Gestione dei criteri di instradamento dei pacchetti Zero Trust
Creare e gestire i criteri ZPR (Zero Trust Packet Routing).
Un criterio ZPR è una regola che regola la comunicazione tra endpoint specifici identificati dai relativi attributi di sicurezza. Un criterio ZPR può essere creato solo nel compartimento radice di una tenancy. Per creare un criterio ZPR sono disponibili diverse opzioni:
- Simple policy builder consente di selezionare da elenchi precompilati di risorse identificati dai loro attributi di sicurezza per esprimere l'intento di sicurezza tra due endpoint. La Costruzione guidata criteri genera automaticamente l'istruzione criterio utilizzando la sintassi corretta.
- Costruzione guidata modello criteri consente di effettuare la selezione da un elenco di modelli basati su scenari di casi d'uso comuni che forniscono istruzioni dei criteri ZPR precompilate che è possibile personalizzare per creare un criterio ZPR.
- La generazione manuale dei criteri consente di immettere i criteri in formato libero.
L'applicazione delle modifiche ai criteri ZPR nella console potrebbe richiedere fino a cinque minuti.
Builder modello criteri
I modelli criteri inclusi nella Costruzione guidata modello criteri forniscono la sintassi di esempio necessaria per i casi d'uso comuni.
Il criterio nella Costruzione guidata modello criteri è organizzato nelle seguenti sezioni:
| Caso d'uso | Criteri | Note |
|---|---|---|
| Consente a un'istanza di computazione di connettersi a tutte le porte e i protocolli a un'altra istanza di computazione nella stessa VCN. | nella VCN <security attribute of VCN> consenti agli endpoint <security attribute of source-compute> di connettersi agli endpoint <security attribute of target-compute> |
Nessuno. |
| Consente a un'istanza di computazione di connettersi tramite SSH a un'altra istanza di computazione nella stessa VCN. | nella VCN <security attribute of VCN> consentire agli endpoint <security attribute of source-compute> di connettersi agli endpoint <security attribute of target-compute> con protocol='tcp/22'
|
Nessuno. |
| Consente a un'istanza di computazione di connettersi a un servizio di database all'interno della stessa VCN. | nella VCN <security attribute of VCN> consentire agli endpoint <security attribute of source-compute> di connettersi agli endpoint <security attribute of database service> con protocol='tcp/1521'
|
Nessuno. |
| Consenti a un'istanza di computazione di connettersi a un'altra istanza di computazione tra VCN nella stessa area. | Consenti agli endpoint <security attribute of source-compute> nella VCN <security attribute of source VCN> di connettersi agli endpoint <security attribute of target-compute> nella VCN <security attribute of target VCN> |
Per aree o VCN diverse che non utilizzano attributi di sicurezza ZPR, utilizzare il criterio riportato di seguito. nella VCN |
| Caso d'uso | Criteri | Note |
|---|---|---|
| Abilita il servizio di database per l'accesso SSH, l'accesso client del database, l'accesso allo storage degli oggetti, il vault, Data Safe e altri accessi al servizio OCI, Real Application Clusters (RAC) e Data Guard |
nella VCN nella VCN nella VCN |
Questo criterio consente alle istanze di computazione di connettersi al servizio di database sulla porta TCP 1521 per l'accesso al client. Questo criterio consente al servizio di database di connettersi ai servizi OSN. Questo criterio consente la comunicazione tra gli endpoint del servizio di database. |
| VCN incrociata o area Data Guard |
Consenti agli endpoint |
Questo criterio consente la comunicazione tra computazione e database con la VCN in standby Data Guard nella stessa area. |
| VCN incrociata o area Data Guard |
nella VCN |
Questo criterio consente la comunicazione tra computazione e database alla VCN in standby Data Guard in un'area diversa o a una VCN a cui non sono applicati attributi di sicurezza. |
| VCN incrociata o area Data Guard |
nella VCN |
Questo criterio consente al database di standby Data Guard di connettersi ai servizi OSN. |
| VCN incrociata o area Data Guard |
Consenti agli endpoint Consenti agli endpoint |
