Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Oracle Cloud Infrastructure Zero Trust Packet Routing erstellen und konfigurieren

Einführung

Das Zero Trust Packet Routing von Oracle Cloud Infrastructure (OCI) verhindert unbefugten Zugriff auf Daten, indem Netzwerksicherheits-Policys getrennt von der zugrunde liegenden Netzwerkarchitektur verwaltet werden. Mit einer leicht verständlichen und absichtsbasierten Policy-Sprache können Sicherheitsadministratoren bestimmte Zugriffspfade für Daten definieren. Traffic, der von der Policy nicht explizit zugelassen wird, kann nicht über das Netzwerk geleitet werden, wodurch die Sicherheit verbessert und gleichzeitig die Arbeit von Sicherheits-, Netzwerk- und Auditteams vereinfacht wird.

Das folgende Tutorial enthält Details zur Konfiguration von OCI Zero Trust Packet Routing, um Sicherheitskontrollen anzuwenden und die Kommunikation über das Netzwerk innerhalb eines Oracle Cloud Infrastructure-(OCI-)Mandanten zu steuern. Für dieses Tutorial wurde die folgende Architektur bereitgestellt.

In dieser Architektur wurden die folgenden Ressourcen konfiguriert:

• financeprod ist eine Instanz von Oracle Autonomous Database, die als Produktionsdatenbank konfiguriert ist und in einem privaten Netzwerk gehostet wird und über einen privaten Endpunkt innerhalb des privaten Subnetzes zugänglich gemacht wird.

• client-prod ist eine Compute-Instanz, die eine Unternehmensanwendung in der Produktionsumgebung simuliert. In diesem Szenario handelt es sich um eine Oracle Linux-Instanz, auf der Oracle Instant Client ausgeführt wird.

• client-dev ist eine Compute-Instanz, die eine Unternehmensanwendung in der Entwicklungsumgebung simuliert. Wie bei client-prod handelt es sich hier um eine Oracle Linux-Instanz, auf der Oracle Instant Client ausgeführt wird.

Darüber hinaus wurde für diesen Anwendungsfall ein separates VCN (so-vcn-pt) konfiguriert, das Folgendes umfasst:

• subnet-public ist das öffentliche Subnetz mit den Compute-Instanzen.

• subnet-private ist das private Subnetz mit der Datenbank.

• sl-allow-public ist eine Sicherheitsliste, die SSH-Zugriff über das Internet ermöglicht. Eine Egress-Regel wurde auch so konfiguriert, dass ausgehender Traffic zulässig ist. Er ist subnet-public zugewiesen.

• sl-allow-private ist eine Sicherheitsliste, die Oracle Instant Client-Traffic (Port 1522) von subnet-public ermöglicht. Eine Egress-Regel wurde auch so konfiguriert, dass ausgehender Traffic zulässig ist. Diese Sicherheitsliste ist subnet-private zugewiesen.

• route-public ist die Routentabelle, mit der der gesamte Traffic an das Internetgateway weitergeleitet wird. Dies wird subnet-public zugewiesen.

• route-private ist die Routentabelle, mit der der gesamte Traffic an das NAT-Gateway weitergeleitet wird. Dies wird subnet-private zugewiesen.

• gw-internet ist das Internetgateway, das in route-public verwendet wird.

• gw-nat ist das NAT-Gateway, das in route-private verwendet wird.

Ziele

• Konfigurieren Sie neue Sicherheitsattribute für OCI Zero Trust Packet Routing.

• Erstellen Sie OCI Zero Trust Packet Routing-Policys, um den Netzwerkverkehr zu steuern.

• Weisen Sie Ressourcen OCI Zero Trust Packet Routing-Sicherheitsattribute zu.

• Testen Sie die OCI Zero Trust Packet Routing-Policys.

Voraussetzungen

• Ein kostenpflichtiges Abonnement für den OCI-Mandanten mit den entsprechenden Berechtigungen zum Verwalten von OCI Zero Trust Packet Routing-Ressourcen.

