OCI Zero Trust Packet Routing 特性

设置敏感资源的安全属性

OCI Zero Trust Packet Routing 使用安全属性（基本元数据）来识别和整理资源。通过 OCI ZPR，您可以为 OCI 资源（例如数据库和计算实例）分配安全属性。然后，您可以创建引用这些安全属性的 OCI ZPR 策略。这些策略在网络层实施，禁止流量通过任何未经授权的路径。

用自然语言编写网络安全策略

OCI ZPR 的策略语言支持您轻松创建规则，指定哪些资源可以进行通信。OCI ZPR 策略引用有关正在访问的特定数据资源及其包含的安全属性的元数据。策略只允许特定发起者（例如计算实例）访问特定数据资源。如果授权请求尝试访问该特定路径之外的资源，则相关请求将无法通过。

尽管具有可猜测凭证的未受保护的数据库可能会在几分钟内被攻破，您仅需一行 OCI ZPR 策略就可以帮助防止数据库泄露。

将网络安全与网络架构分离

由于保护和审计网络配置点非常复杂，因此使用基于传统网络架构的安全方法非常耗时。此外，实施安全策略的责任将会转移到网络团队，但很多时候，网络团队的典型目标（也就是低延迟和高可用性）与安全目标并不一致。OCI Zero Trust Packet Routing 可将网络安全与网络架构分离，帮助安全团队编写在网络层实施的策略，从而应对这些挑战。OCI ZPR 可显著降低复杂性，不仅让网络管理员运行平面网络，同时也让安全团队可以按计划保护资源。

简化合规管理

OCI ZPR 可针对资源制定基于清晰意图的策略和安全属性，帮助企业更轻松地响应审计和合规需求。如果没有 OCI ZPR，但是想要了解访问权限，您就需要审计员来审查子网、CIDR 块、路由表、安全组、网络 ACL、基于 IP、端口和协议的规则以及定义入口和出口限制的防火墙规则。OCI ZPR 减轻了分析并了解哪些主机和服务可以相互通信所需的工作量。

审计师可以放心，即便网络配置改变了，这些安全策略仍适用于所有贴有正确标签的资源。