Questo criterio consente la comunicazione tra i database primario e di standby Data Guard nella stessa area e la comunicazione tra computazione e database alla VCN in standby nella stessa area. |
|
nella VCN nella VCN |
Questo criterio consente la comunicazione tra i database primario e di standby Data Guard, anche se si trovano in aree o VCN diverse o in una VCN a cui non sono applicati attributi di sicurezza. | |
| VCN incrociata o area Data Guard |
Consenti agli endpoint |
Questo criterio consente la comunicazione da standby a primario Data Guard nella stessa area. |
|
nella VCN nella VCN |
Questo criterio consente la comunicazione da standby a primario Data Guard in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. |
| Caso d'uso | Criteri | Note |
|---|---|---|
| Abilita il servizio di database per tutti gli scenari (include backup e Data Guard). |
nella VCN nella VCN |
Provisioning VM-Cluster, backup/ripristino, KMS, applicazione di patch, eventi DP, Oracle RAC Applicare l'attributo di sicurezza del servizio di database alle risorse di Oracle Base Database Service per Data Guard Primary e Standby. |
| Supporto RAC |
nella VCN |
Nessuno. |
| VCN incrociata o area Data Guard |
Consenti agli endpoint |
Questo criterio consente ai client di computazione di connettersi alla VCN in standby Data Guard nella stessa area. |
|
nella VCN |
Questo criterio consente ai client di computazione di connettersi alla VCN in standby Data Guard in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. | |
| VCN incrociata o area Data Guard |
nella VCN |
Questo criterio consente al database di standby Data Guard di connettersi ai servizi OSN. |
| VCN incrociata o area Data Guard |
Consenti agli endpoint Consenti agli endpoint |
Questo criterio consente a Data Guard Primary di connettersi al database in standby Data Guard, sia in uscita che in entrata, in ogni VCN nella stessa area. |
|
nella VCN nella VCN |
Questo criterio consente a Data Guard Primary di connettersi al database di standby Data Guard utilizzando il CIDR, sia in uscita che in entrata, in ogni VCN in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. | |
| Data Guard tra VCN o area |
Consenti agli endpoint Consenti agli endpoint |
Questo criterio consente al database di standby Data Guard di connettersi al database primario Data Guard in ogni VCN nella stessa area. |
|
nella VCN nella VCN |
Questo criterio consente al database di standby Data Guard di connettersi al database primario Data Guard nelle reti VCN in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. |
| Caso d'uso | Criteri | Note |
|---|---|---|
| Consenti alla computazione di connettersi a Autonomous AI Database. | Consenti agli endpoint <security attribute of source-compute> nella VCN <security attribute of source VCN> di connettersi agli endpoint <security attribute of database service> con protocol='tcp/1521' nella VCN <security attribute of target VCN> |
Consenti la comunicazione tra computazione e database tra le reti VCN nella stessa area. |
nella VCN <security attribute of VCN> consentire agli endpoint <security attribute of source-compute> di connettersi agli endpoint <security attribute of database service> con protocol='tcp/1521'
|
Consentire la comunicazione tra computazione e database tra VCN in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. |
| Caso d'uso | Criteri | Note |
|---|---|---|
| Abilita il servizio di database per tutti gli scenari (include backup e Data Guard). | Consenti agli endpoint <security attribute of source-compute> nella VCN <security attribute of source VCN> di connettersi agli endpoint <security attribute of database service> con protocol='tcp/1521' nella VCN <security attribute of target VCN> |
Consenti la comunicazione tra computazione e database tra le reti VCN nella stessa area. |
nella VCN <security attribute of VCN> consentire agli endpoint <security attribute of source-compute> di connettersi agli endpoint <security attribute of database service> con protocol='tcp/1521'
|
Consentire la comunicazione tra computazione e database tra VCN in aree diverse o a una VCN a cui non sono applicati attributi di sicurezza. |