• Die in der Architektur definierte Netzwerkstruktur.

• Zwei Compute-Instanzen gemäß der Architektur, die im öffentlichen Subnetz bereitgestellt werden.

• Installieren und konfigurieren Sie Oracle Instant Client (einschließlich SQL*Plus-Client) auf beiden Compute-Instanzen.

  Hinweis: Laden Sie Oracle Instant Client hier herunter, und installieren Sie es: Oracle Instant Client mit RPMs installieren.

• Erstellen Sie eine Oracle Autonomous Database-Instanz gemäß der Architektur, und stellen Sie sie mit einem privaten Endpunkt im privaten Subnetz bereit.

• Konfigurieren Sie den Zugriff auf die Datenbank von Oracle Instant Client auf beiden Compute-Instanzen.

Aufgabe 1: Zugriff auf die Datenbank von Clients bestätigen

In dieser Aufgabe bestätigen wir, dass beide Compute-Instanzen über Oracle Instant Client auf die Datenbank zugreifen können.

1. Stellen Sie mit SSH als Benutzer opc eine Verbindung zur Compute-Instanz des Client-Products her.

2. Führen Sie den Befehl sqlplus aus, um eine Verbindung zur autonomen Datenbank herzustellen.

   Gemäß den Voraussetzungen muss der Oracle Instant-Client installiert und konfiguriert werden. Im Folgenden finden Sie eine Übersicht über die Einrichtungsschritte:

   • Laden Sie Oracle Instant Client herunter, und installieren Sie es.

   • Konfigurieren Sie Oracle Instant Client.

   • Laden Sie das Connection Wallet für Ihre autonome Datenbank von OCI herunter.

   • Extrahieren Sie das Wallet in einen Ordner.

   • Konfigurieren Sie die Datei sqlnet.ora in Ihrem Wallet-Ordner so, dass sie auf Ihren Wallet-Speicherort verweist.

   • Exportieren Sie die Variable TNS_ADMIN, um auf den extrahierten Wallet-Speicherort zu verweisen. Beispiel: export TNS_ADMIN=/opt/wallet.

   • Führen Sie den Befehl sqlplus aus. Beispiel: sqlplus admin@financeprod_low, und geben Sie bei entsprechender Aufforderung Ihr Kennwort ein.

   Wenn Oracle Instant Client ordnungsgemäß funktioniert und alle Voraussetzungen erfüllt sind, sollten Sie sich erfolgreich bei Ihrer Datenbank anmelden und Befehle ausführen können. Führen Sie den Befehl show user; aus, um die Benutzer anzuzeigen.

   

3. Wiederholen Sie den Datenbankverbindungstest von client-dev.

   

   Wenn Oracle Instant Client ordnungsgemäß funktioniert und alle Voraussetzungen erfüllt sind, sollten Sie sich erfolgreich bei Ihrer Datenbank anmelden und Befehle ausführen können. Führen Sie den Befehl show user; aus, um die Benutzer anzuzeigen.

Aufgabe 2: OCI Zero Trust Packet Routing aktivieren

Wenn Sie OCI Zero Trust Packet Routing zum ersten Mal in Ihrem Mandanten verwendet haben, muss es aktiviert werden.

1. Melden Sie sich bei der OCI-Konsole als Benutzer mit geeigneten Berechtigungen zur Verwaltung von OCI Zero Trust Packet Routing-Ressourcen und den anderen in diesem Tutorial verwendeten Ressourcen an.

2. Gehen Sie zu Identität und Sicherheit, und klicken Sie auf Zero Trust Packet Routing.

3. Klicken Sie auf ZPR aktivieren, die Schaltfläche wird ausgegraut, und die Menüs "OCI Zero Trust Packet Routing" sind verfügbar.

   

Aufgabe 3: OCI Zero Trust Packet Routing-Sicherheitsattribute konfigurieren

Um OCI Zero Trust Packet Routing zu konfigurieren, müssen wir die Sicherheitsattribute einrichten, die in Ihren OCI Zero Trust Packet Routing-Policys verwendet werden.

