Gestion des stratégies Zero Trust Packet Routing
Créez et gérez des stratégies Zero Trust Packet Routing (ZPR).
Une stratégie ZPR est une règle qui régit la communication entre des adresses spécifiques identifiées par leurs attributs de sécurité. Une stratégie ZPR ne peut être créée que dans le compartiment racine d'une location. Pour créer une stratégie ZPR, vous disposez de plusieurs options :
- Le générateur de stratégies simple vous permet de choisir parmi les listes préremplies de ressources identifiées par leurs attributs de sécurité pour exprimer l'intention de sécurité entre deux adresses. Le générateur de stratégies génère automatiquement l'instruction de stratégie à l'aide d'une syntaxe correcte.
- Le générateur de modèles de stratégie vous permet d'effectuer une sélection dans la liste des modèles basés sur des scénarios de cas d'utilisation courants qui fournissent des instructions de stratégie ZPR préremplies que vous pouvez ensuite personnaliser pour créer une stratégie ZPR.
- Le générateur de stratégies manuel vous permet de saisir une stratégie à format libre.
L'application des modifications apportées aux stratégies ZPR dans la console peut prendre jusqu'à cinq minutes.
Paramétrage des modèles de stratégie
Les modèles de stratégie inclus dans le générateur de modèles de stratégie fournissent l'exemple de syntaxe dont vous pourriez avoir besoin pour les cas d'emploi courants.
La stratégie dans le générateur de modèles de stratégie est organisée dans les sections suivantes :
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Autoriser une instance Compute à se connecter sur tous les ports et protocoles à une autre instance Compute dans le même VCN. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of target-compute> |
Rien. |
| Autorisez une instance Compute à se connecter via SSH à une autre instance Compute dans le même VCN. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of target-compute> avec protocol='tcp/22'
|
Rien. |
| Autoriser une instance Compute à se connecter à un service de base de données au sein du même VCN. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521'
|
Rien. |
| Autorisez une instance Compute à se connecter à une autre instance Compute sur les réseaux cloud virtuels de la même région. | Autoriser les adresses <security attribute of source-compute> dans le VCN <security attribute of source VCN> à se connecter aux adresses <security attribute of target-compute> dans le VCN <security attribute of target VCN> |
Pour les différentes régions ou réseaux cloud virtuels qui n'utilisent pas les attributs de sécurité ZPR, utilisez la stratégie suivante : dans |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activer le service de base de données pour l'accès SSH, l'accès client à la base de données, l'accès Object Storage, Vault, Data Safe et autres accès au service OCI, Real Application Clusters (RAC) et Data Guard |
dans le VCN dans le VCN dans le VCN |
Cette stratégie permet aux instances Compute de se connecter au service de base de données sur le port TCP 1521 pour l'accès client. Cette stratégie permet au service de base de données de se connecter aux services OSN. Cette stratégie permet la communication entre les adresses de service de base de données. |
| Data Guard inter-VCN ou région |
Autoriser les adresses |
Cette stratégie permet la communication entre le calcul et la base de données vers le VCN de secours Data Guard dans la même région. |
| Data Guard inter-VCN ou région |
dans le VCN |
Cette stratégie permet la communication entre le calcul et la base de données vers le VCN de secours Data Guard dans une autre région ou vers un VCN auquel aucun attribut de sécurité n'est appliqué. |
| Data Guard inter-VCN ou région |
dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| Data Guard inter-VCN ou région |
Autoriser les adresses Autoriser les adresses |
Cette stratégie permet la communication entre les bases de données principale et de secours Data Guard dans la même région, et la communication entre le calcul et la base de données vers le VCN de secours dans la même région. |
|
dans le VCN dans |
Cette stratégie permet la communication entre les bases de données principale et de secours Data Guard, même si elles se trouvent dans des régions ou des réseaux cloud virtuels différents, ou vers un VCN auquel aucun attribut de sécurité n'est appliqué. | |
| Data Guard inter-VCN ou région |
Autoriser les adresses |
Cette stratégie permet la communication de base de données de secours Data Guard vers le noeud principal dans la même région. |
|
dans dans le VCN |
Cette stratégie permet la communication de base de données de secours Data Guard vers le principal dans différentes régions ou vers un VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). |
dans le VCN dans le VCN |
Provisionnement du cluster de machines virtuelles, sauvegarde/restauration, KMS, application de patches, événements DP, Oracle RAC Appliquez l'attribut de sécurité du service de base de données aux ressources Oracle Base Database Service pour la base de données principale et de secours Data Guard. |
| Prise en charge de RAC |
dans le VCN |
Rien. |
| Data Guard inter-VCN ou région |
Autoriser les adresses |
Cette stratégie permet aux clients Compute de se connecter au VCN de secours Data Guard dans la même région. |
|
dans le VCN |
Cette stratégie permet aux clients Compute de se connecter au VCN de secours Data Guard dans différentes régions ou à un VCN auquel aucun attribut de sécurité n'est appliqué. | |
| Data Guard inter-VCN ou région |
dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| Data Guard inter-VCN ou région |
Autoriser les adresses Autoriser les adresses |
Cette stratégie permet à Data Guard Primary de se connecter à la base de données de secours Data Guard, à la fois sortante et entrante, dans chaque VCN de la même région. |
|
dans le VCN dans |
Cette stratégie permet à Data Guard Primary de se connecter à la base de données de secours Data Guard à l'aide du CIDR, à la fois sortant et entrant, dans chaque VCN dans différentes régions ou à un VCN auquel aucun attribut de sécurité n'est appliqué. | |
| Data Guard inter-VCN ou région |
Autoriser les adresses Autoriser les adresses |
Cette stratégie permet à la base de données de secours Data Guard de se connecter à la base de données Data Guard principale dans chaque VCN de la même région. |
|
dans dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter à la base de données Data Guard principale dans les réseaux cloud virtuels de différentes régions ou à un VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Autoriser le calcul à se connecter à la base de données Autonomous AI. | Autoriser les adresses <security attribute of source-compute> dans le VCN <security attribute of source VCN> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521' dans le VCN <security attribute of target VCN> |
Autorisez la communication de calcul à base de données entre les réseaux cloud virtuels de la même région. |
dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521'
|
Autorisez la communication de calcul à base de données entre les réseaux cloud virtuels de différentes régions ou vers un VCN auquel aucun attribut de sécurité n'est appliqué. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). | Autoriser les adresses <security attribute of source-compute> dans le VCN <security attribute of source VCN> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521' dans le VCN <security attribute of target VCN> |
Autorisez la communication de calcul à base de données entre les réseaux cloud virtuels de la même région. |
dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521'
|
Autorisez la communication de calcul à base de données entre les réseaux cloud virtuels de différentes régions ou vers un VCN auquel aucun attribut de sécurité n'est appliqué. |