Oracle Cloud Infrastructure-Dokumentation

Managing Security Attributes for Private Endpoints (PE)s

Erfahren Sie, wie Sie Zero Trust Packet Routing-(ZPR-)Sicherheitsattribute für private Endpunkte mit generativer KI hinzufügen, auflisten und aktualisieren. Sicherheitsattribute sind Labels, die von Zero Trust Packet Routing (ZPR) verwendet werden, um Ressourcen zu identifizieren und ZPR-Policys durchzusetzen.

Info

Sie können einen privaten Endpunkt für generative KI mit ZPR sichern, indem Sie dem Endpunkt Sicherheitsattribute zuweisen und ZPR-Policys definieren, die explizit genehmigten Traffic zulassen.

ZPR wird zusätzlich zu Routing und herkömmlichen Netzwerkkontrollen ausgewertet. Um den privaten Endpunkt zu erreichen, muss Traffic von allen folgenden Steuerelementen zugelassen werden:

  • Eine gültige Route zum Endpunktsubnetz
  • Netzwerksicherheitsgruppe (NSG) und Sicherheitslistenregeln
  • Anwendbare ZPR-Policys
Achtung

Wenn Sie einem privaten Endpunkt ein ZPR-Sicherheitsattribut hinzufügen, wird der Traffic zum Endpunkt blockiert, es sei denn, eine ZPR-Policy lässt dies explizit zu. Erstellen und validieren Sie Ihre ZPR-Policy-Regeln, bevor (oder unmittelbar nach) Sie Sicherheitsattribute zuweisen, um unbeabsichtigte Ausfälle zu vermeiden.

Wichtige Begriffe

  • Sicherheitsattribut: Ein Label, das in einer ZPR-Policy referenziert wird, um den Zugriff auf unterstützte Ressourcen zu kontrollieren.
  • Sicherheitsattribut-Namespace: Ein Container für die Sicherheitsattribute.
  • ZPR-Policy-Sprache (ZPL): Die Policy-Syntax, mit der Sie ZPR-Regeln schreiben, die Netzwerkverkehr basierend auf Sicherheitsattributen zulassen oder ablehnen.
  • ZPR-Policy: Eine Gruppe von Zulassungs-/Ablehnungsregeln, die in der ZPR-Policy-Sprache (ZPL) geschrieben sind und steuern, welche Ressourcen kommunizieren können, indem sie ihre Sicherheitsattribut-Namespace-/Schlüssel-/Wertlabels abgleichen.

Voreinstellungen

  1. Erstellen Sie im ZPR-Service einen Sicherheitsattribut-Namespace und Sicherheitsattribute, und schreiben Sie ZPR-Policys (ZPR-Policys sind nicht IAM-Policys).
  2. Fügen Sie im Service für generative KI bis zu drei Sicherheitsattribute zum privaten Endpunkt hinzu.
  3. Stellen Sie sicher, dass Traffic zum Endpunkt zulässig ist durch:
    • Arbeitsplan
    • NSG-/Sicherheitslistenregeln
    • ZPR-Richtlinien

Weitere Informationen finden Sie in der Dokumentation zu Zero Trust Packet Routing.

Voraussetzungen

Führen Sie die folgenden Aufgaben im ZPR-Service aus, bevor Sie Sicherheitsattribute einem privaten Endpunkt zuweisen.

  1. IAM-Zugriff prüfen: Stellen Sie sicher, dass Administratoren oder Benutzer über Berechtigungen zum Verwalten von ZPR-Ressourcen (Namespaces, Attribute und ZPR-Policys) verfügen. Siehe ZPR-IAM-Policys.

  2. Namespace und Attribute erstellen: Erstellen Sie einen Sicherheitsattribut-Namespace, und erstellen Sie dann bis zu 3 Sicherheitsattribute für das Design.

  3. ZPR-Policys schreiben: Verwenden Sie die ZPR-Policy-Sprache (ZPL), um den erforderlichen Traffic explizit zum privaten Endpunkt zuzulassen. Siehe ZPR-Policys und Policy-Syntax.

