1. 使用檢查點 CloudGuard 網路安全保護雲端工作負載
  2. 使用檢查點 CloudGuard 網路安全保護雲端工作負載

使用檢查點 CloudGuard 網路安全保護雲端工作負載

使用檢查點 CloudGuard Network Security (CGNS),從雲端的 Oracle E-Business Suite 或 PeopleSoft 移動或擴充應用程式工作負載,以增強原生安全選項,且不需重大組態、整合或商業流程變更。

雲端的安全性是以共用職責模型為基礎。Oracle 負責基礎架構的安全性,例如資料中心設備,以及管理雲端作業和服務的硬體和軟體。客戶負責保護其工作負載並安全地設定其服務和應用程式,以符合其相容性義務。

Oracle Cloud Infrastructure 提供業界最佳的安全技術和作業流程,以保護其企業雲端服務的安全。檢查點 CloudGuard Network Security for Oracle Cloud Infrastructure 提供進階的多層安全性,可保護應用程式避免受到攻擊,同時也能夠從企業和混合雲端網路進行安全連線。

它們一起保護企業內部部署資料中心和雲端環境之間的應用系統,以提供可擴展的效能,並提供進階安全協調和統一的威脅保護。

安全控制包括下列各項:

  • 存取控制 (防火牆)
  • 日誌記錄
  • 應用程式控制
  • 入侵預防 (IPS)
  • 進階威脅預防 (防毒/防毒/SandBlast Zero-Day 保護)
  • 用於與內部部署網路通訊的站對站虛擬專用網路 (VPN)
  • 與漫遊使用者通訊的遠端存取 VPN
  • 網際網路界限流量的網路位址轉譯

架構

此參照架構說明組織如何使用 Check Point CloudGuard Network Security (CGNS) 閘道保護 Oracle Cloud Infrastructure 中部署的 Oracle 應用程式 (例如 Oracle E-Business Suite 和 PeopleSoft)。

為保護這些流量,「檢查點」建議您使用中樞和網輻拓樸(流量透過中央中樞路由,並連線至多個不同的網路 (網輻) 來區隔網路。網幅之間、網際網路、內部部署或 Oracle Services Network 之間的所有流量都會透過中樞路由,並使用「檢查點 CloudGuard 網路安全」的多層威脅預防技術進行檢查。

在您的應用程式本身的虛擬雲端網路 (VCN) 中部署每個層,此虛擬雲端網路可作為網幅。Hub VCN 包含「檢查點 CGNS」高可用性叢集、Oracle 網際網路閘道、動態路由閘道 (DRG)、Oracle Service 閘道以及本機對等互連閘道 (LPG)。

Hub VCN 會透過 LPG 或將次要虛擬網路介面卡 (VNIC) 連附至 CGNS 閘道,連線至網輻 VCN。所有網輻流量都會使用路由表規則,將流量通過 LPG 遞送至集線器,以供「檢查點 CGNS」高可用性叢集檢查。

使用下列其中一種方法來管理環境:

  • 使用「檢查點」安全管理伺服器或多重網域管理伺服器集中管理環境,部署於 Hub VCN 中自己的子網路,或部署為集線器可存取的預先存在客戶伺服器。
  • 從「檢查點」的 Smart-1 Cloud Management as-a-Service 集中管理環境。

下圖說明此參考架構。


Cgns-oci-architecture.png 的描述如下
Cgns-oci-architecture.png 圖解描述

北方輸入流量

下圖說明輸入流量標準如何從網際網路和遠端資料中心存取 Web 應用程式層。


Cgns-oci-ns-inbound.png 的描述如下
Cgns-oci-ns-inbound.png 圖解描述

北方輸出流量

下圖說明從 Web 應用程式和資料庫層到網際網路的外送連線如何提供軟體更新和存取外部 Web 服務。請確定已在相關網路的檢查點安全原則中設定隱藏 NAT。


Cgns-oci-ns-outbound.png 的描述如下
Cgns-oci-ns-outbound.png 圖解描述

簡單西方流量 (Web 至資料庫)

下圖說明流量如何從 Web 應用程式移至資料庫層。


Cgns-oci-ew-web-db.png 的描述如下
Cgns-oci-ew-web-db.png 圖解描述

簡單西方流量 (資料庫至 Web)

下圖說明流量如何從資料庫層移至 Web 應用程式。


Cgns-oci-ew-db-web.png 的描述如下
Cgns-oci-ew-db-web.png 圖解描述

簡單西方流量 (Web 應用程式至 Oracle Services 網路)

下圖說明流量如何從 Web 應用程式移至 Oracle Services Network。


Cgns-oci-ew-app-osn.png 的描述如下
Cgns-oci-ew-app-osn.png 圖解描述

簡單西方流量 (Oracle Services Network to Web Application)

下圖說明流量如何從 Oracle Services Network 移至 Web 應用程式。


Cgns-oci-ew-osn-app.png 的描述如下
Cgns-oci-ew-osn-app.png 圖解描述

架構包含下列元件:

