持最新可确保在 Fortinet FortiGate 防火墙实例上配置了所需的网络地址转换策略 / 安全策略。

考虑事项

使用 Fortinet FortiGate 防火墙在 OCI 上保护 Oracle E-Business Suite 或 PeopleSoft 负载时，请考虑以下因素：

• 性能
  • 选择适当的实例大小（由计算配置确定）可确定最大可用吞吐量、CPU、RAM 和接口数。
  • 组织需要知道哪些类型的流量会遍历环境，确定适当的风险级别，并根据需要实施适当的安全控制。启用的安全控制的不同组合会影响性能。
  • 考虑为 FastConnect 或 VPN 服务添加专用接口。考虑使用大型计算配置来提高吞吐量和访问更多网络接口。
  • 运行性能测试以验证设计是否能够维持所需的性能和吞吐量。
• 安全性

  在 OCI 中部署 Fortinet FortiManager 可集中配置安全策略并监视所有物理和虚拟 Fortinet FortiGate 防火墙。

• 可用性

  将您的架构部署到不同的地理区域，以实现最大的冗余。通过相关的组织网络配置站点到站点 VPN，以便与内部部署网络建立冗余连接。

• 成本

  Fortinet FortiGate 提供了 Oracle Cloud Marketplace 中的按量计费或自带许可证 (BYOL) 列表，FortiManager 在 Oracle Cloud Marketplace 的 BYOL 列表中提供。

部署

您可以使用 Oracle Cloud Marketplace 在 OCI 上部署 FortiGate 防火墙。您还可以从 GitHub 下载代码并进行定制，以满足部署此体系结构的特定业务需求。Oracle 建议从 Oracle Cloud Marketplace 部署该体系结构。您还可以从 GitHub 下载代码，并对其进行定制以满足特定业务需求。

• 使用 Oracle Cloud Marketplace 中的堆栈进行部署：
  1. 按体系结构图中所示设置所需的网络基础结构。
  2. 在您的环境中部署应用程序（Oracle E-Business Suite 或 PeopleSoft）。
  3. Oracle Cloud Marketplace 针对不同配置和许可要求提供了多个列表。例如，以下列表功能提供了您自己的许可 (BYOL)。对于您选择的每个列表，单击获取应用程序，然后按照屏幕上的提示进行操作：
     • Fortinet FortiGate BYOL 列表
     • FortiManager 集中式安全管理 (BYOL)
     • Fortinet 市场列表
• 在 GitHub 中使用 Terraform 代码部署：
  1. 转至 GitHub。
  2. 将资料档案库克隆或下载到本地计算机。
  3. 按照 README 文档中的说明进行操作。

浏览更多

了解有关将 FortiGate 与 Oracle Cloud Infrastructure 结合使用的更多信息。

Oracle Cloud Infrastructure 参考资料：

• Oracle Cloud Infrastructure 的最佳实践框架
• Oracle Cloud Infrastructure 安全性概览
• 了解如何在 Oracle Cloud Infrastructure 上部署 Oracle E-Business Suite
• 了解如何在 Oracle Cloud Infrastructure 上部署 PeopleSoft
• 了解如何使用动态路由网关提高到防火墙的流量
• 在 OCI 研讨会上部署 FortiGate 防火墙并保护负载

Fortinet FortiGate 参考资料：

• FortiGate 的 Oracle Cloud Infrastructure 管理指南
• 使用 Fortinet 安全结构保护 Oracle PeopleSoft 套件
• Fortinet FortiGate — Hub 和 Spoke 体系结构