Zero Trust Packet Routing

Oracle Cloud Infrastructure ZPR(Zero Trust Packet Routing)은 보안 속성을 지정하는 OCI 리소스에 대해 작성하는 의도 기반 보안 정책을 통해 민감한 데이터를 무단 액세스로부터 보호합니다. 보안 속성은 ZPR이 OCI 리소스를 식별하고 구성하는 데 사용하는 레이블입니다.

ZPR은 잠재적인 네트워크 아키텍처 변경 또는 잘못된 구성에 관계없이 액세스가 요청될 때마다 네트워크 레벨에서 정책을 적용합니다.

ZPR은 기존 NSG(네트워크 보안 그룹) 및 SCL(보안 제어 목록) 규칙을 기반으로 합니다. 패킷이 대상에 도달하려면 모든 NSG 및 SCL 규칙과 ZPR 정책을 통과해야 합니다. NSG, SCL 또는 ZPR 규칙이나 정책에서 트래픽을 허용하지 않는 경우 요청이 삭제됩니다.

관련 항목

ZPR 관리

ZPR(Zero Trust Packet Routing)을 사용하여 네트워크를 세 단계로 보호할 수 있습니다. ZPR(Zero Trust Packet Routing)을 사용하여 네트워크를 다음 세 단계로 보호할 수 있습니다.

  1. 보안 속성 네임스페이스와 보안 속성을 생성 및 관리합니다.
  2. 보안 속성을 사용하여 리소스에 대한 액세스를 제어하는 정책을 작성합니다.
  3. 지정된 리소스에 보안 속성을 적용합니다.

주:

사용자가 DB 시스템에 보안 속성을 적용하려면 먼저 관리자가 테넌시에서 보안 속성 네임스페이스 및 보안 속성을 설정해야 합니다.

ZPR에 대한 자세한 내용은 Overview of Zero Trust Packet Routing를 참조하십시오.

ZPR 정책 관리

ZPR 정책은 해당 보안 속성으로 식별된 특정 끝점 간의 통신을 제어하는 규칙입니다. ZPR 정책은 테넌시의 루트 컴파트먼트에서만 생성할 수 있습니다.

백업 및 Data Guard를 포함한 모든 시나리오에 대해 데이터베이스 서비스를 사용으로 설정하려면 기준 데이터베이스 서비스에 다음 정책이 필요합니다.

표 - ZPR 정책 사용 사례

사용 사례 정책 참고
모든 시나리오에 대해 데이터베이스 서비스를 활성화합니다(백업 및 Data Guard 포함).

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

 이 정책을 사용하면 컴퓨트 VM이 DB 시스템에 접속할 수 있습니다.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

 이 정책을 사용하면 DB 시스템이 OSN 서비스에 접속할 수 있습니다.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

 이 정책은 RAC 지원에 필요합니다.

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

 이 정책을 통해 컴퓨트 클라이언트가 Data Guard 대기 VCN에 접속할 수 있습니다.

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

 이 정책을 사용하면 Data Guard Standby가 OSN 서비스에 연결할 수 있습니다.

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

 이 정책을 통해 Data Guard Primary는 각 VCN의 송신 및 수신 모두에서 CIDR을 사용하여 Data Guard Standby에 접속할 수 있습니다.

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

 이 정책을 통해 Data Guard Standby는 CIDR을 사용하여 Data Guard Primary에 연결할 수 있습니다.

ZPR 정책 삭제, 업데이트 및 보기에 대한 자세한 내용은 Managing Zero Trust Packet Routing Policies를 참조하십시오.

보안 속성 관리

DB 시스템에 대한 보안 속성을 추가, 편집 또는 제거할 수 있습니다. 자세한 내용은 DB 시스템에 대한 보안 속성 관리를 참조하십시오.