Verwalten von Zero Trust Packet Routing-Richtlinien

Erstellen und verwalten Sie Zero Trust Packet Routing-(ZPR-)Richtlinien.

Eine ZPR-Policy ist eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden. Eine ZPR-Policy kann nur im Root Compartment eines Mandanten erstellt werden. Zum Erstellen einer ZPR-Richtlinie stehen Ihnen mehrere Optionen zur Verfügung:

  • Mit dem einfachen Policy Builder können Sie aus vorab ausgefüllten Ressourcenlisten auswählen, die durch ihre Sicherheitsattribute identifiziert werden, um Sicherheitsabsichten zwischen zwei Endpunkten auszudrücken. Der Policy Builder generiert die Policy-Anweisung automatisch mit der korrekten Syntax.
  • Mit dem Policy Template Builder können Sie aus einer Liste von Vorlagen auswählen, die auf allgemeinen Anwendungsfallszenarios basieren, die vorgefüllte ZPR-Policy-Anweisungen bereitstellen, die Sie dann anpassen können, um eine ZPR-Policy zu erstellen.
  • Mit dem Manuellen Policy Builder können Sie eine Freiform-Policy eingeben.

Änderungen an den ZPR-Richtlinien in der Konsole können bis zu fünf Minuten dauern.

Policy-Vorlagengenerator

Die im Policy-Vorlagen-Builder enthaltenen Policy-Vorlagen enthalten die Beispielsyntax, die Sie für allgemeine Anwendungsfälle benötigen.

Die Policy im Policy-Vorlagen-Builder ist in die folgenden Abschnitte unterteilt:

Compute
Anwendungsfall Policy Hinweise
Ermöglichen Sie einer Compute-Instanz, sich auf allen Ports und Protokollen bei einer anderen Compute-Instanz anzumelden. in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten herstellen Kein.
Verbindung der Compute-Instanz mit SSH zu einer anderen Compute-Instanz zulassen. in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten mit protocol='tcp/22' herstellen Kein.
Compute kann eine Verbindung zum Datenbankservice herstellen. in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen Kein.
Oracle Exadata Database Service on Dedicated Infrastructure
Anwendungsfall Policy Hinweise
Datenbankservice für SSH-Zugriff, Datenbankclientzugriff, Object Storage-Zugriff, Vault, Data Safe und anderen OCI-Servicezugriff, Real Application Clusters (RAC) und Data Guard aktivieren

in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu 'osn-services-ip-addresses' herstellen

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten herstellen

Mit dieser Policy kann das VM-Cluster die Clientverbindung akzeptieren, eine Verbindung zu OSN-Services herstellen und eine Verbindung zwischen Data Guard-Primär- und Standby-VM-Cluster herstellen.

Diese Policy setzt voraus, dass sich die Compute-Clients und Data Guard Primary im selben VCN befinden.

Wenden Sie das Sicherheitsattribut des Datenbankservice auf die VM-Clusterressourcen für die Data Guard-Primär- und -Standbydatenbank an.

Data Guard - VCN- oder Regionsübergreifend im VCN <security attribute of VCN> zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <Standby VCN CIDR> mit protocol='tcp/1521' herstellen Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen.
Data Guard - VCN- oder Regionsübergreifend in <security attribute of Standby VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu 'osn-services-ip-addresses' herstellen Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen.
Data Guard - VCN- oder Regionsübergreifend

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <Standby VCN CIDR> herstellen

in <security attribute of Standby VCN>-VCN zulassen, dass <VCN CIDR> eine Verbindung zu <security attribute of database service>-Endpunkten herstellt

Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN.
Data Guard - VCN- oder Regionsübergreifend

in <security attribute of VCN>-VCN zulassen, dass <Standby VCN CIDR> eine Verbindung zu <security attribute of database service>-Endpunkten herstellt

in <security attribute of Standby VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <VCN CIDR> herstellen

Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen.
Oracle Base Database Service
Anwendungsfall Policy Hinweise
Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard).

in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu 'osn-services-ip-addresses' herstellen

VM-Cluster Provisioning, Backup/Restore, KMS, Patching, DP-Ereignisse, Oracle RAC

Wenden Sie das Sicherheitsattribut des Datenbankservice auf die Oracle Base Database Service-Ressourcen für die Data Guard-Primär- und -Standbydatenbank an.

RAC-Support

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten herstellen

Kein.
Data Guard - VCN- oder Regionsübergreifend

im VCN <security attribute of VCN> zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <Standby VCN CIDR> mit protocol='tcp/1521' herstellen

Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen.
Data Guard - VCN- oder Regionsübergreifend

in <security attribute of Standby VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu 'osn-services-ip-addresses' herstellen

Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen.
Data Guard - VCN- oder Regionsübergreifend

in <security attribute of VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <Standby VCN CIDR> herstellen

in <security attribute of Standby VCN>-VCN zulassen, dass <VCN CIDR> eine Verbindung zu <security attribute of database service>-Endpunkten herstellt

Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN.
Data Guard - VCN- oder Regionsübergreifend

in <security attribute of VCN>-VCN zulassen, dass <Standby VCN CIDR> eine Verbindung zu <security attribute of database service>-Endpunkten herstellt

in <security attribute of Standby VCN>-VCN zulassen, dass <security attribute of database service>-Endpunkte eine Verbindung zu <VCN CIDR> herstellen

Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen.
Autonomous Database
Anwendungsfall Policy Hinweise
Verbindung von Compute zu Autonomous Database zulassen. in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen Kein.
Autonome dedizierte Infrastruktur
Anwendungsfall Policy Hinweise
Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen Kein.