1. 運用 Palo Alto Networks VM Series Firewall 保護您的雲端工作負載,並簡化您的設計
  2. 運用 Palo Alto Networks VM 系列防火牆保護雲端工作負載,並簡化設計

運用 Palo Alto Networks VM 系列防火牆保護雲端工作負載,並簡化設計

雲端中的安全性是以共用職責模型為基礎。Oracle 負責管理雲端作業和服務的相關基礎架構 (例如資料中心設備、硬體和軟體) 安全。客戶負責保護其工作負載,並安全地設定其服務與應用程式以符合其合規責任。

Oracle Cloud Infrastructure (OCI) 提供最佳類別的安全技術和作業流程,以保護其企業雲服務。OCI 的 VM-Series 防火牆在雲端環境之間提供一致的威脅預防和內嵌網路安全性,可協助網路安全團隊將其雲端網路中的流量視為可見性及控制。VM-Series 是 Palo Alto Networks ML-Powered NGFWs 系列的一部分,提供與 Palo Alto Alto 業界頂尖硬體防火牆相同的功能給 VM 形式因素,讓它成為雲端環境的高擴展性先決條件。

VM-Series 透過緊密整合至 Palo Alto Networks 雲端傳遞的安全訂閱(例如 Palo Alto Networks 的其他新一代防火牆 (CN-Series 容器防火牆和 PA-Series 實體防火牆) 和 Prisma Access,擴充第 7 層防火牆功能。這些雲端提供的安全訂閱可協調智慧功能,並提供跨所有攻擊向量的保護。此安全免除不同網路安全性工具所產生的涵蓋範圍差距,並提供一致的平台體驗來保護您的組織免於最先進的威脅。

此參照架構顯示如何使用 VM-Series 防火牆來保護您的工作負載,並提供以 Terraform 為基礎的樣板來部署架構。

架構

此參考架構說明組織如何使用Palo Alto Networks VM-Series防火牆與彈性的網路負載平衡器保護Oracle應用程式,例如Oracle E-Business Suite、PeopleSoft以及在OCI中部署的應用程式,並使用動態路由閘道(DRG)簡化設計。

為了保護這些流量,Palo Alto Networks 建議您使用集線器和軸輻拓樸來區隔網路,其中流量會透過中央集線器遞送並連線至多個不同的網路 (網輻)。確定在彈性網路負載平衡器之間部署了多個 VM-Series 執行處理,這就是一個三明治拓樸。網輻之間的所有流量,不論是從網際網路、內部部署網路或從 Oracle Services Network,都會透過集線器進行路由,並使用 Palo Alto Networks VM-Series 防火牆的多層威脅預防技術進行檢查。

在應用程式的每層虛擬雲端網路 (VCN) 中部署作為網幅的每一層。集線器 VCN 包含一個 Palo Alto Networks VM-Series 防火牆主動-主動叢集、Oracle 網際網路閘道、DRG、Oracle Service 閘道,以及內部和外部彈性網路負載平衡器。

中樞 VCN 會透過 DRG 連線至網幅 VCN。每個 VCN 都有 DRG 的附件,讓他們可以彼此通訊。所有網幅流量都使用路由表規則,利用 Palo Alto Networks VM-Series 防火牆叢集所檢查的彈性網路負載平衡器,透過 DRG 將流量遞送至集線器。

您可以在本機設定和管理 Palo Alto Networks 防火牆,或是使用 Palo Alto Networks 集中式安全管理系統 Panorama 集中管理防火牆。Panorama 可協助客戶降低管理組態、原則、軟體以及動態內容更新的複雜性和管理負荷。您可以使用 Panorama 上的裝置群組和樣板,有效地管理防火牆上的本機防火牆特定組態,以及在所有防火牆或裝置群組間強制實行共用原則。

下圖說明此參考架構。

drg_nlb_oci_pan_arch.png 的描述如下
drg_nlb_oci_pan_arch.png 圖解描述

每個流量流程都可確保 VM 系列防火牆上開啟網路位址轉譯 (NAT) 和安全原則。彈性網路負載平衡器目前支援的使用案例,要求您在流量結束的防火牆上啟用來源 NAT。

North-south 入埠網際網路流量

下圖說明一般-south 輸入流量如何從網際網路存取 Web 應用程式層。

north_south_inbound.png 的描述如下
north_south_inbound.png 圖解描述

North-south 外送網際網路流量

下圖說明從 Web 應用程式和資料庫層到網際網路的外送連線如何提供外部 Web 服務的軟體更新和存取權。

north_south_outbound.png 描述如下
north_south_outbound.png 圖解描述

復原-重量流量 (Web 至資料庫)

下圖說明流量如何從 Web 應用程式移至資料庫層。

east_west_w2db.png 的描述如下
east_west_w2db.png 圖解說明

復原-重量流量 (資料庫至 Web)

