甲骨文云OCI 构建CloudGuard网络安全，守护Oracle云基础设施中的工作负载：云上安全的先锋策略

在云中移动或扩展任何应用程序工作负载，如Oracle E-Business Suite或PeopleSoft，使用Check Point CloudGuard网络安全增强原生安全选项，而无需进行重大的配置、集成或业务流程更改。

云中的安全性基于共享责任模型。Oracle负责底层基础设施的安全，如数据中心设施、硬件以及管理云操作和服务的软件。客户负责保护他们的工作负载，并安全地配置他们的服务和应用程序，以满足他们的合规义务。

Oracle云基础设施（OCI）提供行业领先的安全技术和运营流程，以保护其企业云服务。Check Point CloudGuard网络安全为OCI提供先进的多层安全性，以保护应用程序免受攻击，同时实现企业和混合云网络的安全连接。它们共同保护跨本地数据中心和云环境的应用程序，提供可扩展的性能，并带来先进的安全编排和统一的威胁防护。

安全控制包括以下功能：

• 访问控制（防火墙）

• 日志记录

• 应用程序控制

• URL过滤

• 入侵预防（IPS）

• 高级威胁预防（反病毒、反机器人、SandBlast零日保护）

• 站点到站点虚拟私人网络（VPN），用于与本地网络通信

• 远程访问VPN，用于与漫游用户通信

• 网络地址转换，用于互联网绑定流量

架构

本参考架构展示了如何使用Check Point的CloudGuard网络安全和灵活的网络负载均衡器来保护部署在OCI中的Oracle应用程序，如Oracle E-Business Suite、PeopleSoft以及其他应用程序。

为了保护这些流量，Check Point建议使用南北枢纽和辐射设计对网络进行分段：

• 北枢纽保护公开可访问资源免受恶意入站流量的侵害。北枢纽使用Oracle灵活的网络负载均衡器，使组织能够创建一套可根据吞吐量需求适当调整大小的CloudGuard网络安全网关。

• 南枢纽保护辐射间的流量、流向互联网的出站流量、流向Oracle服务网络的流量，以及流向或来自本地网络的流量。我们建议南枢纽包含一个高可用的CloudGuard网络安全网关集群，以便对敏感于中断的流量进行有状态的故障转移。

• 在其自己的虚拟云网络（VCN）中部署应用程序的每个层，该VCN充当一个辐射。这种分离允许对辐射间流量进行细粒度控制。

• 北枢纽VCN通过灵活的网络负载均衡器和动态路由网关（DRG）将来自互联网的流量连接到各个辐射VCN。

• 南枢纽VCN通过DRG连接到辐射VCN。所有出站流量和辐射间流量使用路由表规则通过DRG路由到南枢纽，以便由CloudGuard网络安全集群检查。

• 使用以下方法之一管理环境：

￮ 使用Check Point安全管理服务器或多域管理服务器集中管理环境，部署在北枢纽VCN的自己的子网中，或作为一个现有的客户部署，对安全网关可访问。

￮ 从Check Point Smart-1 Cloud管理即服务中集中管理环境。

以下图表展示了这一参考架构。

对于每种流量流动场景，确保在CloudGuard网络安全网关上配置网络地址转换（NAT）和安全策略。当前支持的灵活网络负载均衡器用例要求您在流量出口的防火墙上启用源NAT。

