1. 使用检查点 CloudGuard 网络安全性保护云工作负载
  2. 具有检查点 CloudGuard 网络安全的安全云负载

具有检查点 CloudGuard 网络安全的安全云负载

使用检查点 CloudGuard 网络安全性 (CGNS) 从云中的 Oracle E-Business Suite 或 PeopleSoft 移动或扩展应用程序负载,以增强本地安全选项,而无需进行重大配置、集成或业务流程更改。

云中的安全性基于共享责任模型。Oracle 负责基础基础结构(例如数据中心设施)以及用于管理云操作和服务的硬件和软件的安全性。客户负责保护其工作负载并安全地配置其服务和应用程序,以履行其合规性义务。

Oracle Cloud Infrastructure 提供了一流的安全技术和运营流程来保护其企业云服务。检查点 CloudGuard Network Security for Oracle Cloud Infrastructure 提供了高级、多层次的安全性,以保护应用程序免受攻击,同时启用企业和混合云网络的安全连接。

他们一起保护跨内部部署数据中心和云环境的应用程序,从而提供可扩展的性能,并提供高级安全编排和统一的威胁保护。

安全控制包括以下内容:

  • 访问控制(防火墙)
  • 事件记录
  • 应用程序控制
  • 入侵预防 (IPS)
  • 高级威胁预防(反病毒/反机器人/SandBlast 零天保护)
  • 站点到站点虚拟专用网络 (VPN),用于与内部部署网络通信
  • 用于与漫游用户通信的远程访问 VPN
  • Internet 绑定流量的网络地址转换

体系结构

此引用体系结构说明了组织如何使用检查点 CloudGuard 网络安全 (CGNS) 网关保护 Oracle Cloud Infrastructure 中部署的 Oracle E-Business Suite 和 PeopleSoft 等 Oracle 应用程序。

为了保护这些通信流,检查点建议使用集线器和扬声器拓扑分段网络,其中通信通过中央集线器路由并连接到多个不同的网络(扬声器)。扬声器之间的所有通信(无论是上网还是上网)、内部部署或 Oracle 服务网络之间的所有通信都通过集线器进行路由,并使用检查点 CloudGuard 网络安全的多层威胁预防技术进行检查。

在自己的虚拟云网络 (VCN) 中部署应用程序的每个层,该虚拟云网络充当扬声器。中心服务器 VCN 包含一个检查点 CGNS 高可用性集群、Oracle Internet 网关、动态路由网关 (Dynamic Routing gateway, DRG)、Oracle Service 网关和本地对等网关 (LPG)。

集线器 VCN 通过 LPG 或通过将辅助虚拟网络接口卡 (VNIC) 连接到 CGNS 网关来连接到分支 VCN。所有分支流量都使用路由表规则将流量通过 LPG 路由到集线器,以供检查点 CGNS 高可用性集群检查。

使用下列方法之一管理环境:

  • 使用检查点安全管理服务器或多域管理服务器集中管理环境,该服务器部署在集线器 VCN 中自己的子网中,或者部署为集线器可以访问的预先存在的客户服务器。
  • 从检查点的 Smart-1 Cloud 管理即服务集中管理环境。

下图说明了此引用体系结构。


后面是 cgns-oci-architecture.png 的说明
插图 cgns-oci-architecture.png 的说明

北南入站流量

下图说明了南北入站流量如何从 Internet 和远程数据中心访问 Web 应用程序层。


后面是 cgns-oci-ns-inbound.png 的说明
插图 cgns-oci-ns-inbound.png 的说明

北南出站流量

下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问。确保在相关网络的检查点安全策略中配置了隐藏 NAT。


后面是 cgns-oci-ns-outbound.png 的说明
插图 cgns-oci-ns-outbound.png 的说明

东西流量(Web 到数据库)

下图说明了流量如何从 Web 应用程序移动到数据库层。


后面是 cgns-oci-ew-web-db.png 的说明
插图 cgns-oci-ew-web-db.png 的说明

东西流量(数据库到 Web)

下图说明了流量如何从数据库层移动到 Web 应用程序。


后面是 cgns-oci-ew-db-web.png 的说明
插图 cgns-oci-ew-db-web.png 的说明

东西流量(Web 应用程序到 Oracle 服务网络)

下图说明了通信如何从 Web 应用程序移动到 Oracle 服务网络。


后面是 cgns-oci-ew-app-osn.png 的说明
插图 cgns-oci-ew-app-osn.png 的说明

东西流量(Oracle 服务网络到 Web 应用程序)

下图说明了通信如何从 Oracle 服务网络移动到 Web 应用程序。


后面是 cgns-oci-ew-osn-app.png 的说明
插图 cgns-oci-ew-osn-app.png 的说明

体系结构包含以下组成部分:

