在 Oracle Cloud 上部署 Palo Alto Network VM-Series 防火牆來保護 Siebel 工作負載
使用Oracle Cloud Infrastructure中的Palo Alto Networks VM-Series防火牆來保護及區隔Oracle Siebel工作負載、防止進階威脅,以及改善應用程式的可見性。
Palo Alto VM-Series 是 Palo Alto Networks 新一代防火牆的虛擬化形式因素,可讓您實現下列目標:
- 降低攻擊表面並插入威脅防範。
- 網路安全性自動化可確保安全且隨選擴展性。
- 在不同的建置之間一致地管理網路安全性。
架構
此架構顯示在 Oracle Cloud Infrastructure (OCI) 中使用 Palo Alto Networks VM-Series 防火牆的 Oracle Siebel 部署。
Palo Alto Networks (PAN) VM 可直接從 OCI 主控台中的市集部署。請務必使用此參考架構作為指引,直接使用 Palo Alto Networks 來驗證您的設計。
Palo Alto 網路和多個 OCI VCN 部署 (如架構圖表中所述) 可讓您控制北方和西方流量:
- North-South Traffic:Palo Alto Networks VM 可保護從不受信任的來源或雲端網路進入雲端網路的流量,以達到不受信任的來源。
- 復活節測試流量:Palo Alto Networks VM 可保護在虛擬雲端網路 (VCN) 之間移動雲端環境的流量。
「Palo Alto 網路」建議使用集線器拓樸和網幅拓樸來區隔網路,其中流量會透過中央集線器遞送並連線至多個不同的網路 (網幅)、在下方的架構中、所有 North-South 和 East-West 流量都會被視為透過 PAN VM 系列防火牆進行額外的安全。這取決於公司的安全性標準和需求。
所有 Oracle Siebel 內部與外部流量都應通過 Palo Alto Networks VM。VCN 之間沒有本機對等互連設定,這表示 Siebel 應用程式子網路與 Siebel 資料庫子網路之間的任何流量都應該通過 Palo Alto Networks VM,以獲得更進階和增強的安全性。
下圖說明此參考架構。
deploy-siebel-palo-alto-vm-firewall.png 圖解描述
deploy-siebel-palo-alto-vm-firewall-oracle.zip
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。您可以使用區間來組織 Oracle Cloud 中的資源、控制資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則,指定誰可以存取資源,以及他們可以執行的動作。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
若要在 OCI 中部署 VM-Series 防火牆,您的 VCN 至少必須要有三個虛擬網路介面卡 (VNIC) 供管理介面和兩個資料介面使用。
- PAN VM 系列防火牆
Palo Alto Networks VM-Series 防火牆是 Palo Alto Networks 新一代防火牆的虛擬化形式。它定位在虛擬化或雲端環境中使用,可保護及保護西北和北弱化流量。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務可將一個進入點的流量自動分配到可從您 VCN 存取的多部伺服器。此服務提供負載平衡器,您可以選擇公用或專用 IP 位址,以及已佈建的頻寬。負載平衡器可改善資源使用量、協助調整規模,以及協助確保高可用性。您可以設定多個負載平衡原則和應用程式特定狀況檢查,以確保負載平衡器只將流量導向狀況良好的執行處理。負載平衡器可以先清空狀況不良之應用程式伺服器的流量,再將它從服務中移除以進行維護,以減少維護時段。負載平衡服務可讓您在 VCN 內建立公用或專用負載平衡器。公用負載平衡器的公用 IP 位址可從網際網路存取。專用負載平衡器有一個來自代管子網路的 IP 位址,只有在您的 VCN 中才會顯示此位址。將針對專用或公用負載平衡器建立專用子網路,以滿足未來的需求。所有在網際網路公開的 Web 應用系統或 HTTP 型 API 都會考慮使用 OCI 公用負載平衡器與 Oracle Cloud Infrastructure Web Application Firewall (WAF)。
- 應用程式層
應用程式層包括 Oracle Siebel 2021 應用程式的運算執行處理。在此設計中,應用程式部署在「虛擬機器」中,應用程式層中的所有運算執行處理都會連附至專用子網路。因此,應用程式會在網路層次與拓樸中的所有其他資源隔離,而這些應用程式會產生未授權的網路存取。NAT 閘道可讓應用程式層中的專用運算執行處理存取雲端以外的主機 (例如,下載應用程式修正程式或任何外部整合)。透過 NAT 閘道,專用子網路中的運算執行處理可以起始對網際網路的連線和接收回應,但無法接收從網際網路上主機起始的任何輸入連線。服務閘道可讓應用程式層中的專用運算執行處理存取區域中的 Yum 伺服器,以取得作業系統更新和其他套裝程式。服務閘道也可讓您將應用程式備份至區域內的 Oracle Cloud Infrastructure Object Storage,而不需要周遊公用網際網路。應用程式層中的元件可以存取共用的 Oracle Cloud Infrastructure File Storage,以儲存 Oracle Siebel 應用程式所產生的共用二進位檔案和資料。