下圖說明流量如何從資料庫層移至 Web 應用程式。

east_west_db2w.png 的描述如下
east_west_db2w.png 圖解說明

復活節加權流量 (Oracle Services Network 的 Web 應用程式)

下圖說明流量如何從 Web 應用程式移至 Oracle Services Network。

east_west_webapp2osn.png 的描述如下
east_west_webapp2osn.png 圖解說明

復活節加權流量 (Oracle Services Network 至 Web 應用程式)

下圖說明流量如何從 Oracle Services Network 移至 Web 應用程式。

east_west_osn2webapp.png 的描述如下
east_west_osn2webapp.png 圖解說明

架構包含下列元件:
  • Palo Alto 網路 VM-Series 防火牆

    以虛擬機器 (VM) 形式提供實體新一代防火牆的所有功能,提供內嵌網路安全性與威脅預防公用和私有雲。

  • Oracle E-Business Suite 或 PeopleSoft 應用程式層

    由 Oracle E-Business Suite 或 PeopleSoft 應用程式伺服器和檔案系統組成。

  • Oracle E-Business Suite 或 PeopleSoft 資料庫層

    由 Oracle Database 組成,但不限於 Oracle Exadata Database Cloud 服務或 Oracle Database 服務。

  • 區域

    OCI 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。

  • 可用性網域

    可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。

  • 容錯域

    容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 OCI 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,讓您可以將其領域限於某個區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。

  • 中樞 VCN

    Hub VCN 是部署 Palo Alto Networks VM-Series 防火牆的集中式網路。它提供所有網幅 VCN、OCI 服務、公用端點與從屬端以及企業內部部署資料中心網路的安全連線。應用程式層網幅 VCN 應用程式層網幅 VCN 包含代管 Oracle E-Business Suite 或 PeopleSoft 元件的專用子網路。

  • 資料庫層網幅 VCN

    資料庫層網幅 VCN 包含代管 Oracle 資料庫的專用子網路。

  • 負載平衡器

    OCI 負載平衡服務提供自動化的流量分配,從單一進入點到後端的多部伺服器。

  • 彈性網路負載平衡器

    OCI 的彈性網路負載平衡器提供從一個進入點到 VCN 中多部後端伺服器的自動化流量分配。它會在連線層次作業,負載平衡器會根據 Layer3 或 Layer4 (IP 協定) 資料,將內送從屬端連線至狀況良好的後端伺服器。

  • 安全清單

    您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。

  • 路由表

    虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。在 Hub VCN 中,您有下列路由表:

    • 連附至管理子網路的管理路由表,此子網路具有連線至網際網路閘道的預設路由。
    • 連附至不信任子網路的不信任路由表或預設 VCN,以透過 DRG 將流量從集線器 VCN 遞送至網際網路或內部部署網幅 VCN 目標。此路由表也包含透過 DRG 進行每個網幅 VCN CIDR 區塊路由的項目。
    • 附加至信任子網路的信任路由表透過 DRG 指向網輻 VCN 的 CIDR 區塊。
    • 連附至 NLB 子網路的網路負載平衡器 (NLB) 路由表,指向透過 DRG 之網輻 VCN 的 CIDR 區塊。
    • DRG 會針對每個附加至中樞的網幅定義不同的路由表,並使用路由目標作為 DRG。該路由表會透過內部彈性網路負載平衡器,將所有流量 (0.0.0.0/0) 從網幅 VCN 轉送至 DRG,或者您也可以在精細層次定義它。
    • 連附至 Oracle 服務閘道以進行 Oracle 服務網路通訊的 Oracle 服務閘道路由表。該路由會將所有流量 (0.0.0.0/0) 轉送至內部專用網路負載平衡器 VIP IP。
    • 若要維護流量對稱,也會將路由新增至每個 Palo Alto Networks VM-Series 防火牆,以將網輻流量的 CIDR 區塊指向指向信任 (內部) 子網路的預設閘道 IP 和指向不信任子網路預設閘道 IP 的預設 CIDR 區塊 (0.0.0.0/0)。預設閘道 IP 位於 Hub VCN 的信任子網路中。
  • 網際網路閘道

    網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。

  • NAT 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會對內送網際網路連線暴露這些資源。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 OCI 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。

  • 服務閘道

    服務閘道可讓您從 VCN 存取其他服務,例如 OCI Object Storage。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。

  • FastConnect

    OCI FastConnect 可讓您輕鬆建立資料中心與 OCI 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。

  • 虛擬網路介面卡 (VNIC)

    OCI 資料中心內的服務具備實體網路介面卡 (NIC)。VM 執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有一個在建置期間自動建立並連附的主要 VNIC,而且可以在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在建置執行處理之後新增次要 VNIC。設定每個介面的靜態 IP。

  • 專用 IP

    用以處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有主要專用 IP,您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理部署期間連附,而且不會在執行處理存留期間變更。次要 IP 也屬於 VNIC 子網路的相同 CIDR。次要 IP 可作為浮動 IP 使用,因為它可以在相同子網路內不同執行處理上的不同 VNIC 之間移動。您也可以使用它作為不同的端點來代管不同的服務。