  • 检查点 CloudGuard 网络安全网关

    为混合云提供高级威胁预防和云网络安全性。

  • 检查点安全性管理
    • 安全管理服务器
    • 多域管理
    • Smart-1 Cloud 管理即服务
  • Oracle E-Business Suite 或 PeopleSoft 应用程序层

    Oracle E-Business Suite 或 PeopleSoft 应用程序服务器和文件系统组成。

  • Oracle E-Business Suite 或 PeopleSoft 数据库层

    由 Oracle Database 组成,但不限于 Oracle Exadata Database Cloud 服务或 Oracle Database 服务。

  • 区域

    Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。区域独立于其他区域,其距离很广(跨越国家或甚至大陆)。

  • 可用性域

    可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,这些资源提供了容错功能。可用性域不共享基础设施,例如电源、冷却或内部可用性域网络。因此,一个可用性域的故障不可能影响该区域中的其他可用性域。

  • 故障域

    故障域是可用性域中的一组硬件和基础结构。每个可用性域都有三个具有独立电源和硬件的故障域。在多个故障域之间分配资源时,应用程序可以容忍故障域中的物理服务器故障、系统维护和电源故障。

  • 虚拟云网络 (VCN) 和子网

    VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 为您提供了对网络环境的完全控制。VCN 可以有多个非重叠 CIDR 块,您可以在创建 VCN 后更改这些块。可以将 VCN 细分为子网,子网可限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。

  • Hub VCN

    集线器 VCN 是部署检查点 CloudGuard NSG 的集中网络。它提供与所有通话 VCN、Oracle Cloud Infrastructure 服务、公共端点和客户机以及内部部署数据中心网络的安全连接。

  • 应用程序层语音 VCN

    应用程序层 spoke VCN 包含托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。

  • 数据库层表示 VCN

    数据库层 spoke VCN 包含用于托管 Oracle 数据库的专用子网。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动通信分发。

  • 安全列表

    对于每个子网,可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。

  • 路由表

    虚拟路由表包含用于将流量从子网路由到 VCN 外部的目标的规则,通常是通过网关路由。

    在集线器 VCN 中,您具有以下路由表:

    • 附加到前端子网或默认 VCN 的前端路由表,用于将通信从集线器 VCN 路由到 Internet 或内部部署目标。
    • 附加到后端子网的后端路由表,通过关联的 LPG 指向分支 VCN 的 CIDR 块。
    • 对于连接到集线器的每个扬声器,将定义一个不同的路由表并将其附加到关联的 LPG。该路由表通过检查点 CGNS 后端浮动 IP 从关联的扬声器 LPG 转发所有通信 (0.0.0.0/0)。
    • 附加到 Oracle 服务网关的 Oracle 服务网关路由表,用于 Oracle 服务网络通信。该路由会将所有流量 (0.0.0.0/0) 转发到检查点 CGNS 后端浮动 IP。
    • 为了保持通信对称性,还会向每个检查点 CGNS 群集成员 (Gaia OS) 添加路由,以将 Spoke 通信的 CIDR 块指向后端(内部)子网的默认网关 IP(Hub VCN 的后端子网中提供的第一个 IP)。
  • Internet 网关

    Internet 网关允许 VCN 中的公共子网与公共 Internet 之间的通信。

  • NAT 网关

    NAT 网关使 VCN 中的专用资源可以访问 Internet 上的主机,而不会向传入 Internet 连接公开这些资源。

  • 本地对等连接网关 (LPG)

    LPG 允许您将一个 VCN 与同一区域中的另一个 VCN 对等。对等是指 VCN 使用专用 IP 地址进行通信,而不是流量通过 Internet 或通过内部部署网络进行路由。

  • 动态路由网关 (DRG)

    DRG 是一个虚拟路由器,它为 VCN 与区域之外的网络(例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供程序中的网络)之间的专用网络通信提供路径。

  • 服务网关

    通过服务网关可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络网状结构网络遍历,从不遍历 Internet。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心和 Oracle Cloud Infrastructure 之间创建专用专用专用连接的简单方法。与基于 Internet 的连接相比,FastConnect 提供了更高的带宽选项和更可靠的网络体验。

  • 虚拟网卡 (VNIC)

    Oracle Cloud Infrastructure 数据中心中的服务具有物理网络接口卡 (physical network interface card, NIC)。虚拟机实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC, VNIC) 进行通信。每个实例都有一个主 VNIC,该 VNIC 在启动期间自动创建和连接,并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。可以在实例启动后添加辅助 VNIC。应为每个接口设置静态 IP。

  • 专用 IP

    用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主专用 IP,您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例启动期间附加,在实例生命周期内不会更改。辅助 IP 也应属于 VNIC 子网的相同 CIDR。辅助 IP 用作浮动 IP,因为它可以在同一子网内不同实例上的不同 VNIC 之间移动。您还可以将其用作其他端点来托管不同的服务。

