零信任数据包路由
Oracle Cloud Infrastructure 零信任包路由 (Zero Trust Packet Routing,ZPR) 通过您为指定安全属性的 OCI 资源编写的基于意图的安全策略,保护敏感数据免遭未经授权的访问。安全属性是 ZPR 用于标识和组织 OCI 资源的标签。
无论潜在的网络架构更改或配置错误,ZPR 都会在每次请求访问时在网络级别强制执行策略。
ZPR 基于现有网络安全组 (NSG) 和安全控制列表 (SCL) 规则构建。要使包到达目标,它必须传递所有 NSG 和 SCL 规则以及 ZPR 策略。如果任何 NSG、SCL 或 ZPR 规则或策略不允许流量,则请求将被丢弃。
相关主题
管理 ZPR
您可以使用零信任包路由 (Zero Trust Packet Routing,ZPR) 通过三个步骤保护网络:通过零信任包路由 (Zero Trust Packet Routing,ZPR),可以通过三个步骤保护网络:
- 创建和管理安全属性名称空间和安全属性。
- 使用安全属性编写策略来控制对资源的访问。
- 将安全属性应用于指定的资源。
注意:
管理员必须在租户中设置安全属性名称空间和安全属性,然后用户才能将安全属性应用于数据库系统。有关 ZPR 的详细信息,请参见 Overview of Zero Trust Packet Routing 。
管理 ZPR 策略
ZPR 策略是一种规则,用于控制由其安全属性标识的特定端点之间的通信。只能在租户的根区间中创建 ZPR 策略。
基本数据库服务需要以下策略才能为所有方案(包括备份和数据卫士)启用数据库服务。
表 - ZPR 策略用例
用例 | 策略 | 注: |
---|---|---|
为所有方案启用数据库服务(包括备份和数据卫士)。 |
|
此策略允许计算 VM 连接到数据库系统。 |
|
此策略允许数据库系统连接到 OSN 服务。 | |
|
RAC 支持需要此策略。 | |
|
此策略允许计算客户端连接到 Data Guard 备用 VCN。 | |
|
此策略允许 Data Guard 备用数据库连接到 OSN 服务。 | |
|
此策略允许数据卫士主数据库使用 CIDR(每个 VCN 中的出站和入站)连接到数据卫士备用数据库。 | |
|
此策略允许 Data Guard 备用数据库使用 CIDR 连接到 Data Guard 主数据库。 |
有关删除、更新和查看 ZPR 策略的详细说明,请参见 Managing Zero Trust Packet Routing Policies 。