- 資料庫層
資料庫層包含 Oracle Cloud Infrastructure Database 執行處理。VM 資料庫/IaaS 機器或 Oracle Database Exadata Cloud Service 需視資料庫需求而定。服務閘道可讓您將資料庫備份至區域內的 Oracle Cloud Infrastructure Object Storage,而不需要周遊公用網際網路。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會向內送網際網路連線暴露這些資源。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監督及維護您在 Oracle Cloud Infrastructure 中的資源安全。「雲端保全」使用可定義的偵測器方法來檢查安全弱點的資源,以及監督操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全的活動時,雲端保全會建議更正動作,並根據您可以定義的回應器方法來協助採取這些動作。
- 安全區域
安全區域會強制實行加密資料及防止公開存取整個區間的網路,以確保 Oracle 的安全最佳做法從頭開始。安全區域與相同名稱的區間關聯,並且包括安全區域原則或套用至區間及其子區間的「處方」。您無法新增或移動標準區間至安全區域區間。
「Oracle 最大安全區域」是 Oracle 最嚴格的方法,具有嚴格的原則強制實行。
- 閘道服務叢集與閘道登錄服務
Oracle Siebel Gateway 為 Siebel 伺服器與伺服器元件,以及 Siebel 應用程式介面與其他模組提供動態位址登錄。Siebel 應用程式介面和 Siebel 閘道會共同運作,以提供 Siebel 伺服器負載平衡。Siebel 閘道也會在登錄中包含 Siebel 伺服器、Siebel 應用程式介面及其他可安裝元件的組態資訊永久儲存。
Oracle Siebel CRM 支援選擇性的原生叢集功能,讓 Siebel 閘道能夠為 Siebel CRM 客戶提供高可用性優點。此功能可在軟體層次運作,也是建議的 Siebel 閘道叢集化方式。叢集功能支援 Siebel 閘道服務 (應用程式容器) 和 Siebel 閘道登錄。
建議
- VCN
-
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
-
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
-
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
-
使用區域子網路。
-
建議專用子網路讓個別路由表控制 VCN 內部和外部的流量。
-
- 安全
使用 Oracle Cloud Guard 主動監督及維護您在 Oracle Cloud Infrastructure 中的資源安全。「雲端保全」使用可定義的偵測器方法來檢查安全弱點的資源,以及監督操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全的活動時,雲端保全會建議更正動作,並根據您可以定義的回應器方法來協助採取這些動作。
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則方法關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據 security-zone 處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 雲端保全
複製並自訂 Oracle 提供的預設方法,以建立自訂偵測器和回應器方法。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對它們執行哪些動作。例如,您可能想要偵測可見性設為公用的物件儲存的儲存桶。
在租用戶層次套用雲端保全、以涵蓋最廣泛的範圍、並減少維護多個組態的管理間接成本。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則方法關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據 security-zone 處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 來定義一組套用至特定 VNIC 的傳入和傳出規則。建議您使用 NSG 而不要使用安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或指定自訂 (彈性) 資源配置,供您設定頻寬範圍,並讓服務根據流量樣式自動調整頻寬。您可以使用任一方式,在建立負載平衡器之後隨時變更資源配置。
注意事項
在 Oracle Cloud Infrastructure (OCI) 中部署 Oracle Siebel CRM 和 Palo Alto Networks VM-Series 防火牆時,請考慮下列事項。