通过北枢纽VCN的南北向入站流量流动

以下图表展示了南北向入站流量如何通过互联网访问Web应用程序层：

通过南枢纽VCN的南北向出站流量流动

以下图表展示了来自Web应用程序和数据库层的对互联网的出站连接如何提供软件更新和访问外部Web服务：

东西向流量流动（Web到数据库）通过南枢纽VCN

以下图表展示了流量如何从Web应用程序移动到数据库层：

东西向流量流动（数据库到Web）通过南枢纽VCN

以下图表展示了流量如何从数据库层移动到Web应用程序：

东西向流量流动（Web应用程序到Oracle服务网络）通过南枢纽VCN

以下图表展示了流量如何从Web应用程序移动到Oracle服务网络：

东西向流量流动（Oracle服务网络到Web应用程序）通过南枢纽VCN

以下图表展示了流量如何从Oracle服务网络移动到Web应用程序：

该架构包含以下组件：

• Check Point CloudGuard网络安全网关

￮ 为混合云提供先进的威胁预防和云网络安全。

• Check Point安全管理

￮ 安全管理服务器

￮ 多域管理

￮ Smart-1 Cloud管理即服务

• Oracle E-Business Suite或PeopleSoft应用程序层

￮ 由Oracle E-Business Suite或PeopleSoft应用服务器和文件系统组成。

• Oracle E-Business Suite或PeopleSoft数据库层

￮ 由Oracle数据库组成，但不限于Oracle Exadata数据库云服务或Oracle数据库服务。

地域

• OCI地域是包含一个或多个数据中心的本地化地理区域，这些数据中心称为可用性域。地域彼此独立，它们之间可能相隔很远（跨越国家甚至大陆）。

可用性域

• 可用性域是地域内的独立、独自运行的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，提供故障容忍。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该地域中的其他可用性域。

故障域

• 故障域是一个可用性域内的硬件和基础设施分组。每个可用性域有三个具有独立电源和硬件的故障域。当您将资源分布在多个故障域中时，您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在OCI地域中设置的可定制的、软件定义的网络。与传统的数据中心网络一样，VCN使您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改它们。您可以将VCN划分为子网，这些子网可以被限定在一个地域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

北枢纽VCN

• 北枢纽VCN是一个集中的网络，部署了Check Point CloudGuard网络安全网关。它为所有辐射VCN提供安全的入站连接。

南枢纽VCN

• 南枢纽VCN是一个集中的网络，部署了高可用性集群的Check Point CloudGuard网络安全网关。它为所有辐射VCN、OCI服务、公共端点和客户端，以及本地数据中心网络提供安全连接。

应用层辐射VCN

• 应用层辐射VCN包含一个私有子网，用于托管Oracle E-Business Suite或PeopleSoft组件。

数据库层辐射VCN

• 数据库层辐射VCN包含一个私有子网，用于托管Oracle数据库。

负载均衡器

• OCI负载均衡服务提供了从单一入口点到后端多台服务器的自动流量分配。

灵活网络负载均衡器

• OCI灵活网络负载均衡器提供了从一个入口点到您VCN中多个后端服务器的自动流量分配。它在连接层面上运行，根据第3层或第4层（IP协议）数据将传入的客户端连接负载均衡到健康的后端服务器。

安全列表

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

路由表

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关。在北枢纽VCN中，您有以下路由表：

￮ 网络负载均衡器路由表连接到网络负载均衡器子网，指向通过DRG的本地子网CIDR块，并有一个默认路由连接到互联网网关。

￮ 前端路由表连接到前端子网，其有一个默认路由连接到互联网网关，用于将流量从北枢纽VCN路由到互联网或本地目标。

￮ 后端路由表连接到后端子网，指向通过DRG的辐射VCN的CIDR块。

• 在南枢纽VCN中，您有以下路由表：

￮ 前端路由表连接到前端子网，其有一个默认路由连接到互联网网关，用于将流量从南枢纽VCN路由到互联网或本地目标。

￮ 后端路由表连接到后端子网，指向通过动态路由网关的辐射VCN的CIDR块。

￮ 南枢纽VCN入口路由表连接到枢纽VCN附件，将来自辐射VCN的任何入站流量通过动态路由网关发送到CloudGuard网络安全网关主要后端接口的次要浮动IP地址。

￮ 对于通过动态路由网关连接到北枢纽的每个辐射，定义一个独特的路由表并连接到相关的子网。该路由表将关联辐射VCN的所有流量（0.0.0.0/0）通过动态路由网关路由到CloudGuard网络安全网关主要后端接口的次要浮动IP地址，或者您也可以在更细粒度级别定义。

