零信任数据包路由

Oracle Cloud Infrastructure 零信任包路由 (Zero Trust Packet Routing，ZPR) 通过您为指定安全属性的 OCI 资源编写的基于意图的安全策略，保护敏感数据免遭未经授权的访问。安全属性是 ZPR 用于标识和组织 OCI 资源的标签。

无论潜在的网络架构更改或配置错误，ZPR 都会在每次请求访问时在网络级别强制执行策略。

ZPR 基于现有网络安全组 (NSG) 和安全控制列表 (SCL) 规则构建。要使包到达目标，它必须传递所有 NSG 和 SCL 规则以及 ZPR 策略。如果任何 NSG、SCL 或 ZPR 规则或策略不允许流量，则请求将被丢弃。

管理 ZPR

您可以使用零信任包路由 (Zero Trust Packet Routing，ZPR) 通过三个步骤保护网络：通过零信任包路由 (Zero Trust Packet Routing，ZPR)，可以通过三个步骤保护网络：

1. 创建和管理安全属性名称空间和安全属性。
2. 使用安全属性编写策略来控制对资源的访问。
3. 将安全属性应用于指定的资源。

注意：

管理员必须在租户中设置安全属性名称空间和安全属性，然后用户才能将安全属性应用于数据库系统。

有关 ZPR 的详细信息，请参见 Overview of Zero Trust Packet Routing 。

管理 ZPR 策略

ZPR 策略是一种规则，用于控制由其安全属性标识的特定端点之间的通信。只能在租户的根区间中创建 ZPR 策略。

基本数据库服务需要以下策略才能为所有方案（包括备份和数据卫士）启用数据库服务。

表 - ZPR 策略用例

用例	策略	注：
为所有方案启用数据库服务（包括备份和数据卫士）。	in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'	此策略允许计算 VM 连接到数据库系统。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'	此策略允许数据库系统连接到 OSN 服务。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints	RAC 支持需要此策略。
	in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'	此策略允许计算客户端连接到 Data Guard 备用 VCN。
	in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'	此策略允许 Data Guard 备用数据库连接到 OSN 服务。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR> in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints	此策略允许数据卫士主数据库使用 CIDR（每个 VCN 中的出站和入站）连接到数据卫士备用数据库。
	in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>	此策略允许 Data Guard 备用数据库使用 CIDR 连接到 Data Guard 主数据库。

有关删除、更新和查看 ZPR 策略的详细说明，请参见 Managing Zero Trust Packet Routing Policies 。

管理安全属性

您可以为数据库系统添加、编辑或删除安全属性。有关更多信息，请参见管理数据库系统的安全属性。

---

标题和版权信息

Copyright ©2024,2025,

Oracle 和/或其关联公司。