Visión general de Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege los datos confidenciales del acceso no autorizado a través de políticas de seguridad basadas en intenciones que escribe para los recursos de OCI a los que asigna los atributos de seguridad. Los atributos de seguridad son etiquetas que ZPR utiliza para identificar y organizar los recursos de OCI. ZPR aplica la política en el nivel de red cada vez que se solicita acceso, independientemente de posibles cambios en la arquitectura de red o configuraciones incorrectas.
ZPR se crea sobre las reglas existentes de grupo de seguridad de red (NSG) y lista de control de seguridad (SCL). Para que un paquete alcance un destino, debe pasar todas las reglas NSG y SCL, y la política ZPR. Si alguna regla o política NSG, SCL o ZPR no permite el tráfico, se borra la solicitud.
Puede proteger redes con enrutamiento de paquetes de confianza cero (ZPR) en tres pasos:
- Crear y gestionar espacios de nombres de atributos de seguridad y atributos de seguridad
- Escribir políticas mediante atributos de seguridad para controlar el acceso a los recursos
- Aplicar atributos de seguridad a recursos especificados
Evite introducir información confidencial al asignar descripciones, etiquetas, atributos de seguridad o nombres fáciles de recordar a los recursos en la nube mediante la consola, API o CLI de Oracle Cloud Infrastructure.
Funcionamiento del enrutamiento de paquetes de confianza cero
Con Zero Trust Packet Routing (ZPR), puede crear espacios de nombres de atributos de seguridad para organizar atributos de seguridad que cree para asignar a los recursos que desea proteger, como bases de datos e instancias informáticas. A continuación, con los atributos de seguridad, puede crear políticas ZPR mediante el lenguaje de política de enrutamiento de paquetes de confianza cero (ZPL) para expresar la intención de seguridad sobre quién puede acceder a esos recursos y dónde pueden ir los datos. El motor de políticas compila la intención en reglas adecuadas que se aplican en los puntos de aplicación de políticas.
Por ejemplo, un cliente desea proteger sus datos confidenciales del acceso y la filtración no autorizados. El cliente aplica un atributo de seguridad data:sensitive a sus datos confidenciales almacenados en bases de datos y un atributo de seguridad hosts:trusted a sus aplicaciones de front-end. A continuación, el cliente escribe una política de ZPR que protege los datos de cualquier acceso no autorizado.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsZPR aplica la política ZPR en el nivel de red para que solo aquellos clientes con el atributo de seguridad hosts:trusted adecuado puedan acceder a los datos con el atributo de seguridad data:sensitive de acuerdo con la política ZPR.
Cuando un cliente realiza una solicitud a los servidores de aplicaciones, ZPR comprueba los paquetes de red en busca de atributos de seguridad. A medida que los paquetes se enrutan a través de la red, el servicio comprueba los atributos de seguridad tanto en el origen como en el destino con respecto a la política ZPR y bloquea la solicitud o permite la solicitud según la política ZPR.
Conceptos de enrutamiento de paquetes de confianza cero
Los siguientes conceptos son clave para comprender el servicio de enrutamiento de paquetes de confianza cero (ZPR).
- atributo de seguridad
- Etiqueta a la que se puede hacer referencia en la política ZPR para controlar el acceso a los recursos admitidos.
- espacio de nombre de atributo de seguridad
- Un contenedor para un juego de atributos de seguridad.
- Política de ZPR
- Regla que rige la comunicación entre puntos finales específicos identificados por sus atributos de seguridad.
- Lenguaje de política ZPR (ZPL)
- Lenguaje que define flujos de datos autorizados entre orígenes de datos mediante la evaluación de atributos de seguridad.
Autenticación y autorización
Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).
Un administrador de la organización debe definir grupos, compartimentos y políticas que controlen qué usuarios pueden acceder a qué servicios, qué recursos y el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear nuevos usuarios, crear y gestionar la red en la nube, iniciar instancias, crear cubos, descargar objetos, etc. Para obtener más información, consulte Documentación para utilizar para la identidad en la nube.
- Consulte Políticas de IAM de enrutamiento de paquetes de confianza cero para obtener detalles sobre la escritura de políticas de IAM para el enrutamiento de paquetes de confianza cero.
- Para obtener detalles sobre la escritura de políticas de otros servicios, consulte la referencia de políticas de IAM.
Si no es un administrador pero necesita utilizar los recursos de Oracle Cloud Infrastructure que posee su compañía, póngase en contacto con él para configurar su ID de usuario. El administrador puede confirmar qué compartimento o compartimentos debería utilizar.
