Documentación de Oracle Cloud Infrastructure

Managing Security Attributes for Private Endpoints (PE)s

Descubra cómo agregar, mostrar y actualizar atributos de seguridad de enrutamiento de paquetes de confianza cero (ZPR) para puntos finales privados de IA generativa. Los atributos de seguridad son etiquetas que utiliza Zero Trust Packet Routing (ZPR) para identificar recursos y aplicar políticas de ZPR.

Acerca de

Puede proteger un punto final privado de IA generativa con ZPR asignando atributos de seguridad al punto final y definiendo políticas de ZPR que permitan explícitamente el tráfico aprobado.

ZPR se evalúa además de los controles de red tradicionales y de enrutamiento. Para llegar al punto final privado, todos los controles siguientes deben permitir el tráfico:

  • Una ruta válida a la subred de punto final
  • Grupo de seguridad de red (NSG) y reglas de lista de seguridad
  • Políticas de ZPR aplicables
Atención

Si agrega un atributo de seguridad ZPR a un punto final privado, el tráfico al punto final se bloquea a menos que una política ZPR lo permita explícitamente. Cree y valide las reglas de política de ZPR antes (o inmediatamente después) de asignar atributos de seguridad para evitar interrupciones no deseadas.

Términos clave

  • Atributo de seguridad: etiqueta a la que se hace referencia en una política de ZPR para controlar el acceso a los recursos soportados.
  • Espacio de nombres de atributo de seguridad: contenedor de los atributos de seguridad.
  • Lenguaje de política de ZPR (ZPL): sintaxis de política que se utiliza para escribir reglas de ZPR que permiten o deniegan el tráfico de red en función de los atributos de seguridad.
  • Política de ZPR: conjunto de reglas de permiso/denegación, escritas en el lenguaje de política de ZPR (ZPL), que controla qué recursos se pueden comunicar haciendo coincidir sus etiquetas de espacio de nombres/clave/valor de atributos de seguridad.

Configuración

  1. En el servicio ZPR, cree un espacio de nombres de atributo de seguridad y atributos de seguridad, y escriba políticas de ZPR (las políticas de ZPR no son políticas de IAM).
  2. En el servicio de IA generativa, agregue hasta tres atributos de seguridad al punto final privado.
  3. Asegúrese de que el tráfico al punto final está permitido por:
    • Direccionamiento
    • NSG/reglas de lista de seguridad
    • Políticas ZPR

Consulte la documentación de Enrutamiento de paquetes de confianza cero.

Requisitos

Complete las siguientes tareas en el servicio ZPR antes de asignar atributos de seguridad a un punto final privado.

  1. Verificar acceso a IAM: asegúrese de que los administradores o usuarios tengan permisos para gestionar recursos de ZPR (espacios de nombres, atributos y políticas de ZPR). Consulte Políticas de IAM ZPR.

  2. Crear espacio de nombres y atributos: cree un espacio de nombres de atributo de seguridad y, a continuación, cree hasta 3 atributos de seguridad para el diseño.

  3. Escribir políticas de ZPR: utilice el lenguaje de políticas de ZPR (ZPL) para permitir explícitamente el tráfico necesario al punto final privado. Consulte Políticas de ZPR y Sintaxis de políticas.

    Recordatorio: el tráfico también se debe permitir mediante el enrutamiento, el NSG y las listas de seguridad.

  4. Planificar etiquetas de punto final: decida el espacio de nombres/clave/valor que se va a aplicar al punto final privado y confirme que la política ZPR permite el tráfico a ese juego de atributos.

Ejemplo de política ZPR:

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
Consejo

Más información sobre ZPR

En la consola, abra el menú de navegación y seleccione Identidad y seguridad. En Zero Trust Packet Routing, seleccione Overview. Vea los videos y la guía sobre el servicio en esta página.

Agregación de ZPR al crear un PE 🔗

  1. Siga los pasos de Creación de un punto final privado.
  2. En el flujo de creación, amplíe Mostrar atributos de seguridad y, a continuación, amplíe la opción Etiquetas que se muestra para los atributos de seguridad.
  3. Seleccione Agregar atributo de seguridad.
  4. Introduzca la siguiente información:
    • Espacio de nombres de atributo de seguridad
    • Clave de atributo de seguridad
    • Valor de atributo de seguridad
  5. Seleccione Agregar atributo de seguridad para agregar más atributos (hasta un total de 3).
  6. Seleccione Crear.
Nota

Para evitar el bloqueo involuntario del acceso, asegúrese de que las políticas de ZPR estén definidas para permitir el flujo de tráfico previsto al punto final antes de utilizar el punto final en producción. Consulte Requisitos.

Adición o actualización de ZPR en un PE existente 🔗

Siga estos pasos para agregar atributos de seguridad a un punto final existente o para cambiar el espacio de nombres/clave/valor ya aplicado.

  1. En la página de lista Puntos finales privados, seleccione el punto final privado con el que desea trabajar. Si necesita ayuda para buscar la página de lista de puntos finales privados, consulte Listado de puntos finales privados.
  2. En la página de detalles del punto final privado, seleccione el separador Atributos de seguridad.
  3. Seleccione Agregar Atributos de Seguridad.
  4. Introduzca la siguiente información:
    • Espacio de nombres de atributo de seguridad
    • Clave de atributo de seguridad
    • Valor de atributo de seguridad
  5. Vuelva a seleccionar Agregar atributos de seguridad para agregar más atributos (hasta un total de 3).
  6. Cuando haya terminado, seleccione Agregar atributos de seguridad.
Atención

El cambio de atributos de seguridad puede cambiar las políticas de ZPR que se aplican al punto final. Después de cualquier cambio, verifique que las políticas de ZPR permiten el acceso y también mediante reglas de enrutamiento y NSG/lista de seguridad.

Nota de permisos

Para agregar un atributo de seguridad, debe tener permiso para utilizar el espacio de nombres de atributo de seguridad. Para obtener detalles, consulte la documentación de Enrutamiento de paquetes de confianza cero.

Listado de atributos de seguridad

  1. En la página de lista Puntos finales privados, seleccione el punto final privado con el que desea trabajar. Si necesita ayuda para buscar la página de lista de puntos finales privados, consulte Listado de puntos finales privados.
  2. En la página de detalles del punto final privado, seleccione el separador Atributos de seguridad.