ZPR (Zero Trust Packet Routing)

Le routage ZPR (Zero Trust Packet Routing) d'Oracle Cloud Infrastructure protège les données sensibles contre les accès non autorisés au moyen de politiques de sécurité basées sur des intentions que vous écrivez pour les ressources OCI auxquelles vous affectez des attributs de sécurité. Les attributs de sécurité sont des étiquettes que ZPR utilise pour identifier et organiser les ressources OCI.

ZPR applique la stratégie au niveau du réseau chaque fois que l'accès est demandé, indépendamment des modifications potentielles de l'architecture du réseau ou des erreurs de configuration.

ZPR s'appuie sur des règles de groupe de sécurité de réseau (NSG) et de liste de contrôle de sécurité (SCL) existantes. Pour qu'un paquet atteigne une cible, il doit passer toutes les règles NSG et SCL, ainsi que la politique ZPR. Si une règle ou une politique NSG, SCL ou ZPR n'autorise pas le trafic, la demande est abandonnée.

Gérer ZPR

Vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes : Vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes :

  1. Créer et gérer les espaces de noms et les attributs de sécurité des attributs de sécurité.
  2. Écrivez des politiques à l'aide d'attributs de sécurité pour contrôler l'accès aux ressources.
  3. Appliquer les attributs de sécurité aux ressources spécifiées.

Note :

Les administrateurs doivent configurer des espaces de noms d'attribut de sécurité et des attributs de sécurité dans une location pour que les utilisateurs puissent appliquer des attributs de sécurité aux systèmes de base de données.

Pour des informations détaillées sur ZPR, voir Aperçu du routage des paquets en confiance zéro.

Gérer les politiques ZPR

Une stratégie ZPR est une règle qui régit la communication entre des points d'extrémité spécifiques identifiés par leurs attributs de sécurité. La politique ZPR ne peut être créée que dans le compartiment racine d'une location.

Les politiques suivantes sont requises pour que le service de base de données de base active le service de base de données pour tous les scénarios, y compris la sauvegarde et Data Guard.

Tableau - Cas d'utilisation de politique ZPR

Cas d'utilisation Politique Notes
Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard).

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

Cette politique permet à une machine virtuelle de calcul de se connecter à un système de base de données.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Cette politique permet au système de base de données de se connecter aux services OSN.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

Cette stratégie est requise pour la prise en charge de RAC.

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

Cette politique permet aux clients de calcul de se connecter au VCN de secours Data Guard.

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Cette politique permet à la base de données de secours Data Guard de se connecter aux services OSN.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

Cette politique permet à Data Guard Primary de se connecter à la base de données de secours Data Guard à l'aide du bloc CIDR, à la fois sortant et entrant dans chaque VCN.

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

Cette politique permet à la base de données de secours Data Guard de se connecter à la base de données principale Data Guard à l'aide du bloc CIDR.

Pour des instructions détaillées sur la suppression, la mise à jour et la consultation des politiques ZPR, voir Gestion des politiques d'acheminement de paquets sans confiance.

Gérer les attributs de sécurité

Vous pouvez ajouter, modifier ou supprimer un attribut de sécurité pour un système de base de données. Pour plus d'informations, voir Gérer les attributs de sécurité du système de base de données.