OCI Zero Trust Packet Routing은 보안 속성(기본적으로 메타데이터)을 사용하여 리소스를 식별하고 구성합니다. OCI ZPR을 사용하면 데이터베이스 및 컴퓨팅 인스턴스 등의 OCI 리소스에 보안 속성을 할당할 수 있습니다. 이후 할당한 보안 속성을 참조하는 OCI ZPR 정책을 생성할 수 있습니다. 이러한 정책은 네트워크 계층에서 적용되며 허용되지 않은 경로를 통한 트래픽은 차단됩니다.
OCI ZPR의 정책 언어를 사용하면 통신이 허용되는 리소스를 구체적으로 지정해 주는 규칙을 간단히 생성할 수 있습니다. OCI ZPR 정책은 액세스 대상으로 지정된 특정 데이터 리소스와 그 리소스에 포함된 보안 속성에 대한 메타데이터를 참조합니다. 정책은 특정 발신자(예: 컴퓨팅 인스턴스)로부터 특정 데이터 리소스에 대한 액세스만 허용합니다. 승인된 요청이 특정 경로를 벗어나 리소스에 액세스하려고 시도하면 해당 요청은 실패합니다.
추측 가능한 인증서로 인해 제대로 보호받지 못하는 데이터베이스는 단 몇 분 만에 침투당할 수 있지만, OCI ZPR 정책 단 한 줄만으로도 데이터베이스 노출을 방지할 수 있습니다.
기존의 네트워크 아키텍처 기반 보안 접근 방식은 네트워크 구성 지점의 보안 및 감사가 매우 복잡하므로 많은 시간이 소요됩니다. 또한 보안 정책을 구현해야 하는 책임이 네트워크팀에 전가됩니다. 보안 목표는 지연 시간 단축 및 고가용성이라는 네트워크 담당자들의 일반적인 목표와 항상 일치하지는 않습니다. OCI Zero Trust Packet Routing은 네트워크 보안을 네트워크 아키텍처에서 분리하여 보안팀이 네트워크 계층에서 시행되는 정책을 작성할 수 있도록 지원함으로써 이러한 문제를 해결해 줍니다. OCI ZPR은 복잡성을 획기적으로 줄임으로써 네트워크 관리자가 플랫 네트워크를 운영하고, 보안팀은 정책의 의도대로 리소스를 보호할 수 있도록 지원합니다.
OCI ZPR은 리소스에 적용되는 명확한 의도 기반 정책과 보안 속성을 설정하여 감사 및 규제 준수 대응을 더 쉽게 할 수 있도록 도와줍니다. OCI ZPR을 사용하면 감사자가 액세스를 이해하기 위해 서브넷, CIDR 블록, 라우팅 테이블, 보안 그룹, 네트워크 ACL, IP, 포트 및 프로토콜 기반 규칙, 수신 및 송신 제한을 정의하는 방화벽 규칙 등을 직접 검토하지 않아도 됩니다. OCI ZPR은 어떤 호스트와 서비스가 서로 통신할 수 있는지 분석하고 이해하는 데 드는 노력을 줄여줍니다.
감사자는 네트워크 구성이 변경되더라도 보안 정책이 적절하게 레이블이 지정된 모든 리소스에 적용될 것이라는 확신을 얻을 수 있습니다.