Zero Trust Packet Routing

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protège les données sensibles contre tout accès non autorisé via des stratégies de sécurité basées sur les intentions que vous écrivez pour les ressources OCI auxquelles vous affectez des attributs de sécurité. Les attributs de sécurité sont des libellés que ZPR utilise pour identifier et organiser les ressources OCI.

ZPR applique la stratégie au niveau du réseau à chaque demande d'accès, quelles que soient les modifications ou les erreurs de configuration potentielles de l'architecture réseau.

ZPR s'appuie sur les règles de groupe de sécurité réseau et de liste de contrôle de sécurité existantes. Pour qu'un paquet atteigne une cible, il doit transmettre toutes les règles NSG et SCL, ainsi que la stratégie ZPR. Si une règle ou stratégie NSG, SCL ou ZPR n'autorise pas le trafic, la demande est supprimée.

Gérer ZPR

Vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes : vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes :

  1. Créer et gérer les espaces de noms et les attributs de sécurité des attributs de sécurité.
  2. Ecrire des stratégies à l'aide d'attributs de sécurité pour contrôler l'accès aux ressources.
  3. Appliquer les attributs de sécurité aux ressources indiquées.

Remarques :

Les administrateurs doivent configurer des espaces de noms et des attributs de sécurité dans une location pour que les utilisateurs puissent appliquer des attributs de sécurité aux systèmes de base de données.

Pour plus d'informations sur ZPR, reportez-vous à la section Overview of Zero Trust Packet Routing.

Gestion des stratégies ZPR

Une stratégie ZPR est une règle qui régit la communication entre des adresses spécifiques identifiées par leurs attributs de sécurité. La stratégie ZPR ne peut être créée que dans le compartiment racine d'une location.

Les stratégies suivantes sont requises pour le service Base Database afin d'activer le service de base de données dans tous les scénarios, y compris la sauvegarde et Data Guard.

Tableau - Cas d'emploi de stratégie ZPR

Cas d'emploi Règle Remarques 
Activez le service de base de données pour tous les scénarios (y compris la sauvegarde et Data Guard).

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

Cette stratégie permet à une machine virtuelle de calcul de se connecter à un système de base de données.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Cette stratégie permet au système de base de données de se connecter aux services OSN.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

Cette stratégie est requise pour la prise en charge de RAC.

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

Cette stratégie permet aux clients Compute de se connecter au VCN de secours Data Guard.

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

Cette stratégie permet à la base de données de secours Data Guard de se connecter aux services OSN.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

Cette stratégie permet à Data Guard Primary de se connecter à la base de données de secours Data Guard à l'aide d'un CIDR, sortant et entrant dans chaque VCN.

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

Cette stratégie permet à la base de données de secours Data Guard de se connecter à la base de données principale Data Guard à l'aide du CIDR.

Pour obtenir des instructions détaillées sur la suppression, la mise à jour et l'affichage des stratégies ZPR, reportez-vous à la section Managing Zero Trust Packet Routing Policies.

Gérer les attributs de sécurité

Vous pouvez ajouter, modifier ou enlever un attribut de sécurité pour un système de base de données. Pour plus d'informations, reportez-vous à Gestion des attributs de sécurité pour le système de base de données.