Zero Trust Packet Routing

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過您為 OCI 資源撰寫並指派安全性屬性的目標式安全原則,保護機密資料免於未經授權的存取。安全屬性是 ZPR 用來識別和組織 OCI 資源的標籤。

ZPR 在每次要求存取時都強制實施網路層級的策略,而不管潛在的網路架構變更或配置錯誤。

ZPR 建立在現有網路安全群組 (NSG) 和安全控制清單 (SCL) 規則之上。若要讓封包到達目標,必須傳送所有 NSG 和 SCL 規則和 ZPR 原則。如果任何 NSG、SCL 或 ZPR 規則或原則不允許流量,就會捨棄要求。

管理 ZPR

您可以透過三個步驟使用 Zero Trust Packet Routing (ZPR) 保護網路:您可以使用 Zero Trust Packet Routing (ZPR) 保護網路,步驟如下:

  1. 建立及管理安全屬性命名空間和安全屬性。
  2. 使用安全屬性撰寫原則以控制對資源的存取。
  3. 將安全屬性套用至指定的資源。

附註:

管理員必須先在租用戶中設定安全屬性命名空間和安全屬性,使用者才能將安全屬性套用至資料庫系統。

如需 ZPR 的詳細資訊,請參閱 Overview of Zero Trust Packet Routing

管理 ZPR 原則

ZPR 原則是一項規則,可管理由其安全性屬性所識別之特定端點之間的通訊。只能在租用戶的根區間中建立 ZPR 原則。

基準資料庫服務需要下列原則,才能在所有情況下 (包括備份和資料保全) 啟用資料庫服務。

表格 - ZPR 政策使用案例

使用案例 原則 備註
為所有案例啟用資料庫服務 (包括備份和資料保全)。

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'

此原則允許運算 VM 連線至資料庫系統。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

此原則可讓資料庫系統連線至 OSN 服務。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints

RAC 支援必須要有此原則。

in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'

此原則可讓運算從屬端連線至資料保全待命 VCN。

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'

此原則允許「資料保全待命」連線至 OSN 服務。

in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR>

in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints

此原則可讓「資料保全主要資料庫」使用 CIDR 連線至資料保全待命資料庫,每個 VCN 都有輸出和傳入。

in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints

in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>

此原則允許「資料保全待命」使用 CIDR 連線至「資料保全主要資料庫」。

如需有關刪除、更新及檢視 ZPR 原則的詳細指示,請參閱管理零信任封包路由原則

管理安全屬性

您可以新增、編輯或移除資料庫系統的安全性屬性。如需詳細資訊,請參閱管理資料庫系統的安全屬性