使用 FortiGate 保護在 Oracle Cloud Infrastructure 上執行的工作負載

Oracle Cloud Infrastructure (OCI) 提供最佳類別的安全技術和作業流程，以保護其企業雲服務。不過，雲端的安全性是以共用職責模型為基礎。Oracle 負責管理雲端作業和服務的相關基礎架構 (例如資料中心設備、硬體和軟體) 安全。客戶負責保護其工作負載，並安全地設定其服務與應用程式以符合其合規責任。

企業只要轉移至 Oracle 的 Generation 2 Cloud Infrastructure，即可建置新的應用系統、擴充內部資料中心，最終可充分利用公有雲的彈性。這些相同的企業會轉換成 Fortinet，協助保護它們在 OCI 中的應用程式和資料。

Fortinet Adaptive Cloud Security 解決方案可為雲端應用系統保護跨企業內部部署資料中心和雲端環境的工作負載和應用系統。Fortinet Security Fabric 跨越資料中心和雲端，提供安全狀況的合併檢視、用於原則管理和治理報告的單一主控台，以及跨專用、公用和混合雲端的實體、虛擬或雲端基礎架構事件監控。

您可以在 Oracle Cloud Marketplace 中提供 Fortinet 解決方案，包括隨選和自備授權 (BYOL) 清單。

架構

此參照架構說明組織如何使用 FortiGate 防火牆保護 OCI 中部署的 Oracle 應用程式 (例如 Oracle E-Business Suite 和 PeopleSoft)，以及如何使用動態路由閘道 (DRG) 簡化設計。

為了保護這些流量，Fortinet 建議您使用中樞和網輻拓樸來區隔網路，其中流量會透過傳輸中樞來遞送，並連線至多個不同的網路 (網輻)。確定您已建置高可用性 FortiGate 叢集。網輻之間的所有流量，不論是從網際網路、內部部署或從內部部署至 Oracle Services Network，都會透過集線器進行路由，並使用 Fortinet 的 FortiGate 防火牆進行檢查，為所有大小的組織提供下一代防火牆功能，並具備可部署為新一代防火牆、內部區隔防火牆或虛擬專用網路 (VPN) 閘道的彈性。它可以防止網路安全威脅達到高效能、安全效率和深度可見性。

在應用程式的每層虛擬雲端網路 (VCN) 中部署作為網幅的每一層。中樞 VCN 包含一個 FortiGate 主動-被動、高可用性叢集、Oracle 網際網路閘道、DRG 以及 Oracle Service 閘道。

此架構可為連接多個網輻提供高擴展性和模組化設計，其中每個網幅網路代表一個應用程式的層，例如 Web、應用程式和資料庫。它可以在一個環境 (例如生產、測試以及開發) 和不同的基礎架構 (例如區域、企業內部部署資料中心和多雲) 中運作。

中樞 VCN 會透過 DRG 連線至網幅 VCN。所有網幅流量都使用路由表規則，利用VCN傳入路由表將DRG的流量遞送至Hub ，以進行檢查。

您也可以使用 FortiManager 來管理 FortiGate 防火牆。FortiManager 的單一窗格管理提供專為 Fortinet Security Fabric 建立的集中管理和佈建策略，可緊密整合組織的網路基礎架構和安全架構，以套用裝置、應用程式和使用者的存取控制、區隔和一致性保護。

下圖說明此參考架構。

fortigate-oci-arch.png 圖解描述

對於每個流量，請確定 FortiGate 防火牆上都有安全原則、網路位址轉譯 (NAT) 以及路由。

• North-south 輸入流量

  下圖說明一般-south 輸入流量如何從網際網路和遠端資料中心存取 Web 應用程式層。

  
  fort-oci-ns-inbound.png 圖解描述

• North-south 輸出流量

  下圖說明從 Web 應用程式和資料庫層到網際網路的外送連線如何提供外部 Web 服務的軟體更新和存取權。

  
  fort-oci-ns-outbound.png 圖解描述

• 復原-重量流量 (Web 至資料庫)

