使用 Oracle Cloud Infrastructure Network Firewall Service 保護您的工作負載

Oracle Cloud Infrastructure (OCI) 提供同級最佳安全性技術和作業流程,以保護其企業雲端服務。不過,雲端的安全是以共用的責任模型為基礎。Oracle 負責管理雲端作業和服務之基礎基礎架構的安全性,例如資料中心設施、硬體及軟體。客戶應負責安全地保護工作負載及設定其服務和應用系統,以履行其規範義務。

OCI 網路服務提供虛擬雲端網路 (VCN) 的安全清單和網路安全群組,可供客戶用來保護工作負載。許多客戶也需要入侵預防系統、入侵偵測、SSL 檢驗、URL 篩選、流量檢查等。

Oracle 已與 Palo Alto Networks 合作,提供 Oracle Cloud Infrastructure Network Firewall,這是 OCI VCN 的新一代託管網路防火牆服務,由 Palo Alto Networks 提供技術支援。Oracle Cloud Infrastructure Network Firewall 服務提供下列安全功能:
  • 狀態性網路篩選:建立以來源 IP (IPv4 和 IPv6)、目的地 IP (IPv4 及 IPv6)、連接埠及協定為依據之允許拒絕網路流量的狀態性網路篩選規則。
  • 自訂 URL 和 FQDN 篩選:將輸入和輸出流量限制為指定的完整網域名稱 (FQDN) 清單,包括萬用字元和自訂 URL。
  • 入侵偵測與預防 (IDPS) :監控您的網路是否有惡意活動。記錄資訊、報告或封鎖活動。
  • SSL 檢查:使用加密的伺服器名稱指示 (ESNI) 支援對安全漏洞解密及檢查 TLS 加密的流量。ESNI 是一種 TLSv1.3 擴充功能,可加密 TLS 交握式確認中的伺服器名稱指示 (SNI)。
  • 記錄日誌:網路防火牆與 Oracle Cloud Infrastructure Logging 整合。根據您的防火牆原則規則啟用日誌。
  • 度量:網路防火牆與 Oracle Cloud Infrastructure Monitoring 整合。根據使用「監控」服務功能之類的度量啟用警示。
  • VCN 內子網路流量檢查:透過網路防火牆遞送兩個 VCN 子網路之間的流量。
  • VCN 間流量檢查:透過網路防火牆遞送兩個 VCN 之間的流量。
此參照架構顯示如何使用 OCI 網路防火牆服務保護您在 Oracle Cloud Infrastructure 上執行的工作負載,並提供以 Terraform 為基礎的樣板來部署架構。

架構

此參照架構說明組織如何透過網路防火牆保護 OCI 中部署的工作負載,以及使用內部虛擬雲端網路 (VCN) 路由功能簡化設計。為了保護這些工作負載,Oracle 建議使用分散式部署區隔網路,其中的流量會透過網路防火牆遞送,並連線至 VCN 中的多個不同的子網路。

您必須先定義防火牆原則,才能部署 OCI 網路防火牆。OCI 網路防火牆是 VCN 指定專用防火牆子網路之可用性網域內的原生高可用性服務。部署防火牆 IP 位址之後,即可使用 VCN 路由表,將流量遞送。您必須對稱路由至 OCI 網路防火牆 IP 位址,並套用必要的防火牆原則以支援您的使用案例。

無論是網際網路或企業內部部署環境,還是 Oracle Services Network 之間的所有流量都會使用網路防火牆遞送和檢查,為各種規模的組織提供新一代防火牆功能。使用網路防火牆和其他 OCI 安全服務搭配其進階功能,建立分層的網路安全解決方案。一旦您在選擇的子網路中建立網路,網路防火牆即是原生可擴充的服務。防火牆會將業務邏輯套用至連接之「防火牆原則」中指定的流量。VCN 中的路由會用來將網路流量導向防火牆。

