OCI 使用Check Point CloudGuard网络安全保障云工作负载安全

将Oracle E-Business Suite或PeopleSoft中的应用工作负载迁移或扩展到云中时，使用Check Point CloudGuard网络安全（CGNS）增强原生安全选项，无需进行重大配置、集成或业务流程变更。

云中的安全基于共享责任模型。Oracle负责底层基础设施的安全，如数据中心设施、硬件和软件管理云操作和服务。客户负责保护他们的工作负载，并安全配置他们的服务和应用程序，以满足他们的合规义务。

Oracle云基础设施提供最佳的安全技术和操作流程，以保护其企业云服务。Check Point CloudGuard网络安全针对Oracle云基础设施，提供先进的多层次安全保护，保护应用程序免受攻击，同时实现从企业和混合云网络到云的安全连接。

它们共同保护跨本地数据中心和云环境的应用程序，提供可扩展的性能，并带来先进的安全编排和统一威胁防护。

安全控制包括以下内容：

• 访问控制（防火墙）

• 日志记录

• 应用控制

• 入侵防御（IPS）

• 高级威胁防御（反病毒/反机器人/SandBlast零日保护）

• 站点到站点的虚拟私人网络（VPN），用于与本地网络通信

• 远程访问VPN，用于与流动用户通信

• 网络地址转换，用于互联网绑定流量

架构设计

此参考架构展示了组织如何利用Check Point CloudGuard网络安全（CGNS）网关保护部署在Oracle云基础设施中的Oracle应用程序，如Oracle E-Business套件和PeopleSoft。

为了保护这些流量，Check Point推荐使用中心和辐射拓扑对网络进行分段，其中流量通过中心（Hub）路由，并连接到多个不同的网络（辐射）。无论是互联网的来往流量，还是本地网络的来往流量，或是Oracle服务网络的流量，都通过Hub路由并通过Check Point CloudGuard网络安全的多层威胁预防技术进行检查。

将应用程序的每个层次部署在其自己的虚拟云网络（VCN）中，这些VCN充当辐射。Hub VCN包含一个Check Point CGNS高可用性集群、Oracle互联网网关、动态路由网关（DRG）、Oracle服务网关和本地对等网关（LPGs）。

Hub VCN通过LPGs或通过将辅助虚拟网络接口卡（VNIC）附加到CGNS网关来连接到辐射VCNs。所有辐射流量使用路由表规则通过LPGs路由流量至Hub进行Check Point CGNS高可用性集群的检查。

使用以下方法之一来管理环境：

• 使用Check Point安全管理服务器或多域管理服务器，可以集中管理环境，部署在Hub VCN的自己的子网中，或作为一个预先存在的客户服务器，该服务器可访问Hub。

• 从Check Point的Smart-1 Cloud管理即服务中心集中管理环境。

以下图表展示了这一参考架构。

南北向入站流量

以下图表展示了南北向入站流量如何从互联网和远程数据中心访问Web应用层。

南北向出站流量

以下图表展示了Web应用层和数据库层如何通过出站连接向互联网提供软件更新和访问外部Web服务。确保在你的Check Point安全策略中为相关网络配置了隐藏NAT。

东西向流量（Web到数据库）

以下图表展示了流量如何从Web应用层移动到数据库层。

东西向流量（数据库到Web）

以下图表展示了流量如何从数据库层移动到Web应用层。

东西向流量（Web应用到Oracle服务网络）

以下图表展示了流量如何从Web应用层移动到Oracle服务网络。

东西向流量（Oracle服务网络到Web应用）

以下图表展示了流量如何从Oracle服务网络移动到Web应用层。

架构包含以下组件：

Check Point CloudGuard网络安全网关

• 为混合云提供高级威胁预防和云网络安全。

Check Point安全管理

• 安全管理服务器

• 多域管理

• Smart-1云管理即服务

Oracle E-Business套件或PeopleSoft应用层

• 由Oracle E-Business套件或PeopleSoft应用服务器和文件系统组成。

Oracle E-Business套件或PeopleSoft数据库层

• 由Oracle数据库组成，但不限于Oracle Exadata数据库云服务或Oracle数据库服务。

区域

• Oracle云基础设施区域是一个地理区域，包含一个或多个数据中心，称为可用性域。区域与其他区域独立，它们之间可以相隔很远（跨越国家甚至大洲）。

可用性域

• 可用性域是区域内独立的、自成一体的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，提供故障容忍。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内的其他可用性域。

故障域

• 故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个带有独立电源和硬件的故障域。当你将资源分布在多个故障域中时，你的应用可以容忍物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是你在Oracle云基础设施区域设置的可自定义的软件定义网络。就像传统的数据中心网络一样，VCN让你完全控制你的网络环境。VCN可以有多个不重叠的CIDR块，你可以在创建VCN后更改它们。你可以将VCN划分为子网，子网可以限定在一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。你可以在创建后更改子网的大小。子网可以是公共的或私有的。

Hub VCN

• Hub VCN是一个集中式网络，部署了Check Point CloudGuard NSGs，为所有辐射VCNs、Oracle云基础设施服务、公共端点和客户端以及本地数据中心网络提供安全连接。

应用层辐射VCN

• 应用层辐射VCN包含一个私有子网，用于托管Oracle E-Business套件或PeopleSoft组件。

数据库层辐射VCN

• 数据库层辐射VCN包含一个私有子网，用于托管Oracle数据库。

负载均衡器

• Oracle云基础设施负载均衡服务提供从单一入口点到后端多个服务器的自动化流量分配。

安全列表

• 对于每个子网，你可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

路由表

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关。

• 在Hub VCN中，你有以下路由表：

￮ 前端路由表附加到前端子网或默认VCN，用于将流量从Hub VCN路由到互联网或本地目标。

￮ 后端路由表附加到后端子网，通过关联的LPG指向辐射VCNs的CIDR块。

￮ 对于每个附加到hub的辐射，定义了一个独特的路由表并附加到一个关联的LPG。该路由表将所有流量（0.0.0.0/0）从关联的辐射LPG通过Check Point CGNS后端浮动IP转发。

￮ Oracle服务网关路由表附加到Oracle服务网关，用于Oracle服务网络通信。该路由将所有流量（0.0.0.0/0）转发到Check Point CGNS后端浮动IP。

￮ 为了保持流量对称，还在每个Check Point CGNS集群成员（Gaia OS）中添加了路由，指向辐射流量的CIDR块到后端（内部）子网的默认网关IP（Hub VCN后端子网中的第一个可用IP）。

互联网网关

• 互联网网关允许虚拟云网络（VCN）中的公共子网与公共互联网之间的流量通行。

NAT网关

• NAT网关使VCN中的私有资源能够访问互联网上的主机，而不将这些资源暴露给来自互联网的入站连接。

本地对等网关（LPG）

• LPG允许你将一个VCN与同一区域内的另一个VCN进行对等连接。对等连接意味着VCNs使用私有IP地址通信，无需流量穿越互联网或通过你的本地网络路由。

动态路由网关（DRG）

• DRG是一个虚拟路由器，为VCN与区域外的网络之间的私有网络流量提供路径，如另一个Oracle云基础设施区域的VCN、本地网络或其他云提供商的网络。

服务网关

• 服务网关从VCN提供对其他服务的访问，如Oracle云基础设施对象存储。从VCN到Oracle服务的流量通过Oracle网络基础设施传输，永远不会穿越互联网。

FastConnect

• Oracle云基础设施FastConnect提供了一种简单的方式，创建你的数据中心与Oracle云基础设施之间的专用、私有连接。FastConnect提供更高的带宽选项和与基于互联网连接相比更可靠的网络体验。

虚拟网络接口卡（VNIC）

• Oracle云基础设施数据中心的服务使用物理网络接口卡（NICs）。虚拟机实例使用与物理NICs关联的虚拟NICs（VNICs）进行通信。每个实例都有一个在启动时自动创建并附加的主VNIC，在实例的生命周期内可用。DHCP仅提供给主VNIC。你可以在实例启动后添加次级VNICs。你应为每个接口设置静态IP。

私有IP

• 用于寻址实例的私有IPv4地址及相关信息。每个VNIC都有一个主要的私有IP，你可以添加和移除次要的私有IP。实例上的主要私有IP地址在实例启动时附加，并且在实例的生命周期中不会改变。次要IP也应属于VNIC子网的同一CIDR。次要IP被用作浮动IP，因为它可以在同一子网内的不同实例上的不同VNIC之间移动。你还可以将其用作托管不同服务的不同端点。

公共IP

• 网络服务定义了由Oracle选择的映射到私有IP的公共IPv4地址。

￮ 临时的：此地址是临时的，存在于实例的生命周期内。

￮ 保留的：此地址超出实例的生命周期而持续存在。它可以取消分配并重新分配给另一个实例。

源和目的检查

• 每个VNIC都对其网络流量执行源和目的地检查。禁用此标志允许CGNS处理非针对防火墙的网络流量。

计算形状

• 计算实例的形状指定了分配给实例的CPU数量和内存量。计算形状还决定了计算实例可用的VNIC数量和最大带宽。

推荐配置

以下建议可作为使用Check Point CloudGuard网络安全在Oracle云基础设施中保护Oracle E-Business套件或PeopleSoft工作负载的起点。

VCN

• 创建VCN时，根据你计划连接到VCN子网中的资源数量，确定所需的CIDR块数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。

• 选择不与任何其他网络（在Oracle云基础设施、你的本地数据中心或计划设置私有连接的其他云提供商）重叠的CIDR块。

• 创建VCN后，你可以更改、添加和删除其CIDR块。

• 设计子网时，考虑你的流量流向和安全需求。将特定层或角色内的所有资源连接到同一子网，这可以作为安全边界。

• 使用区域子网。

• 验证每个VCN的LPG最大数量，在你的服务限制中，以防你想将此架构扩展到多个环境和应用程序。

Check Point CloudGuard网络安全

• 部署高可用性集群。

• 尽可能在不同的故障域或不同的可用性域中部署。

• 确保所有VNICs的MTU设置为9000。

• 利用SRIOV和VFIO接口。

• 在另一个区域创建第二个Hub-Spoke拓扑，用于灾难恢复或地理冗余。

• 不要通过安全列表或NSGs限制流量，因为所有流量都由安全网关保护。

• 默认情况下，网关上的端口443和22是开放的，基于安全策略，可能会开放更多端口。

Check Point安全管理

• 如果你正在Oracle云基础设施中创建新部署，为管理创建一个专用子网。

• 在不同的可用性域或区域部署次级管理服务器（管理高可用性）。

• 使用安全列表或NSGs限制来自互联网的端口443、22和19009的入站访问，以管理安全策略和查看日志和事件。

• 创建安全列表或NSG，允许从安全管理服务器到安全网关的入站和出站流量。

Check Point安全策略

• 参考“探索更多”部分的应用文档，获取最新的端口和协议所需信息。

考虑因素

使用Check Point CloudGuard网络安全在Oracle云基础设施上保护Oracle E-Business套件或PeopleSoft工作负载时，请考虑以下因素：

• 性能

￮ 选择合适的实例大小，这由计算形状决定，决定了最大可用吞吐量、CPU、RAM和接口数量。

￮ 组织需要知道哪些类型的流量穿越环境，确定适当的风险等级，并根据需要应用适当的安全控制。不同的安全控制组合影响性能。

￮ 考虑为FastConnect或VPN服务添加专用接口。

￮ 考虑使用大型计算形状以获得更高的吞吐量和更多的网络接口。

￮ 进行性能测试，以验证设计能够支持所需的性能和吞吐量。

• 安全

￮ 在Oracle云基础设施部署Check Point安全管理，允许集中配置安全策略并监控所有物理和虚拟Check Point安全网关实例。

￮ 对于现有的Check Point客户，也支持将安全管理迁移到Oracle云基础设施。

￮ 根据每个集群部署定义不同的身份与访问管理（IAM）动态组或策略。

• 可用性

￮ 将架构部署到不同的地理区域，以获得最大的冗余。

￮ 配置与相关组织网络的站点到站点VPN，以与本地网络冗余连接。

• 成本

￮ Check Point CloudGuard在Oracle云市场以携带自己的许可证（BYOL）和按使用付费许可证模型提供，适用于安全管理和安全网关。

￮ Check Point CloudGuard网络安全网关许可证基于vCPUs数量（一个OCPU相当于两个vCPUs）。

￮ Check Point BYOL许可证在实例之间是可移植的。例如，如果你从使用BYOL许可证的其他公共云迁移工作负载，你不需要从Check Point购买新许可证。如果你有问题或需要验证你的许可证状态，请咨询你的Check Point代表。

￮ Check Point安全管理按管理的安全网关许可。例如，两个集群计为四个安全管理许可。

部署

使用Check Point CloudGuard网络安全在Oracle云基础设施上保护Oracle E-Business套件或PeopleSoft工作负载时，请执行以下步骤：

1. 根据架构图示设置所需的网络基础设施。参见设置中心与辐射网络拓扑。

2. 在你的环境上部署应用程序（Oracle E-Business套件或PeopleSoft）。

3. Oracle云市场有许多不同配置和许可要求的堆栈。例如，下面的堆栈特色携带自己的许可证（BYOL）。对于你选择的每个堆栈，点击“获取应用”并按照屏幕提示操作：

￮ CloudGuard下一代防火墙，带威胁预防和SandBlast - BYOL

￮ CloudGuard安全管理 - BYOL

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门