Zero Trust Packet Routing

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR)は、セキュリティ属性を割り当てるOCIリソース用に記述したインテントベースのセキュリティ・ポリシーによって、機密データを不正アクセスから保護します。セキュリティ属性は、ZPRがOCIリソースの識別と編成に使用するラベルです。

ZPRは、ネットワークアーキテクチャーの変更や構成の誤りに関係なく、アクセスが要求されるたびにネットワークレベルでポリシーを適用します。

ZPRは、既存のネットワーク・セキュリティ・グループ(NSG)およびセキュリティ制御リスト(SCL)ルールの上に構築されます。パケットがターゲットに到達するには、すべてのNSGおよびSCLルールおよびZPRポリシーを渡す必要があります。NSG、SCLまたはZPRのルールまたはポリシーでトラフィックが許可されない場合、リクエストは削除されます。

関連項目

ZPRの管理

ゼロトラストパケットルーティング(ZPR)を使用してネットワークを保護するには、次の3つの手順でゼロトラストパケットルーティング(ZPR)を使用してネットワークを保護できます。

セキュリティ属性ネームスペースおよびセキュリティ属性を作成および管理します。
セキュリティ属性を使用してポリシーを記述し、リソースへのアクセスを制御します。
指定されたリソースにセキュリティー属性を適用します。

ノート:

管理者は、ユーザーがDBシステムにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。

ZPRの詳細は、Overview of Zero Trust Packet Routingを参照してください。

ZPRポリシーの管理

ZPRポリシーは、セキュリティ属性で識別される特定のエンドポイント間の通信を制御するルールです。ZPRポリシーは、テナンシのルート・コンパートメントにのみ作成できます。

ベース・データベース・サービスでバックアップおよびData Guardを含むすべてのシナリオのデータベース・サービスを有効にするには、次のポリシーが必要です。

表- ZPRポリシーのユースケース

ユース・ケース	ポリシー	ノート
すべてのシナリオ(バックアップおよびData Guardを含む)のデータベース・サービスを有効にします。	`in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'`	このポリシーにより、コンピュートVMはDBシステムに接続できます。
	`in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'`	このポリシーにより、DBシステムはOSNサービスに接続できます。
	`in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints`	このポリシーは、RACサポートに必要です。
	`in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'`	このポリシーにより、コンピュート・クライアントはData GuardスタンバイVCNに接続できます。
	`in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'`	このポリシーにより、Data GuardスタンバイはOSNサービスに接続できます。
	`in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>` `in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints`	このポリシーにより、Data Guardプライマリは、CIDR (各VCNのエグレスとイングレスの両方)を使用してData Guardスタンバイに接続できます。
	`in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints` `in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>`	このポリシーにより、Data GuardスタンバイはCIDRを使用してData Guardプライマリに接続できます。

ZPRポリシーの削除、更新および表示の詳細は、Zero Trust Packetルーティング・ポリシーの管理を参照してください。

セキュリティ属性の管理

DBシステムのセキュリティ属性を追加、編集または削除できます。詳細は、DB Systemのセキュリティ属性の管理を参照してください。

タイトルおよび著作権情報

Oracle and/or its affiliates.