  下圖說明流量如何從 Web 應用程式移至資料庫層。

  
  fort-oci- ew-w2db.png 圖解描述

• 復原-重量流量 (資料庫至 Web)

  下圖說明流量如何從資料庫層移至 Web 應用程式。

  
  fort-oci- ew-db2w.png 圖解描述

• 復活節加權流量 (Oracle Services Network 的 Web 應用程式)

  下圖說明流量如何從 Web 應用程式移至 Oracle Services Network。

  
  fort-oci- ew-w2osn.png 圖解描述

• 復活節加權流量 (Oracle Services Network 至 Web 應用程式)

  下圖說明流量如何從 Oracle Services Network 移至 Web 應用程式。

  
  fort-oci- ew-osn2w.png 圖解描述

架構包含下列元件：

• Fortinet FortiGate 新一代防火牆

  提供網路和安全服務，例如威脅保護、SSL 檢查以及超載延遲，以保護內部區段和關鍵任務環境。它支援直接單一根 I/O 虛擬化 (SR-IOV) 以提升效能。您可以直接從 Oracle Cloud Marketplace 部署 FortiGate。

• Fortinet FortiManager

  跨網路提供單一玻璃品質管理，並將即時和歷史記錄檢視提供給網路活動。

• Oracle E-Business Suite 或 PeopleSoft 應用程式層

  由 Oracle E-Business Suite 或 PeopleSoft 應用程式伺服器和檔案系統組成。

• Oracle E-Business Suite 或 PeopleSoft 資料庫層

  由 Oracle Database 服務組成，但不限於 Oracle Exadata Database Cloud 服務或 Oracle Database。

• 區域

  OCI 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關，而且大型距離可以區隔 (跨國家或甚至洲)。

• 可用性網域

  可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離，以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此，一個可用網域發生故障並不會影響該區域中的其他可用網域。

• 容錯域

  容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時，應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。

• 虛擬雲端網路 (VCN) 和子網路

  VCN 是您在 OCI 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣，可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊，供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路，子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。

• 中樞 VCN

  Hub VCN 是部署「Fortinet FortiGate 防火牆」執行處理的集中式網路。它提供所有網幅 VCN、OCI 服務、公用端點與從屬端以及企業內部部署資料中心網路的安全連線。

• 應用程式層網幅 VCN

  應用程式層網幅 VCN 包含代管 Oracle E-Business Suite 或 PeopleSoft 元件的專用子網路。

• 資料庫層網幅 VCN

  資料庫層網幅 VCN 包含代管 Oracle 資料庫的專用子網路。

• 負載平衡器

  OCI 負載平衡服務提供自動化的流量分配，從單一進入點到後端的多部伺服器。

• 安全清單

  您可以為每個子網路建立安全規則，以指定子網路中必須允許的來源、目的地以及流量類型。

• 路由表
  虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則，通常會透過閘道。在 Hub VCN 中，您有下列路由表：

  • 連附至管理子網路的管理路由表，此子網路具有連線至網際網路閘道的預設路由
  • 連附至不信任子網路的不信任路由表，或連附至預設 VCN 以將流量從集線器 VCN 遞送至網際網路或內部部署目標。此路由表也包含透過動態路由閘道進行之每個網幅 VCN CIDR 區塊路由的項目。
  • 透過動態路由閘道連附至指向網幅 VCN CIDR 區塊之信任子網路的信任路由表
  • 連附至要傳送流量之 CIDR 區塊的高可用性路由表
  • 集線器 VCN 傳入路由表會連附至集線器 VCN 附件，透過動態路由閘道將任何內送流量從網幅 VCN 傳送至 FortiGate 防火牆信任介面浮動 IP
  • 對於透過動態路由閘道連附至集線器的每個網幅，都會定義不同的路由表並連附至關聯的子網路。該路由表會透過FortiGate防火牆信任介面浮動IP ，將所有流量(0.0.0.0/0)從關聯的網幅VCN轉送至動態路由閘道。
  • 連附至 Oracle 服務閘道的 Oracle 服務閘道路由表，以進行 Oracle Service Network 通訊。該路由會將所有流量 (0.0.0.0/0) 轉送至 FortiGate 防火牆信任介面浮動 IP。