您可以將網路防火牆部署為:

  • 分散式網路防火牆模型:建議將 OCI 網路防火牆部署在其專用 VCN 中。
  • 傳輸網路防火牆模型:OCI 網路防火牆部署在 Hub VCN 中,並透過動態路由閘道連線至支點 VCN。

此架構簡要說明如何在不同的模型、不同的流量及相關元件中部署網路防火牆。

下圖說明此參考架構。



oci-network-firewall-arch-oracle.zip

注意:

每個流量都會確保將所需的網路防火牆原則推送至網路防火牆,然後使用對稱路由來將流量導向和網路防火牆。

透過網際網路閘道在安全 VCN 中的 OCI 網路防火牆,以北向內送網際網路流量流量


oci-network-firewall-inbound.png 的描述如下
oci-network-firewall-inbound.png 圖解說明

oci-network-firewall-inbound-oracle.zip

透過網際網路閘道在安全 VCN 中的 OCI 網路防火牆,以北向外輸出網際網路流量


oci-network-firewall-outbound.png 的描述如下
oci-network-firewall-outbound.png 圖解說明

oci-network-firewall-outbound-oracle.zip

透過 NAT 閘道和安全 VCN 中的 OCI 網路防火牆,以北向外輸出網際網路流量


oci-network-firewall-outbound-nat.png 的描述如下
oci-network-firewall-outbound-nat.png 圖解說明

oci-network-firewall-outbound-nat-oracle.zip

透過安全 VCN 中的 OCI 網路防火牆,南部內送企業內部部署流量


oci-network-firewall-inbound-prem.png 的描述如下
oci-network-firewall-inbound-prem.png 圖解說明

oci-network-firewall-inbound-oracle.zip

透過安全 VCN 中的 OCI 網路防火牆,以北向外輸出內部部署流量


oci-network-firewall-outbound-prem.png 的描述如下
oci-network-firewall-outbound-prem.png 圖解說明

oci-network-firewall-outbound-oracle.zip

在安全 VCN 中透過 OCI 網路防火牆的東部子網路 A 到子網路 -B 流量


oci-network-firewall-subnet1.png 的描述如下
oci-network-firewall-subnet1.png 圖解說明

oci-network-firewall-subnet-oracle1.zip

東西子網路 -B 到子網路 -A 流量在安全之 VCN 中的 OCI 網路防火牆流量


oci-network-firewall-subnet-b.png 的描述如下
oci-network-firewall-subnet-b.png 圖解說明

oci-network-firewall-subnet-b-oracle.zip

東西子網路 A 至 OCI 服務流量在安全 VCN 中的 OCI 網路防火牆


oci-network-firewall-subnet.png 描述如下
oci-network-firewall-subnet.png 圖解說明

oci-network-firewall-subnet-oracle.zip

傳輸 OCI 網路防火牆部署架構


oci-network-firewall-transit-arch.png 的描述如下
oci-network-firewall-transit-arch.png 圖解說明

oci-network-firewall-transit-arch-oracle.zip

East-west Spoke Secured-B VCN 透過 Hub 安全 VCN-A 的 OCI 網路防火牆對 Spoke Secured-C VCN 流量


oci-network-firewall-spoke.png 的描述如下
oci-network-firewall-spoke.png 圖解說明

oci-network-firewall-spoke-oracle.zip

架構具有下列元件:

  • 區域

    Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。

  • 區間

    區間是 Oracle Cloud Infrastructure 租用戶的跨區域邏輯分割區。使用區間在 Oracle Cloud 中組織您的資源、控制對資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。

  • 可用性網域

    可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。

  • 容錯域

    容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

  • 安全清單

    針對每個子網路,您可以建立指定來源、目的地以及必須允許進出子網路之流量類型的安全規則。

  • 網路防火牆

    系統中存在您所選子網路中的安全資源,並且根據一組安全規則控制內送和外送網路流量。每個防火牆都會與一個原則關聯。系統會從網際網路閘道、NAT 閘道、服務閘道以及動態路由閘道 (DRG) 等資源,將流量遞送至防火牆。

