Zero Trust Packet Routingポリシーの管理
Zero Trust Packet Routing (ZPR)ポリシーを作成および管理します。
ZPRポリシーは、セキュリティ属性で識別される特定のエンドポイント間の通信を制御するルールです。ZPRポリシーは、テナンシのルート・コンパートメントにのみ作成できます。ZPRポリシーを作成するには、いくつかのオプションがあります。
- シンプルなポリシー・ビルダーでは、セキュリティ属性で識別されるリソースの事前移入されたリストから選択して、2つのエンドポイント間のセキュリティ・インテントを表現できます。ポリシー・ビルダーは、正しい構文を使用してポリシー・ステートメントを自動的に生成します。
- ポリシー・テンプレート・ビルダーでは、ZPRポリシーを作成するためにカスタマイズできる事前入力済のZPRポリシー・ステートメントを提供する一般的なユース・ケース・シナリオに基づいて、テンプレートのリストから選択できます。
- 手動ポリシー・ビルダーでは、自由形式のポリシーを入力できます。
コンソールでのZPRポリシーの変更の適用には最大5分かかる場合があります。
ポリシー・テンプレート・ビルダー
ポリシー・テンプレート・ビルダーに含まれるポリシー・テンプレートは、一般的なユースケースに必要なサンプル構文を提供します。
ポリシー・テンプレート・ビルダーのポリシーは、次の項で構成されています。
| 使用例 | ポリシー | ノート |
|---|---|---|
| コンピュート・インスタンスがすべてのポートおよびプロトコルで別のコンピュート・インスタンスに接続できるようにします。 | <security attribute of VCN> VCNで、<security attribute of source-compute>エンドポイントが<security attribute of target-compute>エンドポイントに接続できるようにします |
ありません。 |
| コンピュート・インスタンスがSSHを介して別のコンピュート・インスタンスに接続できるようにします。 | <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/22'を使用して<security attribute of target-compute>エンドポイントに接続できます |
ありません。 |
| コンピュートによるデータベース・サービスへの接続を許可します。 | <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます |
ありません。 |
| 使用例 | ポリシー | ノート |
|---|---|---|
| SSHアクセス、データベース・クライアント・アクセス、Object Storage Access、Vault、Data Safeおよびその他のOCIサービス・アクセス、Real Application Clusters (RAC)およびData Guardのデータベース・サービスを有効化する |
|
このポリシーにより、VMクラスタはクライアント接続を受け入れてOSNサービスに接続し、Data GuardプライマリとスタンバイVM-Cluster間で接続できます。 このポリシーは、コンピュート・クライアントとData Guardプライマリが同じVCN内にあることを前提としています。 Data GuardプライマリおよびスタンバイのVM-Clusterリソースにデータベース・サービスのセキュリティ属性を適用します。 |
| Data GuardクロスVCNまたはリージョン | <security attribute of VCN> VCNで、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<Standby VCN CIDR> に接続できるようにします |
このポリシーにより、コンピュート・クライアントはData GuardスタンバイVCNに接続できます。 |
| Data GuardクロスVCNまたはリージョン | <security attribute of Standby VCN> VCNで、<security attribute of database service>エンドポイントが'osn-services-ip-addresses'に接続できるようにします |
このポリシーにより、Data GuardスタンバイはOSNサービスに接続できます。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、Data Guardプライマリは、CIDR (各VCNのエグレスとイングレスの両方)を使用してData Guardスタンバイに接続できます。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、Data GuardスタンバイはCIDRを使用してData Guardプライマリに接続できます。 |
| 使用例 | ポリシー | ノート |
|---|---|---|
| すべてのシナリオ(バックアップおよびData Guardを含む)のデータベース・サービスを有効にします。 |
|
VM-Clusterプロビジョニング、バックアップ/リストア、KMS、パッチ適用、DPイベント、Oracle RAC Data GuardプライマリおよびスタンバイのOracle Base Database Serviceリソースにデータベース・サービスのセキュリティ属性を適用します。 |
| RACサポート |
|
ありません。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、コンピュート・クライアントはData GuardスタンバイVCNに接続できます。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、Data GuardスタンバイはOSNサービスに接続できます。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、Data Guardプライマリは、CIDR (各VCNのエグレスとイングレスの両方)を使用してData Guardスタンバイに接続できます。 |
| Data GuardクロスVCNまたはリージョン |
|
このポリシーにより、Data GuardスタンバイはCIDRを使用してData Guardプライマリに接続できます。 |
| 使用例 | ポリシー | ノート |
|---|---|---|
| コンピュートによるAutonomous Databaseへの接続を許可します。 | <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます |
ありません。 |
| 使用例 | ポリシー | ノート |
|---|---|---|
| すべてのシナリオ(バックアップおよびData Guardを含む)のデータベース・サービスを有効にします。 | <security attribute of VCN> VCNでは、<security attribute of source-compute>エンドポイントがprotocol='tcp/1521'を使用して<security attribute of database service>エンドポイントに接続できます |
ありません。 |