Überblick über Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) schützt sensible Daten vor unbefugtem Zugriff über Intent-basierte Sicherheits-Policys, die Sie für die OCI-Ressourcen schreiben, denen Sie Sicherheitsattribute zuweisen. Sicherheitsattribute sind Labels, mit denen ZPR OCI-Ressourcen identifiziert und organisiert. ZPR erzwingt Richtlinien auf Netzwerkebene bei jeder Anforderung des Zugriffs, unabhängig von potenziellen Änderungen oder Fehlkonfigurationen der Netzwerkarchitektur.
ZPR basiert auf vorhandenen Network Security Group-(NSG-) und Security Control List-(SCL-)Regeln. Damit ein Paket ein Ziel erreicht, muss es alle NSG- und SCL-Regeln sowie die ZPR-Policy bestehen. Wenn eine NSG-, SCL- oder ZPR-Regel oder -Policy keinen Traffic zulässt, wird die Anforderung gelöscht.
Sie können Netzwerke mit Zero Trust Packet Routing (ZPR) in drei Schritten sichern:
- Sicherheitsattribut-Namespaces und Sicherheitsattribute erstellen und verwalten
- Policys mit Sicherheitsattributen schreiben, um den Zugriff auf Ressourcen zu kontrollieren
- Sicherheitsattribute auf angegebene Ressourcen anwenden
Geben Sie keine vertraulichen Informationen ein, wenn Sie Cloud-Ressourcen Beschreibungen, Tags, Sicherheitsattribute oder freundliche Namen über die Konsole, die API oder die CLI von Oracle Cloud Infrastructure zuweisen.
So funktioniert Zero Trust Packet Routing
Mit Zero Trust Packet Routing (ZPR) können Sie Sicherheitsattribut-Namespaces erstellen, um Sicherheitsattribute zu organisieren, die Sie erstellen, um den Ressourcen zuzuweisen, die Sie schützen möchten, wie Datenbanken und Compute-Instanzen. Anschließend erstellen Sie mit den Sicherheitsattributen ZPR-Policys mit der Zero Trust Packet Routing Policy Language (ZPL), um Sicherheitsabsichten darüber auszudrücken, wer auf diese Ressourcen zugreifen kann und wohin die Daten gehen können. Die Policy Engine kompiliert das Intent in geeigneten Regeln, die an Policy Enforcement Points angewendet werden.
Zum Beispiel möchte ein Kunde seine sensiblen Daten vor unbefugtem Zugriff und Exfiltration schützen. Der Kunde wendet ein data:sensitive-Sicherheitsattribut auf seine in Datenbanken gespeicherten sensiblen Daten und ein hosts:trusted-Sicherheitsattribut auf seine Frontend-Anwendungen an. Der Kunde schreibt dann eine ZPR-Richtlinie, mit der die Daten vor unbefugtem Zugriff geschützt werden.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsZPR erzwingt die ZPR-Policy auf Netzwerkebene, sodass nur Clients mit dem entsprechenden Sicherheitsattribut hosts:trusted auf Daten mit dem Sicherheitsattribut data:sensitive gemäß der ZPR-Policy zugreifen können.
Wenn ein Client eine Anforderung an die Anwendungsserver stellt, prüft ZPR die Netzwerkpakete auf Sicherheitsattribute. Während die Pakete durch das Netzwerk geleitet werden, prüft der Service die Sicherheitsattribute sowohl in der Quelle als auch im Ziel anhand der ZPR-Richtlinie und blockiert entweder die Anforderung oder lässt die Anforderung basierend auf der ZPR-Richtlinie zu.
Zero Trust Packet Routing - Konzepte
Die folgenden Konzepte sind der Schlüssel zum Verständnis des Zero Trust Packet Routing-(ZPR-)Service.
- Sicherheitsattribut
- Ein Label, das in der ZPR-Policy referenziert werden kann, um den Zugriff auf unterstützte Ressourcen zu kontrollieren.
- Sicherheitsattribut-Namespace
- Ein Container für eine Gruppe von Sicherheitsattributen.
- ZPR-Policy
- Eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden.
- ZPR-Richtliniensprache (ZPL)
- Eine Sprache, in der autorisierte Datenflüsse zwischen Datenquellen durch Auswertung von Sicherheitsattributen definiert werden.