    Erinnerung: Traffic muss auch durch Routing-, NSG- und Sicherheitslisten zulässig sein.

  4. Endpunktlabels planen: Entscheiden Sie, welcher Namespace/Schlüssel/Wert auf den privaten Endpunkt angewendet werden soll, und bestätigen Sie, dass die ZPR-Policy Traffic zu diesem Attributset zulässt.

ZPR-Beispiel-Policy:

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
Tipp

Weitere Informationen zu ZPR

Rufen Sie in der Konsole das Navigationsmenü auf, und wählen Sie Identität & Sicherheit aus. Wählen Sie unter Zero Trust Packet Routing die Option Überblick aus. Sehen Sie sich die Videos und Anleitungen zum Service auf dieser Seite an.

ZPR beim Erstellen einer PE hinzufügen🔗

  1. Befolgen Sie die Schritte unter Privaten Endpunkt erstellen.
  2. Blenden Sie im Erstellungsablauf Sicherheitsattribute anzeigen ein, und blenden Sie dann die Option Tags ein, die für die Sicherheitsattribute angezeigt wird.
  3. Wählen Sie Sicherheitsattribut hinzufügen aus.
  4. Geben Sie folgende Informationen ein:
    • Sicherheitsattribut-Namespace
    • Sicherheitsattributschlüssel
    • Sicherheitsattributwert
  5. Wählen Sie Sicherheitsattribut hinzufügen aus, um weitere Attribute hinzuzufügen (bis zu 3 insgesamt).
  6. Wählen Sie Erstellen aus.
Hinweis

Um einen unbeabsichtigten Sperrzugriff zu vermeiden, stellen Sie sicher, dass die ZPR-Policys so definiert sind, dass der beabsichtigte Trafficfluss zum Endpunkt zugelassen wird, bevor Sie den Endpunkt in der Produktion verwenden. Siehe Voraussetzungen.

ZPR in einer vorhandenen PE hinzufügen oder aktualisieren 🔗

Führen Sie diese Schritte aus, um einem vorhandenen Endpunkt Sicherheitsattribute hinzuzufügen oder den bereits angewendeten Namespace/Schlüssel/Wert zu ändern.

  1. Wählen Sie auf der Listenseite Private Endpunkte den privaten Endpunkt aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite für private Endpunkte benötigen, finden Sie weitere Informationen unter Private Endpunkte auflisten.
  2. Wählen Sie auf der Detailseite des privaten Endpunkts die Registerkarte Sicherheitsattribute aus.
  3. Wählen Sie Sicherheitsattribute hinzufügen aus.
  4. Geben Sie folgende Informationen ein:
    • Sicherheitsattribut-Namespace
    • Sicherheitsattributschlüssel
    • Sicherheitsattributwert
  5. Wählen Sie erneut Sicherheitsattribute hinzufügen aus, um weitere Attribute hinzuzufügen (bis zu 3 insgesamt).
  6. Wählen Sie abschließend Sicherheitsattribute hinzufügen aus.
Achtung

Durch das Ändern von Sicherheitsattributen kann geändert werden, welche ZPR-Policys für den Endpunkt gelten. Überprüfen Sie nach jeder Änderung, ob der Zugriff durch ZPR-Policys sowie durch Routing- und NSG-/Sicherheitslistenregeln zulässig ist.

Berechtigungshinweis

Um ein Sicherheitsattribut hinzuzufügen, benötigen Sie die Berechtigung zur Verwendung des Sicherheitsattribut-Namespace. Weitere Informationen finden Sie in der Dokumentation zu Zero Trust Packet Routing.

Sicherheitsattribute auflisten

  1. Wählen Sie auf der Listenseite Private Endpunkte den privaten Endpunkt aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite für private Endpunkte benötigen, finden Sie weitere Informationen unter Private Endpunkte auflisten.
  2. Wählen Sie auf der Detailseite des privaten Endpunkts die Registerkarte Sicherheitsattribute aus.