  • 網路防火牆原則

    防火牆原則包含控制防火牆檢查、允許或拒絕網路流量的所有組態規則。每個防火牆都與單一原則關聯,但原則可與多個防火牆關聯。在原則中,清單和對應是用來幫助以清晰簡明的方式來表示規則的物件。

  • 路由表格
    虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地 (通常是透過閘道)。在受保護的 VCN 中,您可以有下列路由表:
    • 安全 VCN 中的防火牆子網路路由表可確保通往網際網路、內部部署、子網路或 VCN 的流量到達目的地,此路由表與網路防火牆子網路關聯。
    • 網際網路閘道路由表可確保來自網際網路的所有輸入流量通過網路防火牆,此路由表已與網際網路閘道關聯。
    • NAT 閘道路由表可確保來自網際網路的任何傳回回應通過網路防火牆,此路由表與 NAT 閘道關聯。
    • 服務閘道路由表可確保 Oracle Services Network 通訊的任何傳回回應會透過網路防火牆,此路由表會連附至服務閘道。
    • 每個路由表可確保您可以在 VCN 內進行通訊,但若想要在 VCN 的子網路內使用網路防火牆,請確定將正確的路由指向網路防火牆 IP 位址。
    • DRG 防火牆 VCN 輸入路由表已連附至受保護的 VCN 連附項,即可透過動態路由閘道將任何來自支點 VCN/ 企業內部部署的內送流量傳送至網路防火牆專用 IP 位址。
    • 針對透過動態路由閘道連附至防火牆 VCN 的每個支點,定義不同的路由表並連附至關聯的子網路。此路由表會將所有流量 (0.0.0.0/0) 從關聯的支點 VCN 轉移到透過網路防火牆專用 IP 位址的動態路由閘道。

    若要維護流量對稱,請確定您有指向「網路防火牆」的正確路由表項目。
  • 專用 IP

    用於處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有一個主要專用 IP,您可以新增和移除次要專用 IP。執行處理的主要專用 IP 位址會在執行處理啟動期間連附,不會在執行處理存留期間變更。次要 IP 同時應屬於 VNIC 子網路的相同 CIDR。次要 IP 可用來作為浮動 IP,因為它可以在相同子網路內不同執行處理的不同 VNIC 之間移動。您也可以將它作為代管不同服務的不同端點。

    OCI 網路防火牆不支援且需要次要 IP。使用主要防火牆 IP 位址將流量遞送至防火牆以進行流量檢查。

  • 公用 IP
    網路服務定義由 Oracle 選擇並對應至專用 IP 的公用 IPv4 位址。
    • 暫時:此地址為暫時地址,且存在於執行處理的存留時間。
    • 保留:此位址在執行處理存留時間過後仍會保留。您可以取消指派並重新指派給其他實例。
  • 計算圖形

    運算執行處理的資源配置指定配置給執行處理的 CPU 數目與記憶體大小。運算資源配置也會決定運算執行處理可用的 VNIC 數目與最大頻寬數目。

  • 虛擬網路介面卡 (VNIC)

    Oracle Cloud Infrastructure 資料中心的服務有實體網路介面卡 (NIC)。虛擬機器執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有在啟動期間自動建立並連附的主要 VNIC,可以在執行處理存留期間使用。DHCP 只能提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。

  • 網際網路閘道

    網際網路閘道可允許 VCN 中公用子網路與公用網際網路之間的流量。

  • NAT 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會向內送網際網路連線暴露這些資源。

  • 服務閘道

    服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage。從 VCN 到 Oracle 服務的流量透過 Oracle 網路架構旅行,而一律不透過網際網路。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供一個專屬私有連線的方式,在您的資料中心和 Oracle Cloud Infrastructure 之間建立關聯。與網際網路型連線相比,FastConnect 提供更大的頻寬選項和更可靠的網路體驗。