- VCN
AVCN 可讓您完整控制您的網路環境。您可以透過這類網路指派自己的專用 IP 位址空間、建立子網路和路由表格,以及設定狀態防火牆。它與傳統網路密切類似,具有防火牆規則以及您可以選擇使用的特定通訊閘道類型。
若要在 OCI 中部署 VM-Series 防火牆,您的 VCN 至少必須要有三個虛擬網路介面卡 (VNIC) 供管理介面和兩個資料介面使用。- 確定 VCN CIDR 區塊未與 Oracle Cloud Infrastructure 中的其他 VCN (相同或不同的區域) 以及您組織的專用 IP 網路範圍重疊。
- VCN 的 CIDR 區塊不得與另一個對等網路的 CIDR 重疊。
- 請確定並未在 VCN 或子網路內一次配置所有 IP 位址,而是計畫保留部分 IP 位址以供日後使用。
- 路由需求類似的主機可以在多個可用性網域中使用相同的路由表格。例如,公用主機、專用主機以及 NAT 執行處理。
- 確定使用安全清單作為防火牆來管理連線 North-South (內送和外送 VCN 流量) 和 East-West (多個子網路之間的內部 VCN 流量),並在子網路層次套用。該子網路內的所有執行處理都會繼承該 SL 中的所有安全規則。
- 必須排除保留供 Oracle 使用的 IP 位址 (169.254.0.0/16)。
- VCN 涵蓋您選擇的單一、連續 IPv4 CIDR 區塊。在 VCN 內,可以為叢集主機建置個別的 IPv4 子網路。對每個子網路的存取是由安全清單所控制。額外的安全性是由防火牆在主機層次控制。子網路是在 VCN 中定義的子網路。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續 IP 位址範圍。您可以指定子網路存在於單一可用性網域或整個區域中。子網路是作為 VCN 內的組態單元:指定子網路中的所有 VNIC 都使用相同的路由表、安全清單以及 DHCP 選項。建立子網路時,您可以將子網路指定為公用或專用。「專用」表示子網路中的 VNIC 不能有公用 IP 位址。「公用」表示子網路中的 VNIC 在您的決定時可以有公用 IP 位址。為了控制網路存取,VCN 將使用分層子網路策略。常見的設計樣式是具有下列子網路層:
- 外部可存取之主機和虛擬防火牆設備的公用子網路。
- 內部主機 (例如資料庫、應用程式伺服器以及專用負載平衡器) 的專用子網路。
- 公用負載平衡器的 DMZ 子網路。
- OCI 使用一系列路由表從您的 VCN 傳送流量,並在每個子網路新增一個路由表。子網路是 VCN 的一個部門。如果您沒有指定路由表,子網路就會使用 VCN 的預設路由表。每個路由表規則都會為任何符合 CIDR 的流量指定目的地 CIDR 區塊和下一個躍點 (目標)。如果目的地 IP 位址位於 VCN 的指定 CIDR 區塊之外,OCI 只會使用子網路的路由表;不需要路由規則即可啟用 VCN 內的流量。如果流量有重疊的規則,OCI 會使用路由表中最特定的規則來路由流量。
- 效能
- 選取由運算資源配置決定的適當執行處理大小,以決定可用的傳輸量上限、CPU、RAM 以及介面數目。
- 考慮新增 FastConnect 或 VPN 服務的專用介面。
- 請考慮使用大型運算資源配置來提高傳輸量和存取更多網路介面。
視資料量而定,您可以使用 Oracle Cloud Infrastructure FastConnect 或 IPSec VPN 來管理費用。為了加快存取速度,您可以將需要經常存取的檔案儲存在 Oracle Cloud Infrastructure Object Storage 標準層中。
- 安全
在 OCI 中部署 Palo Alto Network VM-Series 防火牆可讓您集中設定安全原則組態及監督所有實體和虛擬 Palo Alto Network VM-Series 執行處理。
- 使用狀態
- 將架構部署到不同的地理區域,以獲得最大的備援。
- 使用相關組織網路設定站對站 VPN,以與企業內部部署網路進行備援連線。
- 請考慮使用 Oracle 高可用性最佳應用。
- 成本
Palo Alto Networks VM-Series Firewall 提供 Oracle Cloud Marketplace 中組合 1 與組合 2 的 bring-your-own-license (BYOL) 與 Pay As You Go 授權模型。
- 組合 1 包含 VM-Series 容量授權、威脅預防授權,以及溢價支援權益。
- 組合 2 包含具有完整授權套件的 VM-Series 容量授權,其中包括威脅防範、WildFire、URL 篩選、DNS 安全性、GlobalProtect 以及溢價支援權益。
部署
- 使用 Oracle Cloud Marketplace 中的堆疊進行部署:
- 如架構圖表所示,設定必要的網路基礎架構。請參閱設定軸輻式網路拓樸範例。
- 在您的環境中部署應用程式,例如 Oracle Siebel。
- Oracle Cloud Marketplace 針對不同的組態和授權需求提供多個清單。例如,下列清單功能可帶來您自己的授權 (BYOL) 或付費。針對您選擇的每個清單,按一下取得應用程式,然後依照畫面上的提示進行:
- 使用 GitHub 中的 Terraform 程式碼部署:
- 前往 GitHub。
- 將儲存區域複製或下載到您的本機電腦。
- 依照
README文件中的指示進行。