In dieser Aufgabe erstellen wir drei neue Sicherheitsattribute, die das Netzwerk, die Datenbanken und die Anwendungen darstellen. Für diese Sicherheitsattribute werden vordefinierte Werte erstellt.

1. Gehen Sie zu Zero Trust Packet Routing, und klicken Sie auf Sicherheitsattribut-Namespace.

2. Wählen Sie unter Listenbereich das Compartment root aus. Der vordefinierte oracle-zpr-Namespace wird angezeigt.

   

3. Klicken Sie auf oracle-zpr. Das vordefinierte Sicherheitsattribut sensitivity wird angezeigt. Das Attribut wird in diesem Tutorial nicht verwendet.

4. Wählen Sie Sicherheitsattribut erstellen, um ein neues Sicherheitsattribut zu erstellen.

5. Geben Sie unter Sicherheitsattribut erstellen die folgenden Informationen ein.

   • Name: Geben Sie app ein.
   • Beschreibung: Geben Sie Security attribute representing applications ein.
   • Werttyp des Sicherheitsattributs: Wählen Sie Werteliste aus.
   • Werte: Geben Sie prod und dev (in separaten Zeilen) ein.

   

6. Klicken Sie auf Erstellen, um das neue Attribut zu erstellen.

7. Wiederholen Sie den 5. und 6. Schritt, um zwei weitere Sicherheitsattribute zu erstellen.

   • Erstellen Sie ein Sicherheitsattribut für Datenbanken mit den folgenden Informationen:

     • Name: Geben Sie db ein.
     • Beschreibung: Geben Sie Security attribute representing databases ein.
     • Werttyp des Sicherheitsattributs: Wählen Sie Werteliste aus.
     • Werte: Geben Sie prod und dev (in separaten Zeilen) ein.

   • Erstellen Sie ein Sicherheitsattribut für Netzwerke mit den folgenden Informationen:

     • Name: Geben Sie network ein.
     • Beschreibung: Geben Sie Security attribute representing networks ein.
     • Werttyp des Sicherheitsattributs: Wählen Sie Werteliste aus.
     • Werte: Geben Sie prod und dev (in separaten Zeilen) ein.

   Sobald der Vorgang abgeschlossen ist, wird die Liste der Sicherheitsattribute angezeigt, einschließlich des vordefinierten Attributs sensitivity.

   

Aufgabe 4: Routing-Policys für OCI Zero Trust-Pakete erstellen

Wir haben die Sicherheitsattribute definiert. Jetzt müssen wir die Policys erstellen, um den Informationsfluss über das Netzwerk zu steuern.

Für diesen Anwendungsfall benötigen wir eine Policy, mit der die Produktionsanwendung mit der Produktionsdatenbank kommunizieren kann. In dieser Aufgabe konfigurieren wir die OCI Zero Trust Packet Routing-Policy, um dies zu erreichen.

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Identität und Sicherheit, Zero Trust Packet Routing, und klicken Sie auf Policys.

2. Klicken Sie auf Policy erstellen, um eine neue OCI Zero Trust Packet Routing-Policy zu erstellen.

3. Geben Sie die folgenden Informationen ein, und klicken Sie auf Policy-Anweisungen hinzufügen, um Ihrer Policy eine Policy-Anweisung hinzuzufügen.

   • Name: Geben Sie prod_policy ein.
   • Beschreibung: Geben Sie Policy to allow production clients in the production network to access production databases ein.

4. Untersuchen Sie die drei Optionen zum Erstellen von Policy-Anweisungen, wählen Sie Manueller Policy Builder aus, geben Sie die folgende Policy-Anweisung ein, und klicken Sie auf Hinzufügen, um die Policy-Anweisung zu speichern.

   • Policy-Anweisungen: Geben Sie in network:prod VCN allow app:prod endpoints to connect to db:prod endpoints with protocol = 'tcp/1522' ein.

