零信任数据包路由

Oracle Cloud Infrastructure 零信任包路由 (Zero Trust Packet Routing,ZPR) 通过您为指定安全属性的 OCI 资源编写的基于意图的安全策略,保护敏感数据免遭未经授权的访问。安全属性是 ZPR 用于标识和组织 OCI 资源的标签。

无论潜在的网络架构更改或配置错误,ZPR 都会在每次请求访问时在网络级别强制执行策略。

ZPR 基于现有网络安全组 (NSG) 和安全控制列表 (SCL) 规则构建。要使包到达目标,它必须传递所有 NSG 和 SCL 规则以及 ZPR 策略。如果任何 NSG、SCL 或 ZPR 规则或策略不允许流量,则请求将被丢弃。

管理 ZPR

您可以使用零信任包路由 (Zero Trust Packet Routing,ZPR) 通过三个步骤保护网络:通过零信任包路由 (Zero Trust Packet Routing,ZPR),可以通过三个步骤保护网络:

  1. 创建和管理安全属性名称空间和安全属性。
  2. 使用安全属性编写策略来控制对资源的访问。
  3. 将安全属性应用于指定的资源。

注意:

管理员必须在租户中设置安全属性名称空间和安全属性,然后用户才能将安全属性应用于数据库系统。

有关 ZPR 的详细信息,请参见 Overview of Zero Trust Packet Routing

管理 ZPR 策略

ZPR 策略是一种规则,用于控制由其安全属性标识的特定端点之间的通信。只能在租户的根区间中创建 ZPR 策略。

基本数据库服务需要以下策略才能为所有方案(包括备份和数据卫士)启用数据库服务。

表 - ZPR 策略用例

用例 策略 注:
为所有方案启用数据库服务(包括备份和数据卫士)。

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

此策略允许计算 VM 连接到数据库系统。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

此策略允许数据库系统连接到 OSN 服务。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

RAC 支持需要此策略。

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

此策略允许计算客户端连接到 Data Guard 备用 VCN。

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

此策略允许 Data Guard 备用数据库连接到 OSN 服务。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

此策略允许数据卫士主数据库使用 CIDR(每个 VCN 中的出站和入站)连接到数据卫士备用数据库。

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

此策略允许 Data Guard 备用数据库使用 CIDR 连接到 Data Guard 主数据库。

有关删除、更新和查看 ZPR 策略的详细说明,请参见 Managing Zero Trust Packet Routing Policies

管理安全属性

您可以为数据库系统添加、编辑或删除安全属性。有关更多信息,请参见管理数据库系统的安全属性