Zero Trust Packet Routing

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) schützt sensible Daten vor unbefugtem Zugriff durch absichtsbasierte Sicherheits-Policys, die Sie für die OCI-Ressourcen schreiben, denen Sie Sicherheitsattribute zuweisen. Sicherheitsattribute sind Labels, mit denen ZPR OCI-Ressourcen identifiziert und organisiert.

ZPR erzwingt Richtlinien auf Netzwerkebene bei jeder Anforderung des Zugriffs, unabhängig von potenziellen Änderungen oder Fehlkonfigurationen der Netzwerkarchitektur.

ZPR basiert auf vorhandenen Regeln für Netzwerksicherheitsgruppen (NSG) und Sicherheitskontrolllisten (SCL). Damit ein Paket ein Ziel erreicht, muss es alle NSG- und SCL-Regeln sowie die ZPR-Richtlinie bestehen. Wenn eine NSG-, SCL- oder ZPR-Regel oder -Policy keinen Traffic zulässt, wird die Anforderung gelöscht.

ZPR verwalten

Sie können Netzwerke mit Zero Trust Packet Routing (ZPR) in drei Schritten sichern: Sie können Netzwerke mit Zero Trust Packet Routing (ZPR) in drei Schritten sichern:

  1. Sicherheitsattribut-Namespaces und Sicherheitsattribute erstellen und verwalten
  2. Erstellen Sie Policys mit Sicherheitsattributen, um den Zugriff auf Ressourcen zu kontrollieren.
  3. Sicherheitsattribute auf angegebene Ressourcen anwenden.

Hinweis:

Administratoren müssen Sicherheitsattribut-Namespaces und Sicherheitsattribute in einem Mandanten einrichten, bevor Benutzer Sicherheitsattribute auf die DB-Systeme anwenden können.

Ausführliche Informationen zur ZPR finden Sie unter Overview of Zero Trust Packet Routing.

ZPR-Policys verwalten

Eine ZPR-Policy ist eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden. Die ZPR-Policy kann nur im Root Compartment eines Mandanten erstellt werden.

Die folgenden Policys sind für Base Database Service erforderlich, um den Datenbankservice für alle Szenarios zu aktivieren, einschließlich Backup und Data Guard.

Tabelle - ZPR-Policy-Anwendungsfälle

Anwendungsfall Policy Hinweise:
Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard).

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

Mit dieser Policy kann eine Compute-VM eine Verbindung zu einem DB-System herstellen.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Mit dieser Policy kann das DB-System eine Verbindung zu OSN-Services herstellen.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

Diese Policy ist für die RAC-Unterstützung erforderlich.

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN herstellen.

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

Mit dieser Policy kann Data Guard-Primärdatenbank mit CIDR eine Verbindung zur Data Guard-Standbydatenbank herstellen, sowohl Egress- als auch Ingress-Traffic in jedem VCN.

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

Mit dieser Policy kann Data Guard Standby mit CIDR eine Verbindung zur Data Guard-Primärdatenbank herstellen.

Ausführliche Anweisungen zum Löschen, Aktualisieren und Anzeigen von ZPR-Policys finden Sie unter Routing-Policys für Zero Trust-Pakete verwalten.

Sicherheitsattribute verwalten

Sie können ein Sicherheitsattribut für ein DB-System hinzufügen, bearbeiten oder entfernen. Weitere Informationen finden Sie unter Sicherheitsattribute für das DB-System verwalten.