   Hinweis: Die Policy-Anweisung ist leicht verständlich, auch ohne Erklärung. However, for clarity, you are telling OCI Zero Trust Packet Routing that you want any resources that have the security attribute app:prod assigned to them, to be able to talk to any resources that have the db:prod security attribute assigned to them, within the network:prod VCN over TCP protocol 1522.

   

   Die abgeschlossene Policy sollte wie folgt aussehen:

   

5. Klicken Sie auf Policy erstellen, um die Erstellung von prod_policy abzuschließen.

   Hinweis: Nachdem Sie Ihren Ressourcen Sicherheitsattribute zugewiesen haben, wird die OCI Zero Trust Packet Routing-Policy erzwungen, und nur Traffic, der mit einer OCI Zero Trust Packet Routing-Policy übereinstimmt, kann das Netzwerk übertragen. Da Sie Ihren beiden Compute-Instanzen Sicherheitsattribute zuweisen, verlieren Sie den SSH-Zugriff auf diese Compute-Instanzen, da keine OCI Zero Trust Packet Routing-Policy vorhanden ist, die SSH-Zugriff auf Ihre Clients zulässt. Daher müssen Sie dies beheben, indem Sie zwei zusätzliche Policys erstellen.

6. Wiederholen Sie die Schritte 2 bis 5, um zwei zusätzliche OCI Zero Trust Packet Routing-Policys zu erstellen, damit Sie über SSH eine Verbindung zu Ihren Compute-Instanzen herstellen können.

   • Policy zum Zulassen von SSH-Zugriff auf client-prod:

     • Name: Geben Sie prod_client_access_policy ein.
     • Beschreibung: Geben Sie Policy to allow SSH access to the production clients in the production network ein.
     • Policy-Anweisungen: Geben Sie in network:prod VCN allow 'x.x.x.x/32' to connect to app:prod endpoints with protocol='tcp/22' ein.

   • Policy zum Zulassen von SSH-Zugriff auf client-dev:

     • Name: Geben Sie dev_client_access_policy ein.
     • Beschreibung: Geben Sie Policy to allow dev clients in the production network to access production databases ein.
     • Policy-Anweisungen: Geben Sie in network:prod VCN allow 'x.x.x.x/32' to connect to app:dev endpoints with protocol='tcp/22' ein.

     Hinweis:

     • Ersetzen Sie x.x.x.x durch Ihre IP-Adresse.

     • In einem Produktionsszenario erfolgt der Zugriff auf die Clients in der Regel über einen OCI Bastion-Host. Um dieses Tutorial jedoch einfach zu halten, ist der Zugriff direkt. Daher muss die externe IP-Adresse des Quellrechners einbezogen werden, der über SSH eine Verbindung zu den Clients herstellt.

   Die abgeschlossenen Policys sollten aussehen:

   

Aufgabe 5: Ihren Ressourcen Sicherheitsattribute zuweisen

In dieser Aufgabe weisen wir zur Konfiguration von OCI Zero Trust Packet Routing die Sicherheitsattribute den erforderlichen Ressourcen zu.

Wir verknüpfen ein db-Sicherheitsattribut mit Ihrer Datenbank, ein app-Sicherheitsattribut mit Ihren beiden Clients und ein network-Sicherheitsattribut mit Ihrem VCN.

Hinweis: Beim Zuweisen von Sicherheitsattributen kann dies entweder über die OCI Zero Trust Packet Routing-Bildschirme oder über die einzelnen Ressourcen erfolgen. Dieses Tutorial zeigt Ihnen beide Methoden.

1. Weisen Sie das Sicherheitsattribut der Datenbank zu.

   1. Navigieren Sie zur OCI-Konsole zu Oracle Database und Autonomous Database.

      Hinweis: Stellen Sie sicher, dass Sie sich im Compartment befinden, in dem Sie die Datenbank erstellt haben. Die Liste sollte angezeigt werden.