Authentifizierung und Autorisierung
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in IAM integriert werden.
Ein Administrator in der Organisation muss Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Die Policys steuern beispielsweise, wer neue Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen starten, Buckets erstellen, Objekte herunterladen kann, usw. Weitere Informationen finden Sie unter Dokumentation zur Verwendung für Cloud Identity.
- See Zero Trust Packet Routing IAM Policies for details about writing IAM policies for Zero Trust Packet Routing.
- Details zum Schreiben von Policys für andere Services finden Sie in der IAM-Policy-Referenz.
Wenn Sie kein Administrator sind, aber die Oracle Cloud Infrastructure-Ressourcen verwenden müssen, für die Ihr Unternehmen verantwortlich ist, bitten Sie den Administrator, eine Benutzer-ID für Sie einzurichten. Der Administrator kann bestätigen, welche Compartments Sie verwenden sollten.
Möglichkeiten für den Zugriff auf Zero Trust Packet Routing
Auf Zero Trust Packet Routing (ZPR) können Sie über die Konsole (eine browserbasierte Schnittstelle), die Befehlszeilenschnittstelle (CLI) oder die REST-API zugreifen. Anweisungen für die Konsole, CLI und API sind in verschiedenen Themen in dieser Dokumentation enthalten.
Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole zu wechseln, öffnen Sie das Navigationsmenü oben auf dieser Seite, und klicken Sie auf Oracle Cloud-Konsole. Sie werden aufgefordert, einen Cloud-Mandanten, einen Benutzernamen und ein Kennwort einzugeben.
Eine Liste der verfügbaren SDKs finden Sie unter SDKs und die CLI. Allgemeine Informationen zur Verwendung der APIs finden Sie in der REST-API-Dokumentation.
Limits
Erfahren Sie mehr über die Limits pro Ressource für Sicherheitsattribute und die Zeichen, die in Sicherheitsattributzeichenfolgen unterstützt werden.
- Sicherheitsattribute pro Mandant: unbegrenzt
- Sicherheitsattribute pro VCN: 1
- Sicherheitsattribute pro Ressource (außer VCNs): 3
- Anzahl der vordefinierten Werte für einen Sicherheitsattributschlüssel: 100 pro Liste
- Anweisungen pro Policy-Objekt: 50
- Standard-Policy-Objekte pro Mandant: 100
- Anweisungen pro Mandant (für alle Policy-Objekte): 1000
| Ressource | Unterstützte Zeichen | Höchstlänge |
|---|---|---|
| Sicherheitsattribut-Namespace | Druckbare ASCII-Zeichen ohne Punkte (.) und Leerzeichen
|
100 characters |
|
Sicherheitsattribut |
Druckbare ASCII-Zeichen ohne Punkte (.) und Leerzeichen
|
100 characters |
|
Sicherheitsattributwert |
Beliebiges gültiges ASCII- oder Unicode-Zeichen. Das Zeichen muss in einfache Anführungszeichen (') gesetzt sein, wenn der Wert ein aufgelöstes Zeichen (Punkt oder Leerzeichen) aufweist. | 255 characters |
Ressourcen, denen Sicherheitsattribute zugewiesen werden können
In der folgenden Tabelle sind Ressourcen aufgeführt, die Sicherheitsattribute für Zero Trust Packet Routing (ZPR) unterstützen. Diese Tabelle wird aktualisiert, wenn Sicherheitsattributunterstützung für weitere Ressourcen hinzugefügt wird.
| Dienst | Ressourcentypen |
|---|---|
| Compute |
Instanz Instanzkonfigurationen |
| Datenbank |
autonomous-databases Cloud-autonome Cluster cloud-vmclusters Datenbanken db-systems exadb-vm-cluster |
| Load Balancer | Load Balancer |
| Networking |
vcns VNICs PrivateEndpoint |
| Network Load Balancer | Network Load Balancer |
So unterscheidet sich ZPR von IAM
Zero Trust Packet Routing-(ZPR-)Policys sind mit vorhandenen OCI IAM-Policys koexistiert, um einen umfassenderen Sicherheitsstatus zu bieten.