  • 檢查點 CloudGuard 網路安全閘道

    為混合雲端提供進階的威脅預防和雲端網路安全性。

  • 檢查點安全性管理
    • 安全管理伺服器
    • 多重網域管理
    • Smart-1 Cloud Management as-a-Service
  • Oracle E-Business Suite 或 PeopleSoft 應用程式層

    由 Oracle E-Business Suite 或 PeopleSoft 應用程式伺服器和檔案系統所組成。

  • Oracle E-Business Suite 或 PeopleSoft 資料庫層

    由 Oracle Database 組成,但不限於 Oracle Exadata Database Cloud 服務或 Oracle Database 服務。

  • 區域

    Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而且許多距離可以區分 (跨國家或甚至大陸)。

  • 可用性網域

    可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用像電源或冷卻等基礎架構,或內部可用性網域網路。因此,某個可用性網域發生失敗,並不會影響該區域中的其他可用性網域。

  • 容錯域

    容錯域是可用性網域內硬體和基礎架構的群組。每個可用性網域都有三個具有獨立電源與硬體的容錯域。當您將資源分散到多個容錯域時,應用程式可容許容錯域內的實體伺服器故障、系統維護和電源故障。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統資料中心網路一樣,VCN 也可讓您完全控制網路環境。一個 VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區隔為子網路 (可為區域或可用性網域的作用領域)。每個子網路均包含一個不與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立之後變更子網路的大小。子網路可以是公用或專用。

  • Hub VCN

    Hub VCN 是建置「檢查點 CloudGuard NSG」的集中網路。它提供所有網輻 VCN、Oracle Cloud Infrastructure 服務、公用端點與從屬端,以及內部部署資料中心網路的安全連線。

  • 應用程式層網幅 VCN

    應用程式層網輻 VCN 包含代管 Oracle E-Business Suite 或 PeopleSoft 元件的專用子網路。

  • 資料庫層網幅 VCN

    資料庫層網輻 VCN 包含代管 Oracle 資料庫的專用子網路。

  • 負載平衡器

    Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動流量分佈。

  • 安全清單

    對於每個子網路,您可以建立安全規則,指定必須在子網路內和子網路外輸入的流量來源、目的地以及類型。

  • 路由表格

    虛擬路由表包含將流量從子網路遞送至 VCN 外部目的地的規則 (通常是透過閘道)。

    在 Hub VCN 中,您有下列路由表:

    • 連附至前端子網路或預設 VCN 的前端路由表格,用於將流量從集線器 VCN 遞送至網際網路或內部部署目標。
    • 連附至後端子網路的後端路由表格會透過關聯的 LPG 指向網輻 VCN 的 CIDR 區塊。
    • 系統會針對每個連附至集線器的網幅,定義不同的路由表並連附至相關的 LPG。該路由表會透過檢查點 CGNS 後端浮動 IP,從關聯的網輻 LPG 轉送所有流量 (0.0.0.0/0)。
    • 連附至 Oracle 服務閘道的 Oracle 服務閘道路由表格,用於 Oracle Services Network 通訊。該路由會將所有流量 (0.0.0.0/0) 轉送至檢查點 CGNS 後端浮動 IP。
    • 為了維護流量對稱,路由也會新增至每個檢查點 CGNS 叢集成員 (Gaia OS),以將網幅流量的 CIDR 區塊指向後端 (內部) 子網路的預設閘道 IP (Hub VCN 上後端子網路中第一個可用的 IP)。
  • 網際網路閘道

    網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。

  • NAT 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會對內送網際網路連線公開這些資源。

  • 本地對等互連閘道 (LPG)

    LPG 可讓您將某個 VCN 與相同區域中的其他 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而流量則不會透過您的內部部署網路傳輸網際網路或路由。

  • 動態路由閘道 (DRG)

    DRG 是一個虛擬路由器,提供 VCN 與區域外的網路之間的專用網路流量路徑,例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路。

  • 服務閘道

    服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 到 Oracle 服務的流量透過 Oracle 網路結構傳輸,絕不會周遊網際網路。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供簡單的方法,讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專用的專用連線。與網際網路連線相比,FastConnect 提供更高的頻寬選項及更可靠的網路體驗。

  • 虛擬網路介面卡 (VNIC)

    Oracle Cloud Infrastructure 資料中心的服務具有實體網路介面卡 (NIC)。虛擬機器執行處理會使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有一個在啟動時自動建立並連附的主要 VNIC,而且可在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。

  • 專用 IP

    用於定址執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有一個主要專用 IP,您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動期間連附,而且不會在執行處理的存留期間變更。次要 IP 也必須屬於 VNIC 之子網路的相同 CIDR。次要 IP 會作為浮動 IP 使用,因為它可以在相同子網路內不同執行處理的不同 VNIC 之間移動。您也可以將它當作不同的端點來代管不同的服務。