建議

使用下列建議作為起點。您的需求可能與此處所述的架構不同。
  • VCN

    建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、企業內部部署資料中心或其他雲端提供者),以設定專用連線。

    建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。

    設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。

  • 網路防火牆原則

    如需必要安全原則、連接埠及協定的最新資訊,請參閱「瀏覽更多」一節中的「網路防火牆原則」文件。確定您已將必要的原則推送至網路防火牆。

  • 網路防火牆
    請參閱「瀏覽更多」一節中的「網路防火牆」文件,深入瞭解最新資訊。其他建議如下:
    • 最佳做法是,請勿使用 OCI 網路防火牆子網路來部署任何其他資源,因為網路防火牆無法檢查防火牆子網路內來源或目的地的流量。
    • 部署分散式部署架構,並使用區域防火牆子網路。
    • 利用日誌記錄功能改善安全和檢視流量。
    • 您可以使用測量結果、警示及通知,監督網路防火牆的狀況、容量以及效能。
    • 為確保防火牆使用較佳,請確定它可保護所有流量,請確定未將狀態規則新增至已連附至防火牆子網路的安全清單,或將防火牆包含在包含狀態規則的網路安全群組 (NSG)。
    • 與防火牆子網路和 VNIC 關聯的安全清單或網路安全群組 (NSG) 規則會在防火牆進行之前評估。請確定任何安全清單或 NSG 規則允許流量輸入防火牆,以便正確對其進行評估。

注意事項

使用網路防火牆保護 OCI 上的工作負載時,請考慮下列因素:

  • 效能
    • 選取由運算資源配置決定的適當執行處理大小,決定了可用傳輸量、CPU、RAM 及介面數目的上限。
    • 組織必須瞭解哪些類型的流量遍布環境、決定適當的風險等級,並視需要套用正確的安全控制。啟用之安全控制的不同組合會影響效能。
    • 請考慮為 FastConnect 或 VPN 服務新增專屬介面。請考慮使用大型運算資源配置,以提高傳輸量和存取更多網路介面。
    • 執行效能測試來驗證設計,可維持所需的效能和傳輸量。
  • 安全
    • 您必須對稱路由至 OCI 網路防火牆,以確保流量能夠透過網路防火牆從來源連線至目的地。
    • 與防火牆子網路和 VNIC 關聯的安全清單或網路安全群組 (NSG) 規則會在防火牆進行之前評估。請確定任何安全清單或 NSG 規則允許流量輸入防火牆,以便正確對其進行評估。
  • 記錄日誌

    如果相關原則中的規則支援防火牆記錄功能,而您已經訂閱 Oracle Cloud Infrastructure Logging,您便可啟用防火牆記錄功能。日誌會在指定的時間範圍內顯示日誌活動和每個記錄事件的詳細資訊。日誌會在流量觸發規則時向您顯示,並協助您提升安全性。

  • 使用狀態
    • 將您的架構部署到不同的地理區域,提供最佳備援功能。
    • 使用相關的組織網路設定網站至網站 VPN,以提供與企業內部部署網路的備援連線。
  • 成本

    每個 OCI 網路防火牆可支付費用,如果您有大量的 OCI VCN,請考慮使用合併的分散式防火牆和傳輸防火牆模型。只在需要時才部署網路防火牆。

部署

您可以透過主控台在 OCI 上部署網路防火牆。您也可以從 GitHub 下載原始碼,然後根據您的特定業務需求加以自訂以部署此架構。

使用 GitHub 中的 Terraform 程式碼部署:
  1. 前往 GitHub
  2. 複製或下載儲存庫至本機電腦。
  3. 依照 README 文件中的指示進行。

確認

  • Authors: Arun Poonia, Troy Levin
  • Contributors: Vinay Rao