  • 公共 IP

    网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。

    • Ephemeral:此地址是临时地址,在实例生命周期内存在。
    • 已保留:此地址在实例生命周期之后仍保留。可以取消分配它并将其重新分配给其他实例。
  • 源和目标检查

    每个 VNIC 都会对其网络通信执行源和目标检查。禁用此标志可使 CGNS 处理非防火墙目标的网络通信。

  • 计算配置

    计算实例的形状指定 CPU 数和分配到实例的内存量。计算配置还确定可用于计算实例的 VNIC 数和最大带宽。

建议

使用以下建议案作为起点,使用检查点 CloudGuard 网络安全保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载。

  • VCN

    创建 VCN 时,根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择不与您打算设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。

    创建 VCN 后,可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。

    使用区域子网。

    验证服务限制中每个 VCN 的最大 LPG 数,以防您要为多个环境和应用程序扩展此体系结构。

  • 检查点 CloudGuard 网络安全性
    • 部署高可用性集群。
    • 尽可能在最低或不同可用性域中部署不同的故障域。
    • 确保在所有 VNIC 上将 MTU 设置为 9000
    • 利用 SRIOV 和 VFIO 接口。
    • 在单独的区域中创建用于灾难恢复或地理冗余的第二个中心区域拓扑。
    • 不要限制通过安全列表或 NSG 的流量,因为所有流量都由安全网关保护。
    • 默认情况下,在网关上打开端口 443 22,并根据安全策略打开更多端口。
  • 检查点安全性管理
    • 如果要创建 Oracle Cloud Infrastructure 中托管的新部署,请为管理创建专用子网。
    • 在不同的可用性域或区域中部署辅助管理服务器(管理高可用性)。
    • 使用安全列表或 NSG 限制从 Internet 获取的端口 44322 19009 的入站访问,以管理安全策略并查看日志和事件。
    • 创建安全列表或 NSG,允许从安全管理服务器到安全网关的入站和出站流量。
  • 检查点安全策略

    有关所需端口和协议的最新信息,请参阅“浏览更多”部分中的应用程序文档。

考虑事项

使用检查点 CloudGuard 网络安全保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载时,请考虑以下事项:

  • 性能
    • 选择正确的实例大小(由计算配置确定)将确定最大可用吞吐量、CPU、RAM 和接口数。
    • 组织需要了解哪些类型的流量遍历环境,确定适当的风险级别,并根据需要应用适当的安全控制。启用的安全控制的不同组合会影响性能。
    • 考虑为 FastConnect 或 VPN 服务添加专用接口。
    • 考虑使用大型计算配置提高吞吐量和访问更多网络接口。
    • 运行性能测试以验证设计可以保持所需的性能和吞吐量。
  • 安全性
    • 通过在 Oracle Cloud Infrastructure 中部署检查点安全管理,可以集中配置安全策略以及监视所有物理和虚拟检查点安全网关实例。
    • 对于现有的检查点客户,还支持将安全管理迁移到 Oracle Cloud Infrastructure
    • 为每个集群部署定义不同的身份和访问管理 (IAM) 动态组或策略。
  • 可用性
    • 将体系结构部署到不同的地理区域,以实现最大的冗余。
    • 使用相关组织网络配置站点到站点 VPN,以便与内部部署网络进行冗余连接。
  • 成本
    • 检查点 CloudGuard 适用于 Oracle Cloud Marketplace 中的安全管理和安全网关 (BYOL) 和现收现付许可证模型。
    • 检查点 CloudGuard 网络安全网关许可基于 vCPUs 的数量(一个 OCPU 相当于两个 vCPUs)。
    • 检查点 BYOL 许可证可在实例之间移植。例如,如果要从同时使用 BYOL 许可证的其他公共云迁移工作负载,则无需从检查点购买新许可证。如果您有疑问或需要验证许可证状态,请与检查点代表联系。
    • 检查点安全管理按托管安全网关授予许可。例如,两个群集计为向安全管理许可证方向的四个群集。

部署

要使用检查点 CloudGuard 网络安全性保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载,请执行以下步骤:

  1. 设置所需的网络基础结构,如体系结构图中所示。请参见 Set up a hub-and-spoke network topology
  2. 在环境上部署应用程序(Oracle E-Business Suite 或 PeopleSoft)。
  3. Oracle Cloud Marketplace 中有许多堆栈,以满足不同的配置和许可要求。例如,下面的堆栈功能自带许可证 (BYOL)。对于您选择的每个堆栈,单击获取应用程序并按照屏幕上的提示操作:

浏览更多

了解有关此体系结构的功能和相关资源的详细信息。