￮ Oracle服务网关路由表连接到Oracle服务网关，用于Oracle服务网络通信。该路由将所有流量（0.0.0.0/0）路由到CloudGuard网络安全网关主要后端接口的次要浮动IP地址。

￮ 为了保持流量对称性，还在每个Check Point的CloudGuard网络安全网关中添加路由，将辐射流量的CIDR块指向后端（内部）子网的默认网关IP（南枢纽VCN的后端子网中可用的默认网关IP）和默认CIDR块（0.0.0.0/0）指向前端子网的默认网关IP。

• 在DRG上，您有以下路由表：

￮ 对于每个辐射VCN附件，您有一个关联的DRG路由表，以确保流量前往南枢纽VCN。添加一个路由规则以确保前往北枢纽VCN后端子网的目的流量沿着来时的路径。

￮ 对于南枢纽VCN附件，关联的DRG路由表确保连接到DRG的每个VCN的导入路由是该路由表的一部分。

互联网网关

• 互联网网关允许VCN中的公共子网与公共互联网之间的流量通信。

NAT网关

• NAT网关使VCN中的私有资源能够访问互联网上的主机，而不将这些资源暴露给互联网的入站连接。

动态路由网关（DRG）

• DRG是一种虚拟路由器，为VCN和地区外网络之间的私有网络流量提供路径，例如另一个OCI地区的VCN、本地网络或另一个云提供商的网络。

服务网关

• 服务网关提供从VCN到其他服务（如OCI对象存储）的访问。从VCN到Oracle服务的流量通过Oracle网络结构传输，从不穿越互联网。

FastConnect OCI

• FastConnect提供了一种在您的数据中心和OCI之间创建专用、私有连接的简便方法。与基于互联网的连接相比，FastConnect提供了更高的带宽选项和更可靠的网络体验。

虚拟网络接口卡（VNIC）

• OCI数据中心中的服务使用物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在部署期间自动创建并附加的主VNIC，并在实例的整个生命周期内可用。DHCP仅提供给主VNIC。您可以在实例部署后添加次要VNIC。为每个接口设置静态IP。

私有IP

• 用于定位实例的私有IPv4地址及相关信息。每个VNIC都有一个主私有IP，您可以添加和删除次级私有IP。实例上的主私有IP地址在实例部署期间附加，并且在实例的整个生命周期内不会改变。次级IP也属于VNIC子网的同一CIDR。次级IP被用作浮动IP，因为它可以在同一子网内的不同实例上的不同VNIC之间移动。您还可以将其用作托管不同服务的不同端点。

公共IP

• 网络服务定义了由Oracle选择的公共IPv4地址，映射到私有IP。公共IP有以下类型：短暂的：

￮ 此地址是临时的，仅存在于实例的生命周期内。

￮ 保留：此地址超出实例的生命周期。您可以取消分配并重新分配给另一个实例。

源和目的地检查

• 每个VNIC都对其网络流量执行源和目的地检查。禁用此标志允许Check Point CloudGuard网络安全网关处理不针对防火墙的网络流量。

建议

使用以下建议作为使用Check Point CloudGuard网络安全网关在OCI上保护Oracle E-Business Suite或PeopleSoft工作负载或应用程序工作负载的起点。您的需求可能与此处描述的架构不同。

VCN

• 创建VCN时，根据您计划连接到VCN子网的资源数量，确定所需的CIDR块数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。

