Verwalten von Zero Trust Packet Routing-Richtlinien
Erstellen und verwalten Sie Zero Trust Packet Routing-(ZPR-)Richtlinien.
Eine ZPR-Policy ist eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden. Eine ZPR-Policy kann nur im Root Compartment eines Mandanten erstellt werden. Zum Erstellen einer ZPR-Richtlinie stehen Ihnen mehrere Optionen zur Verfügung:
- Mit dem einfachen Policy Builder können Sie aus vorab ausgefüllten Ressourcenlisten auswählen, die durch ihre Sicherheitsattribute identifiziert werden, um Sicherheitsabsichten zwischen zwei Endpunkten auszudrücken. Der Policy Builder generiert die Policy-Anweisung automatisch mit der korrekten Syntax.
- Mit dem Policy Template Builder können Sie aus einer Liste von Vorlagen auswählen, die auf allgemeinen Anwendungsfallszenarios basieren, die vorgefüllte ZPR-Policy-Anweisungen bereitstellen, die Sie dann anpassen können, um eine ZPR-Policy zu erstellen.
- Mit dem Manuellen Policy Builder können Sie eine Freiform-Policy eingeben.
Änderungen an den ZPR-Richtlinien in der Konsole können bis zu fünf Minuten dauern.
Policy-Vorlagengenerator
Die im Policy-Vorlagen-Builder enthaltenen Policy-Vorlagen enthalten die Beispielsyntax, die Sie für allgemeine Anwendungsfälle benötigen.
Die Policy im Policy-Vorlagen-Builder ist in die folgenden Abschnitte unterteilt:
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Ermöglichen Sie einer Compute-Instanz, sich auf allen Ports und Protokollen bei einer anderen Compute-Instanz anzumelden. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten herstellen |
Kein. |
| Verbindung der Compute-Instanz mit SSH zu einer anderen Compute-Instanz zulassen. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten mit protocol='tcp/22' herstellen |
Kein. |
| Compute kann eine Verbindung zum Datenbankservice herstellen. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen |
Kein. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Datenbankservice für SSH-Zugriff, Datenbankclientzugriff, Object Storage-Zugriff, Vault, Data Safe und anderen OCI-Servicezugriff, Real Application Clusters (RAC) und Data Guard aktivieren |
in in in |
Mit dieser Policy kann das VM-Cluster die Clientverbindung akzeptieren, eine Verbindung zu OSN-Services herstellen und eine Verbindung zwischen Data Guard-Primär- und Standby-VM-Cluster herstellen. Diese Policy setzt voraus, dass sich die Compute-Clients und Data Guard Primary im selben VCN befinden. Wenden Sie das Sicherheitsattribut des Datenbankservice auf die VM-Clusterressourcen für die Data Guard-Primär- und -Standbydatenbank an. |
| Data Guard - VCN- oder Regionsübergreifend | im VCN <security attribute of VCN> zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <Standby VCN CIDR> mit protocol='tcp/1521' herstellen |
Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen. |
| Data Guard - VCN- oder Regionsübergreifend | in <security attribute of Standby VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu 'osn-services-ip-addresses' herstellen |
Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen. |
| Data Guard - VCN- oder Regionsübergreifend |
in in |
Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN. |
| Data Guard - VCN- oder Regionsübergreifend |
in in |
Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). |
in in |
VM-Cluster Provisioning, Backup/Restore, KMS, Patching, DP-Ereignisse, Oracle RAC Wenden Sie das Sicherheitsattribut des Datenbankservice auf die Oracle Base Database Service-Ressourcen für die Data Guard-Primär- und -Standbydatenbank an. |
| RAC-Support |
in |
Kein. |
| Data Guard - VCN- oder Regionsübergreifend |
im VCN |
Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen. |
| Data Guard - VCN- oder Regionsübergreifend |
in |
Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen. |
| Data Guard - VCN- oder Regionsübergreifend |
in in |
Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN. |
| Data Guard - VCN- oder Regionsübergreifend |
in in |
Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Compute kann eine Verbindung zur autonomen KI-Datenbank herstellen. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen |
Kein. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen |
Kein. |