Zero Trust Packet Routing-Richtlinie
Eine Zero Trust Packet Routing-Policy erzwingt die Zugriffskontrolle basierend auf den Sicherheitsattributen, die auf Ressourcen angewendet werden, die an einem Zugriffsversuch beteiligt sind.
Eine Policy ist ein Container für eine Gruppe von Policy-Anweisungen. Eine Policy-Anweisung ist eine Regel, die angibt, wer auf welche Ressource und wie zugreifen kann. Die Zero Trust Packet Routing-(ZPR-)Policy basiert auf einem attributbasierten Zugriffskontroll-(ABAC-)Autorisierungsmodell, das Attribute (oder Eigenschaften) auswertet, um den Zugriff auf Ressourcen zu bestimmen. Dieser Ansatz unterscheidet sich von OCI IAM (siehe Wie sich ZPR von IAM unterscheidet). ZPR-Policys sind darauf ausgelegt, eine "attributebasierte Zugriffskontrolle" zu erreichen, bei der die Sicherheitsattribute von Quelle, Ziel und Netzwerk bei der Bewertung der Policy mit der Zero Trust Packet Routing Policy Language (ZPL) berücksichtigt werden.
Mit ZPL können Sie Policy-Anweisungen schreiben, die darauf ausgerichtet sind, Clientendpunkten mit Sicherheitsattributen den Zugriff auf andere Endpunkte zu ermöglichen.
ZPR-Policys richten keine Peering-Beziehungen zwischen VCNs ein. Informationen zum Peering zweier VCNs in derselben Region finden Sie unter Lokales VCN-Peering mit lokalen Peering-Gateways oder Lokales VCN-Peering über ein upgegradetes DRG. Informationen zum Peering zweier VCNs in verschiedenen Regionen finden Sie unter Remote-VCN-Peering über ein upgegradetes DRG.
ZPL unterstützt die folgenden Typen von Zulassungsanweisungen in Bezug auf die Kommunikation mit, von und innerhalb einzelner VCNs, die durch ihre Sicherheitsattribute identifiziert werden:
- Traffic zwischen zwei Endpunkten in einem VCN zulassen
- Traffic zwischen Endpunkten in verschiedenen VCNs in derselben Region zulassen
Beispiel: Mit der folgenden Policy-Anweisung können apps:hr-apps-Hosts jede OCI-Ressource lesen, bei der das Sicherheitsattribut apps:hr-app-data auf sie innerhalb desselben VCN angewendet wird:
in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpointsMit der folgenden Policy-Anweisung können networks:net1:App1-Endpunkte im networks:net1-VCN eine Verbindung zu DB-Server:App1-Endpunkten im networks:net2-VCN herstellen, wenn sich beide VCNs in derselben Region befinden:
allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCNUm Traffic zwischen Endpunkten in verschiedenen VCNs zuzulassen, die sich nicht in derselben Region befinden, oder VCNs in derselben Region, denen keine Sicherheitsattribute zugewiesen sind, müssen Sie CIDR oder eine IP-basierte Policy verwenden. Beispiel: Wenn Sie zulassen müssen, dass ein Client im VCN networks:net1 auf eine Compute-Instanz oder Datenbank in einem anderen VCN in einer anderen Region zugreift, müssen Sie IP-Adressen verwenden, um die Ziele im anderen VCN zu referenzieren:
in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'Um ZPR-Policys zu erstellen, müssen Sie zunächst Sicherheitsattribute erstellen. Sicherheitsattribute werden bei der Bewertung der ZPR-Policy berücksichtigt. Nachdem Sie Sicherheitsattribute erstellt haben, prüfen Sie die ZPR-Policy-Syntax, und prüfen Sie dann die Optionen zum Erstellen einer Policy mit Policy-Buildern. Weitere Informationen zu ZPR-Policys finden Sie unter Beispiele.
Sie müssen OCI-Ressourcen Sicherheitsattribute hinzufügen, damit die ZPR-Policy wirksam wird.
Nachdem Sie Sicherheitsattribute und ZPR-Policys erstellt haben, können Sie Ressourcen die Sicherheitsattribute hinzufügen.
Informationen zu den Ressourcentypen, die Sie in ZPR-Policys verwenden können, finden Sie unter Ressourcen, denen Sicherheitsattribute zugewiesen werden können.