Gestion des politiques de routage Zero Trust Pack
Créer et gérer des politiques ZPR (Zero Trust Packet Routing).
Une stratégie ZPR est une règle qui régit la communication entre des points d'extrémité spécifiques identifiés par leurs attributs de sécurité. Une politique ZPR ne peut être créée que dans le compartiment racine d'une location. Pour créer une stratégie ZPR, vous disposez de plusieurs options :
- Le générateur de politiques simple vous permet de sélectionner parmi les listes préalimentées de ressources identifiées par leurs attributs de sécurité pour exprimer l'intention de sécurité entre deux points d'extrémité. Le générateur de politiques génère automatiquement l'énoncé de politique à l'aide d'une syntaxe correcte.
- Le générateur de modèles de politique vous permet de sélectionner dans une liste de modèles basés sur des scénarios de cas d'utilisation courants qui fournissent des énoncés de politique ZPR préremplis que vous pouvez ensuite personnaliser pour créer une politique ZPR.
- Le générateur de politiques manuel vous permet d'entrer une politique à structure libre.
L'application des modifications apportées aux politiques ZPR dans la console peut prendre jusqu'à cinq minutes.
Générateur de modèles de politique
Les modèles de politique inclus dans le générateur de modèles de politique vous fournissent l'exemple de syntaxe dont vous pourriez avoir besoin pour les cas d'utilisation courants.
La politique du générateur de modèles de politique est organisée dans les sections suivantes :
| Cas d'utilisation | Politique | Notes |
|---|---|---|
| Autoriser une instance de calcul à se connecter sur tous les ports et protocoles à une autre instance de calcul du même VCN. | dans le VCN <security attribute of VCN> autoriser les points d'extrémité <security attribute of source-compute> à se connecter aux points d'extrémité <security attribute of target-compute> |
Aucun. |
| Autoriser une instance de calcul à se connecter au moyen de SSH à une autre instance de calcul du même VCN. | dans le VCN <security attribute of VCN> permettent aux points d'extrémité <security attribute of source-compute> de se connecter aux points d'extrémité <security attribute of target-compute> avec protocol='tcp/22'
|
Aucun. |
| Autoriser une instance de calcul à se connecter à un service de base de données dans le même VCN. | dans le VCN <security attribute of VCN> permettent aux points d'extrémité <security attribute of source-compute> de se connecter aux points d'extrémité <security attribute of database service> avec protocol='tcp/1521'
|
Aucun. |
| Autoriser une instance de calcul à se connecter à une autre instance de calcul sur des réseaux en nuage virtuels de la même région. | Autoriser les points d'extrémité <security attribute of source-compute> du VCN <security attribute of source VCN> à se connecter aux points d'extrémité <security attribute of target-compute> du VCN <security attribute of target VCN> |
Pour différentes régions ou réseaux en nuage virtuels n'utilisant pas d'attributs de sécurité ZPR, utilisez la politique suivante : dans le VCN |
| Cas d'utilisation | Politique | Notes |
|---|---|---|
| Activer le service de base de données pour l'accès SSH, l'accès client à la base de données, l'accès au stockage d'objets, la chambre forte, le service de sécurité des données et les autres accès au service OCI, l'accès RAC (Real Application Clusters) et Data Guard |
dans le VCN dans le VCN dans le VCN |
Cette politique permet aux instances de calcul de se connecter au service de base de données sur le port TCP 1521 pour l'accès client. Cette politique permet au service de base de données de se connecter aux services OSN. Cette politique permet la communication entre les points d'extrémité du service de base de données. |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité |
Cette politique permet la communication entre le service de calcul et la base de données et le VCN de secours Data Guard dans la même région. |
| VCN ou région différents de Data Guard |
dans le VCN |
Cette politique permet la communication entre le service de calcul et la base de données avec le VCN de secours Data Guard dans une autre région ou avec un VCN auquel aucun attribut de sécurité n'est appliqué. |
| VCN ou région différents de Data Guard |
dans le VCN |
Cette politique permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité Autoriser les points d'extrémité |
Cette politique permet la communication entre les bases de données principale et de secours Data Guard de la même région et la communication entre le service de calcul et la base de données et le VCN de secours de la même région. |