  • 公用 IP
    網路服務會定義 Oracle 選擇且對應至專用 IP 的公用 IPv4 位址。公用 IP 具有下列類型:
    • 臨時:此位址為暫時位址,存在於執行處理的存留期間。
    • 保留:此位址在執行處理存留時間之後仍然存在。您可以將它取消指定,然後重新指定給另一個執行處理。
  • 來源和目的地檢查

    每個 VNIC 都會針對其網路流量執行來源和目的地檢查。停用此旗標可讓 Palo Alto Networks VM-Series 防火牆處理未定位到防火牆的網路流量。

  • 運算型態

    運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理可用的 VNIC 數目和最大頻寬。

建議

使用以下建議作為使用 Palo Alto Networks VM-Series 防火牆保護 OCI 上 Oracle E-Business Suite 或 PeopleSoft 工作負載的起點。 您的需求可能會與此處描述的架構不同。
  • VCN

    建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。

    若要檢查整個網幅 VCN 的流量、請使用區域子網路、並確定網幅 VCN 的 CIDR 已與網幅子網路完全關聯。

  • Palo Alto 網路 VM-Series 防火牆
    • 部署主動-主動叢集並新增必要的執行處理。
    • 儘可能在不同的可用性網域中部署於不同的容錯域。
    • 確定所有 VNIC 的 MTU 均設為 9000。使用 VFIO 介面。
  • Palo Alto 網路 VM-Series 防火牆管理
    • 如果您要建立 OCI 中代管的部署,請建立專用子網路以進行管理。
    • 您可以使用安全清單或網路服務閘道來限制連接埠 443 和 22 (源自網際網路) 的內送存取,以管理安全原則及檢視日誌和事件。
  • Palo Alto 網路 VM-Series 防火牆原則

    如需必要安全原則、連接埠和協定的最新資訊,請參閱 Explore more 一節中的防火牆文件。確定您已在 VM-Series 防火牆執行處理上設定必要的網路位址轉譯原則。

注意事項

使用 Palo Alto Networks VM-Series 防火牆保護 OCI 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載時,請考慮下列因素:

  • 效能
    • 選取由運算資源配置決定的適當執行處理大小,以決定可用的傳輸量上限、CPU、RAM 以及介面數目。
    • 組織需要知道哪些流量類型周遊環境、決定適當的風險等級,並視需要套用適當的安全性控制。不同的已啟用安全性控制組合會影響效能。
    • 考慮新增 FastConnect 或 VPN 服務的專用介面。
    • 請考慮使用大型運算資源配置來提高傳輸量和存取更多網路介面。
    • 執行效能測試以驗證設計,可維持必要的效能和傳輸量。
  • 安全

    在 OCI 中部署 Palo Alto Network VM-Series 防火牆可讓您集中設定安全原則組態及監督所有實體和虛擬 Palo Alto Network VM-Series 執行處理。

  • 使用狀態
    • 將架構部署到不同的地理區域,以獲得最大的備援。
    • 使用相關組織網路設定站對站 VPN,以與企業內部部署網路進行備援連線。
  • 成本
    Palo Alto Networks VM-Series Firewall 提供 Oracle Cloud Marketplace 中組合 1 與組合 2 的 bring-your-own-license (BYOL) 與 Pay As You Go 授權模型。
    • 組合 1 包含 VM-Series 容量授權、威脅預防授權,以及溢價支援權益。
    • 組合 2 包含具有完整授權套件的 VM-Series 容量授權,其中包括威脅防範、WildFire、URL 篩選、DNS 安全性、GlobalProtect 以及溢價支援權益。

部署

您可以使用 Oracle Cloud Marketplace 在 OCI 上部署 VM-Series 防火牆。您也可以從 GitHub 下載程式碼並加以自訂,以符合您的特定業務需求。Oracle 建議您從 Oracle Cloud Marketplace 部署架構。
  • 使用 Oracle Cloud Marketplace 中的堆疊進行部署:
    1. 如架構圖表所示,設定必要的網路基礎架構。請參閱設定軸輻式網路拓樸範例。
    2. 在您的環境中部署應用程式 (Oracle E-Business Suite 或 PeopleSoft 或應用程式)。
    3. Oracle Cloud Marketplace 針對不同的組態和授權需求提供多個清單。例如,下列清單功能可帶來您自己的授權 (BYOL) 或付費。針對您選擇的每個清單,按一下取得應用程式,然後依照畫面上的提示進行:
  • 使用 GitHub 中的 Terraform 程式碼部署:
    1. 前往 GitHub
    2. 將儲存區域複製或下載到您的本機電腦。
    3. 依照 README 文件中的指示進行。

探索更多

若要進一步瞭解此架構的功能和相關資源,請複查這些額外的出版品: