文章來源:Tigger Chang / 奧登資訊技術顧問
背景
組織計劃將其關鍵應用程序,如 Oracle E-Business Suite 和 PeopleSoft,擴展或遷移至 Oracle Cloud Infrastructure(OCI)。為確保應用程序的安全性並遵守合規要求,組織決定採用 Check Point CloudGuard Network Security(CGNS)作為其在 OCI 中實現的防火牆解決方案。
目標
提供多層次的安全保護,保護應用程序免受各種攻擊。
實現一致的安全策略管理、執行和報告。
促進組織將工作負載順利擴展或遷移至 OCI。
解決方案
Oracle Cloud Infrastructure的安全功能使您能夠在雲中運行重要任務的工作負載並存儲數據, OCI提供一流的安全技術和操作流程,以保護其企業雲服務。
Check Point是全球政府和企業提供卓越的網路安全解決方案的供應商。Check Point CloudGuard Network Security(CGNS)為OCI提供先進的、多層次的安全性,以保護應用程序免受攻擊,同時實現從企業和混合雲網路的安全連接。它提供一致的安全策略管理、執行和報告,使客戶能夠無痛地將其工作負載移動或擴展到OCI。
該參考架構提供了適當設計和分段OCI中企業計劃遷移或擴展的Oracle應用程序的最佳實踐和建議,並應用適當的安全控制。
安全控制包括以下功能:
存取控制(防火牆)
日誌記錄
應用程序控制
入侵防止(IPS)
高級威脅防止(防病毒/反病毒/沙箱)
用於與本地網路通信的站點到站點VPN
用於與漫遊用戶通信的遠程訪問VPN
用於互聯網流量的網路地址轉換
為了保護這些流量流向,Check Point建議使用中樞樞紐和輻射拓撲,將流量路由通過中央樞紐並連接到多個獨立的網路(輻射)。所有輻射之間的流量,從互聯網進出,從本地環境進出,或者到 OCI 服務網路的流量都通過中樞樞紐,並使用 Check Point CloudGuard Network Security 的多層次威脅防禦技術進行檢查。
在各自的虛擬雲網路(VCN)中部署應用程序的每一層,該VCN充當一個輻射。中樞VCN包含一個Check Point CGNS高可用性集群、Oracle Internet閘道、動態路由閘道(DRG)、OCI服務閘道和本地對等閘道(LPG)。
中樞VCN通過LPG或將次要虛擬網路接口卡(VNIC)附加到CGNS網關,與輻射VCN連接。所有輻射的流量都經由LPG使用路由表規則,路由到中央樞紐,由Check Point CGNS 提高可用性集群進行檢查。
1. OCI 環境準備
在 OCI 控制台中創建必要的虛擬雲網路(VCN),並確保連接到組織的本地網絡(如果適用)。設定安全列表和路由表以確保流量可以正確流向。
2. 部署 Check Point CloudGuard Network Security
透過 OCI 控制台或命令行界面,在 OCI 中部署 Check Point CloudGuard 防火牆。
配置防火牆實例的網路介面,確保與 VCN 和其他網路組件正確連接。
3. 安全政策配置
使用 Check Point Security Management Server 配置一致的安全政策。
定義存取控制列表(ACL)、應用程序控制、入侵防止(IPS)和其他必要的安全控制。
確保安全策略符合組織的合規性和安全最佳實踐。
4. 連接到本地網路
如果組織有本地數據中心,配置 Site to Site VPN,確保安全的通信連接。
配置遠程訪問 VPN,以允許漫遊用戶安全地訪問應用程序。
5. 日誌和監控
啟用 Check Point 防火牆的日誌記錄功能,將日誌數據存儲在 OCI 對象存儲或其他支持的儲存解決方案中。
設定監控警報,以及定期審查和分析日誌以檢測潛在的安全事件。
效益
提供了強大的多層次安全防禦,確保應用程序免受各種威脅。
實現了一致的安全管理,簡化了安全政策的配置和執行。
促進了組織在 OCI 中擴展或遷移應用程序的順利過渡,確保安全性和合規性。
Comments