Zero Trust Packet Routing

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過您為 OCI 資源撰寫並指派安全性屬性的目標式安全原則，保護機密資料免於未經授權的存取。安全屬性是 ZPR 用來識別和組織 OCI 資源的標籤。

ZPR 在每次要求存取時都強制實施網路層級的策略，而不管潛在的網路架構變更或配置錯誤。

ZPR 建立在現有網路安全群組 (NSG) 和安全控制清單 (SCL) 規則之上。若要讓封包到達目標，必須傳送所有 NSG 和 SCL 規則和 ZPR 原則。如果任何 NSG、SCL 或 ZPR 規則或原則不允許流量，就會捨棄要求。

管理 ZPR

您可以透過三個步驟使用 Zero Trust Packet Routing (ZPR) 保護網路：您可以使用 Zero Trust Packet Routing (ZPR) 保護網路，步驟如下：

1. 建立及管理安全屬性命名空間和安全屬性。
2. 使用安全屬性撰寫原則以控制對資源的存取。
3. 將安全屬性套用至指定的資源。

附註：

管理員必須先在租用戶中設定安全屬性命名空間和安全屬性，使用者才能將安全屬性套用至資料庫系統。

如需 ZPR 的詳細資訊，請參閱 Overview of Zero Trust Packet Routing 。

管理 ZPR 原則

ZPR 原則是一項規則，可管理由其安全性屬性所識別之特定端點之間的通訊。只能在租用戶的根區間中建立 ZPR 原則。

基準資料庫服務需要下列原則，才能在所有情況下 (包括備份和資料保全) 啟用資料庫服務。

表格 - ZPR 政策使用案例

使用案例	原則	備註
為所有案例啟用資料庫服務 (包括備份和資料保全)。	in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <security attribute of database service> endpoints with protocol='tcp/1521'	此原則允許運算 VM 連線至資料庫系統。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'	此原則可讓資料庫系統連線至 OSN 服務。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <security attribute of database service> endpoints	RAC 支援必須要有此原則。
	in <security attribute of VCN> VCN allow <security attribute of source-compute> endpoints to connect to <Standby VCN CIDR> with protocol='tcp/1521'	此原則可讓運算從屬端連線至資料保全待命 VCN。
	in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to 'osn-services-ip-addresses'	此原則允許「資料保全待命」連線至 OSN 服務。
	in <security attribute of VCN> VCN allow <security attribute of database service> endpoints to connect to <Standby VCN CIDR> in <security attribute of Standby VCN> VCN allow <VCN CIDR> to connect to <security attribute of database service> endpoints	此原則可讓「資料保全主要資料庫」使用 CIDR 連線至資料保全待命資料庫，每個 VCN 都有輸出和傳入。
	in <security attribute of VCN> VCN allow <Standby VCN CIDR> to connect to <security attribute of database service> endpoints in <security attribute of Standby VCN> VCN allow <security attribute of database service> endpoints to connect to <VCN CIDR>	此原則允許「資料保全待命」使用 CIDR 連線至「資料保全主要資料庫」。

如需有關刪除、更新及檢視 ZPR 原則的詳細指示，請參閱管理零信任封包路由原則。

管理安全屬性

您可以新增、編輯或移除資料庫系統的安全性屬性。如需詳細資訊，請參閱管理資料庫系統的安全屬性。

---

標題與著作權資訊

Copyright ©2024,2025,

Oracle 和 (或) 其關係企業。