  • 公用 IP

    網路服務定義 Oracle 所選擇的公用 IPv4 位址 (對應至專用 IP)。

    • 暫時:此地址是暫時的,存在於執行處理的存留期間。
    • 已保留:此位址在執行處理的存留時間之外仍會保留。您可以將它取消指派,並重新指派給其他執行處理。
  • 來源與目的地檢查

    每個 VNIC 都會在其網路流量上執行來源和目的地檢查。停用此旗標可讓 CGNS 處理未定位到防火牆的網路流量。

  • 運算型態

    運算執行處理的資源配置會指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理的 VNIC 數目和最大頻寬。

建議

您可以使用下列建議作為使用「檢查點 CloudGuard 網路安全」保護 Oracle Cloud InfrastructureOracle E-Business Suite 或 PeopleSoft 工作負載的起點。

  • VCN

    建立 VCN 時,請根據您打算連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。

    選取未與您想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。

    建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。

    當您設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。

    使用區域子網路。

    若要擴充此架構供多個環境和應用程式使用,請在您的服務限制中驗證每個 VCN 的 LPG 數目上限。

  • 檢查點 CloudGuard 網路安全
    • 建置高可用性叢集。
    • 儘可能部署於不同的可用性網域中,至少部署於不同的容錯域。
    • 確定所有 VNIC 上的 MTU 均設為 9000
    • 使用 SRIOV 和 VFIO 介面。
    • 在個別區域中建立第二個 hub-spoke 拓樸,以進行災害復原或異地備援。
    • 請勿透過安全清單或 NSG 限制流量,因為所有流量都受安全閘道保護。
    • 依照預設,閘道上會開啟連接埠 443 22,並且會根據安全原則開啟更多連接埠。
  • 檢查點安全性管理
    • 若是建立 Oracle Cloud Infrastructure 中代管的新建置,請建立專用的子網路以進行管理。
    • 在不同的可用性網域或區域中部署次要管理伺服器 (管理高可用性)。
    • 使用安全清單或 NSG 來限制來自網際網路的連接埠 44322 以及 19009 的內送存取,以管理安全原則並檢視日誌和事件。
    • 建立安全清單或 NSG,讓安全管理伺服器的安全閘道傳入和傳出流量。
  • 檢查點安全原則

    如需所需連接埠與通訊協定的最新資訊,請參閱「瀏覽更多」一節中的應用程式文件。

考量

使用「檢查點 CloudGuard 網路安全」保護 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載時,請考慮下列事項:

  • 效能
    • 選取適當的執行處理大小 (由運算型態決定) 會決定最大可用傳輸量、CPU、RAM 以及介面數目。
    • 組織必須瞭解環境周遊的流量類型、決定適當的風險層次,並視需要套用適當的安全控制。不同的已啟用安全性控制組合會影響效能。
    • 考慮為 FastConnect 或 VPN 服務新增專用介面。
    • 請考慮使用大型運算資源配置來提高傳輸量,並存取更多網路介面。
    • 執行效能測試以驗證設計能夠維持必要的效能與傳輸量。
  • 安全性
    • Oracle Cloud Infrastructure 中部署「檢查點安全管理」可讓您集中安全原則組態和監督所有實體和虛擬「檢查點安全閘道」執行處理。
    • 對於現有的「檢查點」客戶,也支援將「安全性管理」移轉至 Oracle Cloud Infrastructure
    • 針對每個叢集部署定義不同的「識別與存取管理 (IAM)」動態群組或原則。
  • 使用狀態
    • 將架構部署至不同的地理區域,以獲得最大的冗餘。
    • 使用相關的組織網路設定網站與網站 VPN,以與內部部署網路進行備援連線。
  • 成本
    • 檢查Oracle Cloud Marketplace中「安全管理」和「安全閘道」的「點雲端保全」可隨用隨付(BYOL)和隨用隨付授權模型。
    • 檢查點 CloudGuard Network Security Gateway 授權是以 vCPUs 數目為基礎 (一個 OCPU 等同於兩個 vCPUs)。
    • 檢查點 BYOL 授權在執行處理之間是否可以攜帶。例如,如果您從其他也使用 BYOL 授權的公有雲移轉工作負載,就不需要從「檢查點」購買新授權。如果您有任何問題或需要驗證授權狀態,請洽詢您的「檢查點」代表。
    • 「檢查點安全管理」是否依據受管理的安全閘道授權。例如,兩個叢集會計入「安全管理」授權的四個叢集。

部署

若要使用「檢查點 CloudGuard 網路安全」保護 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載,請執行下列步驟:

  1. 如架構圖表所示,設定必要的網路基礎架構。請參閱設定軸輻式網路拓樸。
  2. 在您的環境上部署應用程式 ( Oracle E-Business Suite 或 PeopleSoft)。
  3. Oracle Cloud Marketplace 中有一些堆疊可供不同的組態和授權需求使用。例如,下列堆疊功能會帶領您自己的授權 (BYOL)。針對您選擇的每個堆疊,按一下取得應用程式,然後依照畫面上的提示進行:

瀏覽其他項目

瞭解有關此架構功能及相關資源的詳細資訊。