Gestion des stratégies Zero Trust Packet Routing
Créez et gérez des stratégies Zero Trust Packet Routing (ZPR).
Une stratégie ZPR est une règle qui régit la communication entre des adresses spécifiques identifiées par leurs attributs de sécurité. Une stratégie ZPR ne peut être créée que dans le compartiment racine d'une location. Pour créer une stratégie ZPR, vous disposez de plusieurs options :
- Le générateur de stratégies simple vous permet de choisir parmi les listes préremplies de ressources identifiées par leurs attributs de sécurité pour exprimer l'intention de sécurité entre deux adresses. Le générateur de stratégies génère automatiquement l'instruction de stratégie à l'aide d'une syntaxe correcte.
- Le générateur de modèles de stratégie vous permet d'effectuer une sélection dans la liste des modèles basés sur des scénarios de cas d'utilisation courants qui fournissent des instructions de stratégie ZPR préremplies que vous pouvez ensuite personnaliser pour créer une stratégie ZPR.
- Le générateur de stratégies manuel vous permet de saisir une stratégie à format libre.
L'application des modifications apportées aux stratégies ZPR dans la console peut prendre jusqu'à cinq minutes.
Paramétrage des modèles de stratégie
Les modèles de stratégie inclus dans le générateur de modèles de stratégie fournissent l'exemple de syntaxe dont vous pourriez avoir besoin pour les cas d'emploi courants.
La stratégie dans le générateur de modèles de stratégie est organisée dans les sections suivantes :
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Permet à une instance de calcul de se connecter sur tous les ports et protocoles à une autre instance de calcul. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of target-compute> |
Rien. |
| Autoriser l'instance de calcul à se connecter via SSH à une autre instance de calcul. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of target-compute> avec protocol='tcp/22' |
Rien. |
| Permet au calcul de se connecter au service de base de données. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521' |
Rien. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activer le service de base de données pour l'accès SSH, l'accès client à la base de données, l'accès Object Storage, Vault, Data Safe et autres accès au service OCI, Real Application Clusters (RAC) et Data Guard |
dans le VCN dans le VCN dans le VCN |
Cette stratégie permet au cluster de machines virtuelles d'accepter la connexion client, de se connecter aux services OSN et de se connecter entre le cluster de machines virtuelles principal et de secours Data Guard. Cette stratégie suppose que les clients Compute et Data Guard Primary se trouvent dans le même VCN. Appliquez l'attribut de sécurité du service de base de données aux ressources de cluster de machines virtuelles pour les bases de données principale et de secours Data Guard. |
| Data Guard inter-VCN ou région | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter à <Standby VCN CIDR> avec protocol='tcp/1521' |
Cette stratégie permet aux clients Compute de se connecter au VCN de secours Data Guard. |
| Data Guard inter-VCN ou région | dans le VCN <security attribute of Standby VCN>, autorisez les adresses <security attribute of database service> à se connecter à 'osn-services-ip-addresses' |
Cette stratégie permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| Data Guard inter-VCN ou région |
dans le VCN dans |
Cette stratégie permet à Data Guard Primary de se connecter à la base de données de secours Data Guard à l'aide d'un CIDR, sortant et entrant dans chaque VCN. |
| Data Guard inter-VCN ou région |
dans dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter à la base de données principale Data Guard à l'aide du CIDR. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). |
dans le VCN dans le VCN |
Provisionnement du cluster de machines virtuelles, sauvegarde/restauration, KMS, application de patches, événements DP, Oracle RAC Appliquez l'attribut de sécurité du service de base de données aux ressources Oracle Base Database Service pour la base de données principale et de secours Data Guard. |
| Prise en charge de RAC |
dans le VCN |
Rien. |
| Data Guard inter-VCN ou région |
dans le VCN |
Cette stratégie permet aux clients Compute de se connecter au VCN de secours Data Guard. |
| Data Guard inter-VCN ou région |
dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter aux services OSN. |
| Data Guard inter-VCN ou région |
dans le VCN dans |
Cette stratégie permet à Data Guard Primary de se connecter à la base de données de secours Data Guard à l'aide d'un CIDR, sortant et entrant dans chaque VCN. |
| Data Guard inter-VCN ou région |
dans dans le VCN |
Cette stratégie permet à la base de données de secours Data Guard de se connecter à la base de données principale Data Guard à l'aide du CIDR. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Autorisez Compute à se connecter à Autonomous Database. | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521' |
Rien. |
| Cas d'emploi | Stratégie | Remarque |
|---|---|---|
| Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard). | dans le VCN <security attribute of VCN>, autorisez les adresses <security attribute of source-compute> à se connecter aux adresses <security attribute of database service> avec protocol='tcp/1521' |
Rien. |