Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) schützt sensible Daten vor unbefugtem Zugriff durch absichtsbasierte Sicherheits-Policys, die Sie für die OCI-Ressourcen schreiben, denen Sie Sicherheitsattribute zuweisen. Sicherheitsattribute sind Labels, mit denen ZPR OCI-Ressourcen identifiziert und organisiert.
ZPR erzwingt Richtlinien auf Netzwerkebene bei jeder Anforderung des Zugriffs, unabhängig von potenziellen Änderungen oder Fehlkonfigurationen der Netzwerkarchitektur.
ZPR basiert auf vorhandenen Regeln für Netzwerksicherheitsgruppen (NSG) und Sicherheitskontrolllisten (SCL). Damit ein Paket ein Ziel erreicht, muss es alle NSG- und SCL-Regeln sowie die ZPR-Richtlinie bestehen. Wenn eine NSG-, SCL- oder ZPR-Regel oder -Policy keinen Traffic zulässt, wird die Anforderung gelöscht.
ZPR verwalten
Sie können Netzwerke mit Zero Trust Packet Routing (ZPR) in drei Schritten sichern: Sie können Netzwerke mit Zero Trust Packet Routing (ZPR) in drei Schritten sichern:
- Sicherheitsattribut-Namespaces und Sicherheitsattribute erstellen und verwalten
- Erstellen Sie Policys mit Sicherheitsattributen, um den Zugriff auf Ressourcen zu kontrollieren.
- Sicherheitsattribute auf angegebene Ressourcen anwenden.
Hinweis:
Administratoren müssen Sicherheitsattribut-Namespaces und Sicherheitsattribute in einem Mandanten einrichten, bevor Benutzer Sicherheitsattribute auf die DB-Systeme anwenden können.Ausführliche Informationen zur ZPR finden Sie unter Overview of Zero Trust Packet Routing.
ZPR-Policys verwalten
Eine ZPR-Policy ist eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden. Die ZPR-Policy kann nur im Root Compartment eines Mandanten erstellt werden.
Die folgenden Policys sind für Base Database Service erforderlich, um den Datenbankservice für alle Szenarios zu aktivieren, einschließlich Backup und Data Guard.
Tabelle - ZPR-Policy-Anwendungsfälle
Anwendungsfall | Policy | Hinweise: |
---|---|---|
Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). |
|
Mit dieser Policy kann eine Compute-VM eine Verbindung zu einem DB-System herstellen. |
|
Mit dieser Policy kann das DB-System eine Verbindung zu OSN-Services herstellen. | |
|
Diese Policy ist für die RAC-Unterstützung erforderlich. | |
|
Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen. | |
|
Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen. | |
|
Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN. | |
|
Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen. |
Ausführliche Anweisungen zum Löschen, Aktualisieren und Anzeigen von ZPR-Policys finden Sie unter Routing-Policys für Zero Trust-Pakete verwalten.
Sicherheitsattribute verwalten
Sie können ein Sicherheitsattribut für ein DB-System hinzufügen, bearbeiten oder entfernen. Weitere Informationen finden Sie unter Sicherheitsattribute für das DB-System verwalten.