ZPR-Policys und IAM-Policys unterscheiden sich wie folgt:
- Die ZPR-Policy ist ein Steuerelement auf Netzwerkebene (L4), das ähnlich wie Netzwerksicherheitsgruppen (NSG) und Sicherheitslisten ist und Verbindungen zwischen Compute-Instanzen und Datenbanken in einem Mandanten definiert.
- Die IAM-Policy ist eine Policy-Sprache auf Anwendungsebene (L7), die steuert, welche Principals (Gruppen oder Resource Principals) mit bestimmten Berechtigungen auf welche OCI-Ressourcen zugreifen können, nachdem eine Netzwerkschichtverbindung hergestellt wurde.
Der größte Unterschied zwischen der ZPR-Policy und der IAM-Policy besteht darin, dass die ZPR-Policy den Netzwerkaspekt einer Verbindung behandelt, nämlich die Sicherheitsattribute der Quelle und der Ziele (Compute oder Datenbank), die IP-Adresse, das Protokoll und den Port. Die ZPR-Policy versteht oder wertet den Principal, die OCI-Ressourcentypen oder die Berechtigungen nicht aus.
Mit der OCI-Autorisierung, z.B. wenn ein Benutzer eine vorhandene Datenbankinstanz löschen möchte, meldet er sich mit einem OCI-Benutzernamen und -Kennwort bei der OCI-Konsole an (oder verwendet die CLI oder das SDK), und geben Sie den Befehl zum Löschen der OCI-Ressource (Datenbank) aus. An dieser Stelle wird die OCI-IAM-Policy verwendet, um zu entscheiden, ob der Benutzer basierend auf der IAM-Policy über Berechtigungen zum Ausführen dieser Aktion verfügt.
Sowohl die IAM-Policy als auch die ZPR-Policy sind wichtig, und beide können verwendet werden, um einen vollständigeren Sicherheitsstatus zu bieten.
So unterscheidet sich ZPR von anderen Sicherheitsmethoden
Mit einer Sicherheitsliste können Sie ein Set von Sicherheitsregeln definieren und auf alle Ressourcen in einem einzelnen VCN oder Subnetz eines VCN anwenden. Eine Compute-Instanz oder eine andere Ressource kann die Regeln für das Subnetz oder das VCN, das sie für die Konnektivität verwendet, weder aktivieren noch deaktivieren. Weitere Einzelheiten zu Sicherheitslisten finden Sie unter Sicherheitslisten.
Mit einer Netzwerksicherheitsgruppe (NSG) können Sie ein Set von Sicherheitsregeln definieren und auf eine Gruppe ausgewählter virtueller Netzwerkkarten (VNICs) in einem VCN anwenden. Die VNICs können sich in verschiedenen Subnetzen befinden, und einige VNICs in einem Subnetz können nur eine Sicherheitsliste verwenden, während andere sowohl eine Sicherheitsliste als auch eine NSG verwenden. Eine NSG verwendet Regeln, die in ihrer Struktur mit Sicherheitslisten übereinstimmen. Eine VNIC kann so festgelegt werden, dass sie einer NSG auf der Seite mit den Verwaltungsdetails der VNIC in der Konsole beitritt oder diese verlässt. Sie können jedoch keine VNIC auf der Verwaltungsseite der NSG in der Konsole hinzufügen oder entfernen. Weitere Information zu NSGs finden Sie unter Netzwerksicherheitsgruppen. Einen detaillierteren Vergleich von Sicherheitslisten und NSGs finden Sie unter Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.
Mit der ZPR-Policy können Sie ein Set von Sicherheitsregeln definieren und auf eine größere Vielfalt von Ressourcen anwenden, die nicht unbedingt alle in einem einzelnen VCN vorhanden sind. Daher ist Ihr Sicherheitsstatus noch weniger an die Struktur Ihres Netzwerks gebunden. Die möglichen Regeln können detaillierter und komplexer sein und die von NSGs und Sicherheitslisten verwendete Struktur nicht gemeinsam verwenden. Sie können eine Ressource so einstellen, dass sie eine ZPR-Policy verwendet, indem Sie ihr auf der Seite "Geschützte Ressourcen" in der Konsole ein Sicherheitsattribut hinzufügen. Alternativ können Sie eine Ressource auf der Detailseite der ZPR-Policy in der Konsole hinzufügen oder entfernen.