  若要維護流量對稱，也會將路由新增至每個 FortiGate 防火牆，以將網輻 VCN 流量的 CIDR 區塊指向信任子網路的預設閘道 IP (Hub VCN 上信任子網路的第一個 IP) 和預設 CIDR 區塊 (0.0.0.0/0)，指向不受信任子網路的預設閘道 IP (Hub VCN 上不信任子網路的第一個 IP)。
• 網際網路閘道

  網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。

• NAT 閘道

  NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機，而不會對內送網際網路連線暴露這些資源。

• 動態路由閘道 (DRG)

  DRG 是一個虛擬路由器，可提供 VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。

• 服務閘道

  服務閘道可讓您從 VCN 存取其他服務，例如 OCI Object Storage。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送，而一律不會周遊網際網路。

• FastConnect

  OCI FastConnect 可讓您輕鬆建立資料中心與 OCI 之間的專用專用連線。與網際網路連線相比，FastConnect 提供較高寬度的選項和更可靠的網路體驗。

• 虛擬網路介面卡 (VNIC)

  OCI 資料中心內的服務具備實體網路介面卡 (NIC)。虛擬機器 (VM) 執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有一個在啟動期間自動建立並連附的主要 VNIC，而且可以在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。設定每個介面的靜態 IP。

• 專用 IP

  用以處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有主要專用 IP，您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動期間連附，而且不會在執行處理存留期間變更。次要 IP 也屬於 VNIC 子網路的相同 CIDR。次要 IP 可作為浮動 IP 使用，因為它可以在相同子網路內不同執行處理上的不同 VNIC 之間移動。您也可以使用它作為不同的端點來代管不同的服務。

• 公用 IP

  網路服務會定義 Oracle 選擇且對應至專用 IP 的公用 IPv4 位址。公用 IP 具有下列類型：臨時：此位址為暫時位址，存在於執行處理的存留期間。保留：此位址在執行處理存留時間之後仍然存在。您可以將它取消指定，然後重新指定給另一個執行處理。

• 來源和目的地檢查

  每個 VNIC 都會針對其網路流量執行來源和目的地檢查。停用此旗標可讓 Fortinet FortiGate 防火牆處理未定位到防火牆的網路流量。

• 運算型態

  運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理可用的 VNIC 數目和最大頻寬。

建議

使用下列建議作為使用 Fortinet FortiGate 防火牆保護 OCI 上 Oracle E-Business Suite 或 PeopleSoft 工作負載的起點。 您的需求可能會與此處描述的架構不同。

• VCN

  建立 VCN 時，請根據計畫連附至 VCN 中子網路的資源數目，判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

  選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。

  建立 VCN 之後，您可以變更、新增及移除其 CIDR 區塊。

  設計子網路時，請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。

  使用區域子網路。視需要連附您的網幅 VCN，以便將流量傳送至中樞 VCN FortiGate 防火牆。定義動態路由閘道的目的地和來源防火牆路由表至每個 VCN 連附項。

• Fortinet FortiGate 防火牆
  • 部署主動-被動叢集，並視需要新增更多執行處理。
  • 儘可能在不同的可用性網域中部署於不同的容錯域。
  • 確定所有 VNIC 的 MTU 均設為 9000。
  • 使用虛擬功能 I/O (VFIO) 介面。
• Fortinet FortiGate 防火牆管理
  • 如果您要建立 OCI 中代管的部署，請建立專用子網路以進行管理。
  • 您可以使用安全清單或 NSG 來限制內送存取來自網際網路的連接埠 443 和 22，以管理安全原則及檢視日誌和事件。
• 防火牆策略

