Zero Trust Packet Routing-Richtlinie

Eine Policy ist ein Container für eine Gruppe von Policy-Anweisungen. Eine Policy-Anweisung ist eine Regel, die angibt, wer auf welche Ressource und wie zugreifen kann. Die Zero Trust Packet Routing-(ZPR-)Policy basiert auf einem attributbasierten Zugriffskontroll-(ABAC-)Autorisierungsmodell, das Attribute (oder Eigenschaften) auswertet, um den Zugriff auf Ressourcen zu bestimmen. Dieser Ansatz unterscheidet sich von OCI IAM (siehe Wie sich ZPR von IAM unterscheidet). ZPR-Policys sind darauf ausgelegt, eine "attributebasierte Zugriffskontrolle" zu erreichen, bei der die Sicherheitsattribute von Quelle, Ziel und Netzwerk bei der Bewertung der Policy mit der Zero Trust Packet Routing Policy Language (ZPL) berücksichtigt werden.

Mit ZPL können Sie Policy-Anweisungen schreiben, die darauf ausgerichtet sind, Clientendpunkten mit Sicherheitsattributen den Zugriff auf andere Endpunkte zu ermöglichen. ZPL unterstützt die folgenden Typen von Allow-Anweisungen in Bezug auf die Kommunikation mit, von und innerhalb einzelner VCNs, die durch ihre Sicherheitsattribute identifiziert werden:

• Kommunikation zwischen zwei Endpunkten in einem VCN zulassen
• Ingress von einer Quelle außerhalb des VCN an einen Endpunkt im VCN zulassen
• Egress-Traffic zu einem Ziel außerhalb des VCN von einem Endpunkt im VCN zulassen

Beispiel: Mit der folgenden Policy-Anweisung können apps:hr-apps-Hosts jede OCI-Ressource mit dem Sicherheitsattribut apps:hr-app-data lesen:

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

Beim Ingress- oder Egress-Traffic außerhalb des VCN muss die ZPR-Policy die Clients referenzieren, indem IP-Adressen anstelle von Sicherheitsattributen verwendet werden. Sicherheitsattribute können nur verwendet werden, wenn sie sich auf Endpunkte im selben VCN beziehen.

Beispiel: Wenn Sie einem Client im VCN networks:net1 den Zugriff auf eine Compute-Instanz oder -Datenbank in einem anderen VCN gestatten müssen, müssen Sie die Ziele im anderen VCN mit IP-Adressen referenzieren:

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Um ZPR-Policys zu erstellen, müssen Sie zunächst Sicherheitsattribute erstellen. Sicherheitsattribute werden bei der Bewertung der ZPR-Policy berücksichtigt. Nachdem Sie Sicherheitsattribute erstellt haben, prüfen Sie die ZPR-Policy-Syntax, und prüfen Sie dann die Optionen zum Erstellen einer Policy mit Policy-Buildern. Weitere Informationen zu ZPR-Policys finden Sie unter Beispiele.

Nachdem Sie Sicherheitsattribute und ZPR-Policys erstellt haben, können Sie die Sicherheitsattribute auf Ressourcen anwenden.

Informationen zu den Ressourcentypen, die Sie in ZPR-Policys verwenden können, finden Sie unter Ressourcen, denen Sicherheitsattribute zugewiesen werden können.