      

   2. Wählen Sie Ihre Datenbank (z.B. Finance-PROD) aus der Liste mit verfügbaren Datenbanken.

   3. Klicken Sie auf Sicherheitsattribute. Sie sehen, dass es derzeit leer ist und kein Sicherheitsattribut zugewiesen ist.

      

   4. Klicken Sie auf Sicherheitsattribute hinzufügen, und geben Sie die folgenden Informationen ein.

      • Namespace: Wählen Sie oracle-zpr aus.
      • Schlüssel: Wählen Sie db aus.
      • Wert: Wählen Sie prod aus.

      

   5. Klicken Sie auf Sicherheitsattribute hinzufügen, um das Sicherheitsattribut der Datenbank zuzuweisen. Die Datenbank wird aktualisiert, und das Attribut wird zugewiesen.

      

2. Weisen Sie die Sicherheitsattribute den Compute-Instanzen zu.

   1. Gehen Sie zur OCI-Konsole, und navigieren Sie zu Compute und Instanzen.

      Hinweis: Stellen Sie sicher, dass Sie sich im Compartment befinden, in dem Sie die Compute-Instanzen erstellt haben. Beide Instanzen werden aufgeführt.

      

   2. Wählen Sie Ihre Client-Produktionsinstanz in der Liste der verfügbaren Instanzen aus.

   3. Klicken Sie auf Sicherheit. Dieses Feld ist leer, da der Instanz noch kein Sicherheitsattribut zugewiesen wurde.

      

   4. Klicken Sie auf Sicherheitsattribute hinzufügen, und geben Sie die folgenden Informationen ein.

      • Namespace: Geben Sie oracle-zpr ein.
      • Schlüssel: Geben Sie app ein.
      • Wert: Geben Sie prod ein.

      

   5. Klicken Sie auf Sicherheitsattribute hinzufügen, um das Sicherheitsattribut der Datenbank zuzuweisen. Die Compute-Instanz wird aktualisiert, und das Attribut wird zugewiesen.

      

   6. Gehen Sie zur OCI-Konsole, und navigieren Sie zu Compute und Instanzen.

      

   7. Wählen Sie in der Liste der verfügbaren Instanzen Ihre Client-Gerät-Instanz aus.

   8. Klicken Sie auf Sicherheit.

      

   9. Klicken Sie auf Sicherheitsattribute hinzufügen, und geben Sie die folgenden Informationen ein.

      • Namespace: Wählen Sie oracle-zpr aus.
      • Schlüssel: Wählen Sie app aus.
      • Wert: Wählen Sie dev aus.

      

   10. Klicken Sie auf Sicherheitsattribute hinzufügen, um das Sicherheitsattribut der Datenbank zuzuweisen. Die Compute-Instanz wird aktualisiert, und das Attribut wird zugewiesen.

       

3. Weisen Sie die Sicherheitsattribute dem VCN zu.

   1. Gehen Sie zur OCI-Konsole, und navigieren Sie zu Networking und Virtuelle Cloud-Netzwerke.

      Hinweis: Stellen Sie sicher, dass Sie sich im Compartment befinden, in dem Sie das VCN erstellt haben. Die Liste sollte angezeigt werden.

      

   2. Wählen Sie das so-vcn-pt-VCN aus der Liste der verfügbaren VCNs aus.

   3. Klicken Sie auf Sicherheit.

      

      Hinweis: Um dieses Sicherheitsattribut zuzuweisen, weisen Sie es über das Menü "OCI Zero Trust Packet Routing" und nicht über die Ressource zu. Dies zeigt Ihnen die beiden verschiedenen Möglichkeiten, OCI Zero Trust Packet Routing-Sicherheitsattribute zuzuweisen.

   4. Gehen Sie zur OCI-Konsole, navigieren Sie zu Identität und Sicherheit, Zero Trust Packet Routing, und klicken Sie auf Geschützte Ressourcen.