Formas de acceder al enrutamiento de paquetes de confianza cero
Puede acceder al enrutamiento de paquetes de confianza cero (ZPR) mediante la consola (una interfaz basada en explorador), la interfaz de línea de comandos (CLI) o la API de REST. En esta guía se incluyen instrucciones para la consola, la CLI y la API.
Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú de navegación en la parte superior de esta página y haga clic en Consola de Oracle Cloud. Se le pedirá que introduzca un inquilino en la nube, un nombre de usuario y una contraseña.
Para obtener una lista de los SDK disponibles, consulte Los SDK y la CLI. Para obtener información general sobre el uso de la API, consulte la documentación de la API de REST.
Límites
Obtenga información sobre los límites por recurso en los atributos de seguridad y qué caracteres están soportados en las cadenas de atributos de seguridad.
- Atributos de seguridad por arrendamiento: ilimitados
- Atributos de seguridad por VCN: 1
- Atributos de seguridad por recurso (distintos de las redes virtuales en la nube): 3
- Número de valores predefinidos para una clave de atributo de seguridad: 100 por lista
- Sentencias por objeto de política: 50
- Objetos de política por defecto por arrendamiento: 100
- Sentencias por arrendamiento (en todos los objetos de política): 1000
| Recurso | Caracteres soportados | Longitud Máxima |
|---|---|---|
| Espacio de nombres de atributo de seguridad | ASCII imprimibles, excluidos puntos (.) y espacios
|
100 caracteres |
|
Atributo de seguridad |
ASCII imprimibles, excluidos puntos (.) y espacios
|
100 caracteres |
|
Valor de atributo de seguridad |
Cualquier carácter ASCII o Unicode válido. El carácter debe estar entre comillas simples (') si el valor tiene un carácter resuelto (punto o espacio) | 255 caracteres |
Recursos a los que se pueden asignar atributos de seguridad
En la siguiente tabla, se muestran los recursos que admiten atributos de seguridad de enrutamiento de paquetes de confianza cero (ZPR). Esta tabla se actualiza a medida que se agrega el soporte de atributos de seguridad a más recursos.
| Service | Tipos de recurso |
|---|---|
| Recursos informáticos |
instancia configuraciones de instancias |
| Base de Datos |
autonomous-databases cloud-autonomous-vmclusters cloud-vmclusters bases de datos db-systems exadb-vm-clusters |
| Equilibrador de carga | equilibradores de carga |
| Red |
vcns VNIC PrivateEndpoint |
| Equilibrador de carga de red | equilibradores de carga de red |
Diferencia de ZPR con IAM
Las políticas de enrutamiento de paquetes de confianza cero (ZPR) coexisten con las políticas de OCI IAM existentes para ofrecer una estrategia de seguridad más completa.
Las políticas de ZPR y las políticas de IAM difieren de las siguientes formas:
- La política ZPR es un control de capa de red (L4) similar a los grupos de seguridad de red (NSG) y las listas de seguridad que definen las conexiones entre las instancias informáticas y las bases de datos de un arrendamiento.
- La política de IAM es un lenguaje de política de nivel de aplicación (L7) que controla qué principales (grupos o principales de recursos) pueden acceder a qué recursos de OCI mediante permisos específicos, después de establecer una conexión de capa de red.
La mayor diferencia entre la política de ZPR y la política de IAM es que la política de ZPR aborda el aspecto de redes de una conexión, es decir, los atributos de seguridad del origen y los destinos (recursos informáticos o base de datos), la dirección IP, el protocolo y el puerto. La política ZPR no comprende ni evalúa el principal, los tipos de recursos de OCI ni los permisos.
Con la autorización de OCI, por ejemplo, cuando un usuario desea suprimir una instancia de base de datos existente, se conecta a la consola de OCI (o utiliza la CLI o el SDK) mediante un nombre de usuario y una contraseña de OCI y, a continuación, emite el comando para suprimir el recurso de OCI (base de datos). En este punto, la política de OCI IAM se utiliza para decidir si el usuario tiene permisos para realizar esa acción según la política de IAM.
La política de IAM y la política de ZPR son importantes, y ambas se pueden utilizar para ofrecer una estrategia de seguridad más completa.
Diferencia de ZPR con otros métodos de seguridad
Una lista de seguridad permite definir y aplicar un juego de reglas de seguridad a todos los recursos de una única VCN o subred de una VCN. Una instancia informática u otro recurso no pueden incluirse ni excluirse de las reglas en vigor para la subred o la VCN que utiliza para la conectividad. Para obtener más detalles sobre las listas de seguridad, consulte Lista de seguridad.
