甲骨文云基础设施(OCI)提供了顶级的安全技术和操作流程,以保护其企业云服务。然而,云安全是建立在共享责任模型之上的。甲骨文负责底层基础设施的安全,比如数据中心设施、硬件以及管理云操作和服务的软件。客户则负责保护他们的工作负载,并安全配置他们的服务及应用程序,以满足合规义务。
OCI的网络服务提供了安全列表和网络安全组,用于虚拟云网络(VCN),客户可以利用它们来保护自己的工作负载。许多客户还需要入侵预防系统、入侵检测、SSL检查、URL过滤、流量检查等。
甲骨文与帕洛阿尔托网络合作,为您的OCI VCN提供甲骨文云基础设施网络防火墙服务。这是一个下一代的托管网络防火墙服务,由帕洛阿尔托网络提供动力。甲骨文云基础设施网络防火墙服务提供以下安全特性:
本参考架构展示了您如何使用 OCI 网络防火墙服务保护在甲骨文云基础设施上运行的工作负载,并提供了一个基于 Terraform 的模板来部署架构。
此参考架构展示了组织如何使用网络防火墙保护在OCI中部署的工作负载,并通过利用内部虚拟云网络(VCN)路由功能简化设计。为了保护这些工作负载,甲骨文建议使用分布式部署来对网络进行分段,其中流量通过网络防火墙路由,并连接到VCN中的多个不同子网。
在部署OCI网络防火墙之前,您必须定义一个防火墙策略。OCI网络防火墙是特定VCN的防火墙子网中一个给定可用性域内的原生高可用服务。部署后,您可以使用防火墙IP地址通过VCN路由表路由您的流量。您必须对OCI网络防火墙IP地址进行对称路由,并应用所需的防火墙策略以支持您的用例。
VCN之间的所有流量,无论是来往互联网、来往本地,还是来往甲骨文服务网络,都可以通过网络防火墙进行路由和检查,该网络防火墙为各种规模的组织提供下一代防火墙功能。使用网络防火墙及其高级功能与其他OCI安全服务一起,创建分层的网络安全解决方案。一旦您在所选子网中创建了网络防火墙,它就是一个原生可扩展的服务。防火墙将业务逻辑应用于附加的防火墙策略中指定的流量。VCN中的路由用于指导网络流量到达和离开防火墙。
您可以将网络防火墙部署为:
下图展示了此参考架构。
通过互联网网关,北向南向的入站互联网流量通过OCI网络防火墙,在一个安全的VCN中流动。
北向南向的出站互联网流量通过NAT网关,并通过OCI网络防火墙,在一个安全的VCN中流动。
北向南向的来自本地的入站流量通过OCI网络防火墙,在一个安全的VCN中流动。
北向南向的来自本地的出站流量通过OCI网络防火墙,在一个安全的VCN中流动。
东向西向,从子网A到子网B的流量通过OCI网络防火墙,在一个安全的VCN中流动。
东向西向,从子网B到子网A的流量通过OCI网络防火墙,在一个安全的VCN中流动。
东向西向,从子网A到OCI服务的流量通过OCI网络防火墙,在一个安全的VCN中流动。
过境OCI网络防火墙部署架构。
东向西向,从辐射安全型B VCN到辐射安全型C VCN的流量通过位于枢纽安全型VCN-A中的OCI网络防火墙。
该架构包含以下组件:
甲骨文云基础设施地域是一个包含一个或多个数据中心的地理区域,这些数据中心称为可用性域。各个地域相互独立,它们之间可能相隔很远(跨越国家甚至大洲)。
分区是甲骨文云基础设施租户中跨地域的逻辑分区。使用分区来组织您在甲骨文云中的资源,控制对资源的访问,并设置使用配额。要控制对特定分区中资源的访问,您需要定义策略,指定谁可以访问资源以及他们可以执行什么操作。
可用性域是地域内独立的、独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,提供了容错能力。可用性域不共享基础设施,如电力或冷却系统,或内部可用性域网络。因此,一个可用性域的故障不太可能影响该地域内的其他可用性域。
故障域是一个可用性域内的硬件和基础设施分组。每个可用性域有三个具有独立电源和硬件的故障域。当您将资源分布在多个故障域中时,您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。
VCN是您在甲骨文云基础设施地域中设置的可定制的、软件定义的网络。与传统数据中心网络一样,VCN使您能够完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块,您可以在创建VCN后更改这些块。您可以将VCN分割成子网,这些子网可以限定在一个地域或一个可用性域。每个子网由一个连续的地址范围组成,这些地址不与VCN中的其他子网重叠。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
对于每个子网,您可以创建安全规则,指定必须允许进出子网的流量的源、目的地和类型。
这是一种安全资源,存在于您选择的子网中,根据一组安全规则控制进出网络流量。每个防火墙都与一个策略关联。流量通过如互联网网关、NAT网关、服务网关和动态路由网关(DRG)等资源,路由到防火墙和从防火墙路由出来。
防火墙策略包含所有控制防火墙如何检查、允许或拒绝网络流量的配置规则。每个防火墙与单一策略关联,但一个策略可以关联到多个防火墙。在策略中,列表和映射是用来帮助您以清晰、简洁的方式表达规则的对象。
虚拟路由表包含将流量从子网路由到VCN外部目的地的规则,通常通过网关。在安全VCN中,您可以有以下路由表:
用于定址实例的私有IPv4地址及相关信息。每个VNIC有一个主要的私有IP,您可以添加和移除次要的私有IP。实例上的主要私有IP地址在实例启动时附加,并且在实例的生命周期内不变。次要IP也应属于同一VNIC子网的CIDR。次要IP用作浮动IP,因为它可以在同一子网内不同实例的不同VNIC之间移动。您也可以将其用作托管不同服务的不同端点。
OCI网络防火墙不支持也不需要次要IP。使用主防火墙IP地址将流量路由到防火墙进行流量检查。
网络服务定义了一个由甲骨文选择的公共IPv4地址,映射到一个私有IP。
计算实例的形状指定了分配给实例的CPU数量和内存量。计算形状还决定了计算实例可用的VNIC数量和最大带宽。
甲骨文云基础设施数据中心的服务使用物理网络接口卡(NIC)。虚拟机实例使用与物理NIC关联的虚拟NIC(VNIC)进行通信。每个实例都有一个在启动时自动创建和附加的主VNIC,在实例的生命周期内都可用。DHCP仅提供给主VNIC。您可以在实例启动后添加次级VNIC。您应为每个接口设置静态IP。
互联网网关允许VCN中的公共子网与公共互联网之间的流量。
NAT网关使VCN中的私有资源能够访问互联网上的主机,而不将这些资源暴露给来自互联网的入站连接。
服务网关提供从VCN到其他服务(如甲骨文云基础设施对象存储)的访问。从VCN到甲骨文服务的流量通过甲骨文网络结构传输,永远不会穿越互联网。
甲骨文云基础设施FastConnect提供了一种简便的方法来创建您的数据中心与甲骨文云基础设施之间的专用、私有连接。与基于互联网的连接相比,FastConnect提供更高带宽选项和更可靠的网络体验。
以下建议可作为起点。您的需求可能与此处描述的架构不同。
参考“了解更多”部分的网络防火墙文档,以了解更多最新信息。以下是一些建议:
在使用OCI的网络防火墙保护工作负载时,考虑以下因素:
您可以通过控制台在OCI上部署网络防火墙。您也可以从GitHub下载代码,并根据您的特定业务需求定制代码来部署此架构。
使用GitHub上的Terraform代码进行部署:
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门。