      Sie sehen die vorhandene Liste der geschützten Ressourcen, denen beispielsweise Sicherheitsattribute zugewiesen wurden.

      

   5. Klicken Sie auf Sicherheitsattribut zu Ressourcen hinzufügen.

   6. Um die Liste zu filtern, wählen Sie das Compartment, in dem Sie das VCN erstellt haben, und den Ressourcentyp als Vcn aus.

      

   7. Wählen Sie Ihr VCN (so-vcn-pt) aus, und klicken Sie auf Weiter.

   8. Geben Sie folgende Informationen ein.

      • Namespace für Sicherheitsattribute: Wählen Sie oracle-zpr aus.
      • Sicherheitsattribut: Wählen Sie network aus.
      • Sicherheitsattributwert: Wählen Sie prod aus.

      

   9. Klicken Sie auf Weiter, und prüfen Sie die Übersicht.

      

   10. Klicken Sie auf Weiterleiten und Schließen, um die Arbeitsanforderung zu beenden. Nach einigen Minuten wird die Arbeitsanforderung abgeschlossen, und das VCN wird in den geschützten Ressourcen angezeigt. Sie können auch das VCN einchecken, um sicherzustellen, dass das Sicherheitsattribut zugewiesen wurde.

   11. Wiederholen Sie den 1. bis 3. Schritt, um das Ihrem VCN zugewiesene Sicherheitsattribut anzuzeigen.

       

Aufgabe 6: Policy testen

Jetzt ist die Konfiguration von OCI Zero Trust Packet Routing abgeschlossen. Die letzte Aufgabe besteht darin, die Policy zu testen. In diesem Tutorial haben wir zwei Testfälle.

1. Der erste Testfall besteht darin, sicherzustellen, dass client-prod weiterhin auf die financeprod-Datenbank zugreifen kann.

   1. Stellen Sie mit SSH als Benutzer opc eine Verbindung zur Compute-Instanz des Client-Products her.

      Ihre OCI Zero Trust Packet Routing-Policy lässt diese Verbindung von Ihrem lokalen Rechner zu. Daher sollte Ihre SSH-Verbindung erfolgreich sein.

   2. Führen Sie den Befehl sqlplus aus, um eine Verbindung zur autonomen Datenbank herzustellen.

      Ihre OCI Zero Trust Packet Routing-Policy lässt diese Verbindung vom Produktionsclient (client-prod) zur Produktionsdatenbank (financeprod) zu. Daher sollten Sie sich erfolgreich bei der Datenbank anmelden und den Befehl show user; ausführen können.

      

2. Der zweite Testfall besteht darin, sicherzustellen, dass client-dev nicht mehr auf die financeprod-Datenbank zugreifen kann.

   1. Stellen Sie mit SSH als Benutzer opc eine Verbindung zur Clientdev-Compute-Instanz her.

      Ihre Zero Trust Packet Routing Policy lässt diese Verbindung von Ihrem lokalen Rechner zu. Daher sollte Ihre SSH-Verbindung erfolgreich sein.

   2. Führen Sie den Befehl sqlplus aus, um eine Verbindung zur autonomen Datenbank herzustellen.

      Da es keine OCI Zero Trust Packet Routing-Policy gibt, die diese Verbindung vom Entwicklungsclient (client-dev) zur Produktionsdatenbank (financeprod) zulässt, wird die Verbindung blockiert.

      

Verwandte Links

• OCI Zero Trust-Paketweiterleitung

• Überblick über OCI Zero Trust Packet Routing

• Erste Grundsätze: Robuster Schutz vor Datenschutzverletzungen mit Zero Trust Packet Routing (und Schritt-für-Schritt-Anleitung für Anwendungsfälle)

Danksagungen

• Autoren - Paul Toal (Feld CISO, Senior Director)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Create and Configure Oracle Cloud Infrastructure Zero Trust Packet Routing

G17494-01

October 2024

Copyright ©2024,

Oracle und/oder verbundene Unternehmen.