| Sicherheitsmethode | Gilt für | Aktivieren oder deaktivieren | Einschränkungen |
|---|---|---|---|
| Sicherheitsliste | Alle VNICs in einem Subnetz oder VCN | Nicht verfügbar | Maximal fünf Sicherheitslisten pro Subnetz |
| Netzwerksicherheitsgruppen | Ausgewählte VNICs in einem VCN | Von der Seite "VNIC-Details" | Maximal fünf NSGs pro VNIC |
| Zero Trust Packet Routing | Ausgewählte Ressourcen (VNICs und andere Ressourcentypen) in mindestens einem VCN | Mit einem Sicherheitsattribut, das auf die Ressource angewendet wird | Maximal drei ZPR-Sicherheitsattribute pro Ressource |
Mit ZPR-Policys können Sie Sicherheitsattribute direkt auf die VNIC oder andere Ressourcen anwenden, die Sie verwalten und definieren ZPR-Policys, die auf die folgenden Elemente verweisen:
- Sicherheitsattribute
- Der Host, der die Anfrage stellt
- Das Netzwerk, in dem die Anforderung ausgeführt wird
- Gibt an, ob eine Aktion zulässig ist
Traffic, der von der Policy nicht zulässig ist, kann nicht im Netzwerk übertragen werden. Jede Ressource, auf die das Sicherheitsattribut angewendet wird, unterliegt den ZPR-Policys, die es referenzieren. Eine Ressource kann maximal drei Sicherheitsattribute aufweisen.
Wir empfehlen die Verwendung von ZPR, da Sie mit ZPR detailliertere Sicherheitsanforderungen definieren können. Weitere Informationen finden Sie unter Wenn Sie Zero Trust Packet Routing mit anderen Sicherheitsmethoden verwenden.
Vorteile von ZPR gegenüber NSGs
- Eine Sicherheitsliste oder NSG kann nicht auf mehrere VCN angewendet werden. Eine ZPR-Policy kann jedoch auf mehrere VCN angewendet werden, indem dasselbe Sicherheitsattribut auf mehrere VCNs angewendet wird.
- Sie können keine Ressource (die einen Endpunkt oder eine VNIC verwendet) zu einer NSG hinzufügen, wenn Sie diese NSG verwalten. Dies können Sie mit einer ZPR-Richtlinie tun.
- Eine ZPR-Policy kann komplexer sein als eine Sicherheitsregel, die von einer Sicherheitsliste oder NSG verwendet wird.
- ZPR-Richtlinien und Sicherheitsattribute trennen die Netzwerkarchitektur von der Netzwerksicherheit. Das heißt, wenn Sie die Netzwerkarchitektur ändern müssen (z.B. eine neue Anwendung hinzufügen), riskieren Sie nicht, die Netzwerksicherheit zu beeinträchtigen.
Wenn Sie Zero Trust Packet Routing mit anderen Sicherheitsmethoden verwenden
Jede VNIC oder jeder Endpunkt muss über VCN- oder Subnetzsicherheitslistenregeln verfügen, mit denen sie kommunizieren kann. Eine NSG kann zusätzlich zu den Sicherheitslistenregeln für ausgewählte Ressourcen an einer beliebigen Stelle in einem VCN weitere Regeln hinzufügen. Eine ZPR-Policy kann sowohl über Sicherheitslisten als auch über NSG-Regeln geschichtet werden, oder die ZPR-Policy kann zusätzlich zu einer Sicherheitsliste allein erfolgen.
Das folgende Diagramm ist eine Darstellung der Idee.
Wenn Sie ZPR mit NSGs und Sicherheitslisten verwenden, umfassen die Regeln, die für eine bestimmte Ressource gelten, die folgenden Elemente:
- Zero Trust Packet Routing-Richtlinien
- Sicherheitsregeln in allen NSGs, zu denen die VNIC der Ressource gehört
- In der Sicherheit werden Regeln aufgelistet, die für alle VNICs oder Endpunkte im VCN oder Subnetz relevant sind (jede VNIC oder jeder Endpunkt hat mindestens eine relevante Sicherheitsliste)