|
dans le VCN dans le VCN |
Cette politique permet la communication entre les bases de données principale et de secours Data Guard, même si elles se trouvent dans des régions ou des réseaux en nuage virtuels différents, ou vers un réseau VCN auquel aucun attribut de sécurité n'est appliqué. | |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité |
Cette politique autorise la communication de Data Guard de secours à principal dans la même région. |
|
dans le VCN dans le VCN |
Cette politique autorise la communication de Data Guard de secours à principal dans différentes régions ou vers un réseau VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'utilisation | Politique | Notes |
|---|---|---|
| Activer le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). |
dans le VCN dans le VCN |
Provisionnement de grappe de machines virtuelles, sauvegarde/restauration, KMS, correctifs, événements DP, Oracle RAC Appliquez l'attribut de sécurité du service de base de données aux ressources Oracle Base Database Service pour la base principale et la base de secours Data Guard. |
| Prise en charge de RAC |
dans le VCN |
Aucun. |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité |
Cette politique permet aux clients de calcul de se connecter au VCN de secours Data Guard dans la même région. |
|
dans le VCN |
Cette politique permet aux clients de calcul de se connecter au VCN de secours Data Guard dans différentes régions ou à un VCN auquel aucun attribut de sécurité n'est appliqué. | |
| VCN ou région différents de Data Guard |
dans le VCN |
Cette politique permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité Autoriser les points d'extrémité |
Cette politique permet à Data Guard principal de se connecter à la base de données de secours Data Guard, à la fois sortante et entrante, dans chaque VCN de la même région. |
|
dans le VCN dans le VCN |
Cette politique permet à Data Guard principal de se connecter à la base de données de secours Data Guard à l'aide du CIDR, à la fois sortant et entrant, dans chaque VCN de différentes régions ou à un VCN auquel aucun attribut de sécurité n'est appliqué. | |
| VCN ou région différents de Data Guard |
Autoriser les points d'extrémité Autoriser les points d'extrémité |
Cette politique permet à la base de données de secours Data Guard de se connecter à la base de données principale Data Guard dans chaque VCN de la même région. |
|
dans le VCN dans le VCN |
Cette politique permet à Data Guard Standby de se connecter à la base de données principale de Data Guard dans des réseaux en nuage virtuels de différentes régions ou à un réseau VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'utilisation | Politique | Notes |
|---|---|---|
| Autoriser le calcul à se connecter à la base de données autonome avec intelligence artificielle. | Autoriser les points d'extrémité <security attribute of source-compute> du VCN <security attribute of source VCN> à se connecter aux points d'extrémité <security attribute of database service> avec protocol='tcp/1521' dans le VCN <security attribute of target VCN> |
Autoriser la communication entre le service de calcul et la base de données entre les réseaux en nuage virtuels de la même région. |
dans le VCN <security attribute of VCN> permettent aux points d'extrémité <security attribute of source-compute> de se connecter aux points d'extrémité <security attribute of database service> avec protocol='tcp/1521'
|
Autoriser la communication entre le service de calcul et la base de données entre des réseaux en nuage virtuels de différentes régions ou vers un réseau VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'utilisation | Politique | Notes |
|---|---|---|
| Activer le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). | Autoriser les points d'extrémité <security attribute of source-compute> du VCN <security attribute of source VCN> à se connecter aux points d'extrémité <security attribute of database service> avec protocol='tcp/1521' dans le VCN <security attribute of target VCN> |
Autoriser la communication entre le service de calcul et la base de données entre les réseaux en nuage virtuels de la même région. |
dans le VCN <security attribute of VCN> permettent aux points d'extrémité <security attribute of source-compute> de se connecter aux points d'extrémité <security attribute of database service> avec protocol='tcp/1521'
|
Autoriser la communication entre le service de calcul et la base de données entre des réseaux en nuage virtuels de différentes régions ou vers un réseau VCN auquel aucun attribut de sécurité n'est appliqué. |