  如需必要安全原則、連接埠和協定的最新資訊，請參閱「瀏覽詳細資訊」一節中的防火牆文件。保持最新狀態可確保您已設定在 Fortinet FortiGate 防火牆執行處理上啟用必要的網路位址轉譯原則/安全原則。

注意事項

使用 Fortinet FortiGate Firewall 保護 OCI 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載時，請考慮下列因素：

• 效能
  • 選取由運算資源配置決定的適當執行處理大小，以決定可用的傳輸量上限、CPU、RAM 以及介面數目。
  • 組織需要知道哪些流量類型周遊環境、決定適當的風險等級，並視需要套用適當的安全性控制。不同的已啟用安全性控制組合會影響效能。
  • 考慮新增 FastConnect 或 VPN 服務的專用介面。請考慮使用大型運算資源配置來提高傳輸量和存取更多網路介面。
  • 執行效能測試以驗證設計，可維持必要的效能和傳輸量。
• 安全

  在 OCI 中部署 Fortinet FortiManager 可讓您集中設定安全原則組態及監督所有實體和虛擬 Fortinet FortiGate 防火牆。

• 使用狀態

  將架構部署到不同的地理區域，以獲得最大的備援。使用相關組織網路設定站對站 VPN，以與企業內部部署網路進行備援連線。

• 成本

  Fortinet FortiGate 在 Oracle Cloud Marketplace 中提供隨用隨付或自用授權 (BYOL) 清單，而 Oracle Cloud Marketplace 的 BYOL 清單則提供 FortiManager。

部署

您可以使用 Oracle Cloud Marketplace 在 OCI 上部署 FortiGate 防火牆。您也可以從 GitHub 下載程式碼並加以自訂，以符合您特定的業務需求來部署此架構。Oracle 建議您從 Oracle Cloud Marketplace 部署架構。您也可以從 GitHub 下載程式碼，並加以自訂以符合您的特定業務需求。

• 使用 Oracle Cloud Marketplace 中的堆疊進行部署：
  1. 如架構圖表所示，設定必要的網路基礎架構。
  2. 在您的環境中部署應用程式 (Oracle E-Business Suite 或 PeopleSoft)。
  3. Oracle Cloud Marketplace 針對不同的組態和授權需求提供多個清單。例如，下列清單功能會自備授權 (BYOL)。針對您選擇的每個清單，按一下取得應用程式，然後依照畫面上的提示進行：
     • Fortinet FortiGate BYOL 清單
     • FortiManager 集中式安全管理 (BYOL)
     • Fortinet Marketplace 清單
• 使用 GitHub 中的 Terraform 程式碼部署：
  1. 前往 GitHub。
  2. 將儲存區域複製或下載到您的本機電腦。
  3. 依照 README 文件中的指示進行。

探索更多

深入瞭解搭配 Oracle Cloud Infrastructure 使用 FortiGate。

Oracle Cloud Infrastructure 參考資料：

• Oracle Cloud Infrastructure 的最佳做法架構
• Oracle Cloud Infrastructure 安全性簡介
• 深入瞭解如何在 Oracle Cloud Infrastructure 上部署 Oracle E-Business Suite
• 深入瞭解在 Oracle Cloud Infrastructure 上部署 PeopleSoft
• 瞭解如何使用動態路由閘道來操控防火牆流量
• 在 OCI 工作室上部署 FortiGate 防火牆及保護您的工作負載

Fortinet FortiGate 參考資料：

• FortiGate 's Oracle Cloud Infrastructure 管理手冊
• 使用 Fortinet Security Fabric 保護 Oracle PeopleSoft Suite
• Fortinet FortiGate -中樞與軸輻架構