• 选择不与任何其他网络重叠的CIDR块（在Oracle云基础设施、您的本地数据中心或其他云提供商），以便您打算建立私有连接。

• 创建VCN后，您可以更改、添加和删除其CIDR块。

• 设计子网时，考虑您的流量流向和安全需求。将特定层或角色内的所有资源连接到同一子网，这可以作为一个安全边界。

• 使用区域子网并利用整个VCN CIDR作为子网CIDR的一部分，以便检查来自辐射VCN的所有流量。

Check Point CloudGuard网络安全

• 在南枢纽部署高可用性集群。

• 在北枢纽部署可扩展集合。

• 尽可能在不同的故障域或不同的可用性域中部署。

• 确保所有VNIC上的MTU设置为9000。

• 使用SRIOV和VFIO接口（仅限AMD形状）。

• 在不同地区创建第二个枢纽-辐射拓扑，用于灾难恢复或地理冗余。

• 不要通过安全列表或网络安全网关（NSGs）限制流量，因为所有流量都由安全网关保护。

• 默认情况下，网关上的443和22端口是开放的，基于安全策略可能会开放更多端口。

Check Point安全管理

• 如果您正在OCI中创建部署，请为管理创建专用子网。

• 在不同的可用性域或地区部署二级管理服务器（管理高可用性）。

• 使用安全列表或NSGs限制来自互联网的端口443、22和19009的入站访问，用于管理安全策略以及查看日志和事件。

• 创建安全列表或NSG，允许安全管理服务器到安全网关的进出流量。

Check Point安全策略

• 请参考“更多探索”部分的应用程序文档，获取最新的端口和协议所需信息。

考虑因素

在使用Check Point CloudGuard网络安全网关在OCI上保护Oracle E-Business Suite或PeopleSoft工作负载时，请考虑以下因素：

性能

• 选择合适的实例大小，由计算形状决定，决定最大可用吞吐量、CPU、RAM和接口数量。

• 组织需要了解哪些类型的流量穿越环境，确定适当的风险水平，并根据需要应用适当的安全控制。启用不同组合的安全控制会影响性能。

• 考虑为FastConnect或VPN服务添加专用接口。考虑使用大型计算形状以获得更高的吞吐量和访问更多网络接口。

• 进行性能测试以验证设计能够维持所需的性能和吞吐量。

安全

• 在OCI中部署Check Point安全管理允许集中配置和监控所有物理和虚拟Check Point安全网关实例的安全策略。

• 对于现有的Check Point客户，也支持将安全管理迁移到OCI。

• 为每个集群部署定义不同的身份和访问管理（IAM）动态组或策略。

可用性

• 将架构部署到不同的地理区域以获得最大的冗余。

• 配置与相关组织网络的站点到站点VPN，以实现与本地网络的冗余连接。

成本

• Check Point CloudGuard提供携带自己许可证（BYOL）和按需付费（PAYG）许可证模型，适用于Oracle云市场中的安全管理和安全网关。

• Check Point CloudGuard网络安全网关的许可证基于vCPU数量（一个OCPU等同于两个vCPU）。

• Check Point的BYOL许可证可以在实例间转移。例如，如果您正在从使用BYOL许可证的其他公共云迁移工作负载，则无需从Check Point购买新许可证。如果您有疑问或需要验证许可证状态，请咨询您的Check Point代表。

• Check Point安全管理按管理的安全网关许可。例如，两个集群计为安全管理许可证的四个。

部署

<简要描述架构>的Terraform代码可在Oracle云市场中作为堆栈获取。您还可以从GitHub下载代码，并根据您的具体业务需求进行定制。

• 使用Oracle云市场中的堆栈部署：

￮ Check Point CloudGuard网络安全网关：携带自己许可证（BYOL）

￮ Check Point的OCI市场列表

a. 按照架构图所示设置所需的网络基础设施，您可以将其作为参考示例。有关详细说明，请参见设置中心枢纽和辐射网络拓扑。

b. 在您的环境中部署应用程序（Oracle E-Business Suite、PeopleSoft或所需应用程序）。

c. Oracle云市场有多个不同配置和许可要求的列表。例如，以下列表提供携带自己许可证（BYOL）。对于您选择的每个列表，点击“获取应用”并按照屏幕上的提示操作。

• 使用GitHub中的Terraform代码部署：

a. 访问GitHub。

b. 克隆或下载代码库到您的本地计算机。

c. 按照README文档中的说明操作。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门