Un grupo de seguridad de red (NSG) le permite definir y aplicar un juego de reglas de seguridad a un grupo de tarjetas de interfaz de red virtual (VNIC) seleccionadas en una VCN. Las VNIC pueden estar en subredes diferentes y algunas VNIC de una subred pueden utilizar solo una lista de seguridad, mientras que otras utilizan una lista de seguridad y un NSG. Un NSG utiliza reglas idénticas en estructura a las listas de seguridad. Se puede definir una VNIC para unir o salir de un NSG desde la página de detalles de gestión de la VNIC en la consola, pero no puede agregar ni eliminar una VNIC de la página de gestión del NSG en la consola. Para obtener más detalles sobre los NSG, consulte Grupos de seguridad de red. Para obtener una comparación más detallada de las listas de seguridad y los NSG, consulte Comparación de listas de seguridad y los grupos de seguridad de red.
La política de ZPR permite definir y aplicar un juego de reglas de seguridad a una variedad más amplia de recursos que no están necesariamente todos en una única VCN, por lo que su estrategia de seguridad está aún menos vinculada a la estructura de la red. Las posibles reglas pueden ser más granulares y complejas, y no comparten la estructura que utilizan los NSG y las listas de seguridad. Puede definir un recurso para utilizar una política de ZPR agregándole un atributo de seguridad desde la página de recursos protegidos de la consola, o bien puede agregar o eliminar un recurso de la página de detalles de la política de ZPR en la consola.
| Método de Seguridad | Se Aplica a | Activar o desactivar | Limitaciones |
|---|---|---|---|
| Lista de seguridad | Todas las VNIC de una subred o VCN | No Disponible | Máximo de cinco listas de seguridad por subred |
| Grupos de seguridad de red | VNIC seleccionadas en una VCN | En la página de detalles de VNIC | Máximo de cinco NSG por VNIC |
| Zero Trust Packet Routing | Recursos seleccionados (VNIC y otros tipos de recursos) en una o más redes virtuales en la nube | Con un atributo de seguridad aplicado al recurso | Máximo de tres atributos de seguridad ZPR por recurso |
Las políticas de ZPR le permiten aplicar atributos de seguridad directamente a la VNIC o a cualquier otro recurso que gestione y defina políticas de ZPR que hagan referencia a los siguientes elementos:
- Los atributos de seguridad
- El host que realiza la solicitud
- La red en la que viaja la solicitud
- Si se permite una acción
El tráfico no permitido por la política no puede viajar en la red. Cualquier recurso que tenga el atributo de seguridad aplicado está sujeto a las políticas ZPR que hacen referencia a él. Un recurso puede tener un máximo de tres atributos de seguridad.
Recomendamos usar ZPR porque ZPR le permite definir requisitos de seguridad más granulares. Para obtener más información, consulte If You Use Zero Trust Packet Routing with Other Security Methods.
Ventajas de ZPR sobre los NSG
- A security list or NSG can't apply to more than one VCN, but a ZPR policy can apply to more than one VCN by applying the same security attribute to multiple VCNs.
- No puede agregar un recurso (que utilice un punto final o una VNIC) a un NSG al gestionar ese NSG. Puede hacerlo con una política ZPR.
- Una política ZPR puede ser más compleja que una regla de seguridad utilizada por una lista de seguridad o un NSG.
- Los atributos de seguridad y la política de ZPR separan la arquitectura de red de la seguridad de red. Esto significa que si necesita cambiar la arquitectura de red (por ejemplo, agregar una nueva aplicación), no corre el riesgo de degradar la seguridad de la red.
Si utiliza el enrutamiento de paquetes de confianza cero con otros métodos de seguridad
Cualquier VNIC o punto final debe tener reglas de lista de seguridad de subred o VCN que le permitan comunicarse. Un NSG puede agregar más reglas sobre las reglas de la lista de seguridad para los recursos seleccionados en cualquier parte de una VCN. Una política ZPR se puede colocar en capas sobre listas de seguridad y reglas de NSG, o la política ZPR se puede agregar solo a una lista de seguridad.
El diagrama siguiente es una ilustración de la idea.
Al utilizar ZPR con NSG y listas de seguridad, el conjunto de reglas que se aplican a un recurso concreto incluye los siguientes elementos:
- Políticas de enrutamiento de paquetes de confianza cero
- Reglas de seguridad en todos los NSG a los que pertenece la VNIC del recurso
- Las reglas de listas de seguridad son relevantes para todas las VNIC o puntos finales de la VCN o la subred (cada VNIC o punto final tiene al menos una lista de seguridad relevante)