Política de enrutamiento de paquetes de confianza cero
Una política de enrutamiento de paquetes de confianza cero aplica el control de acceso en función de los atributos de seguridad aplicados a los recursos implicados en un intento de acceso.
Una política es un contenedor para un juego de sentencias de política. Una sentencia de política es una regla que especifica quién puede acceder a qué recurso y cómo. La política de enrutamiento de paquetes de confianza cero (ZPR) se basa en un modelo de autorización de control de acceso basado en atributos (ABAC) que evalúa atributos (o características) para determinar el acceso a los recursos. Este enfoque es diferente de OCI IAM (consulte Cómo ZPR difiere de IAM). Las políticas de ZPR están diseñadas para lograr un "control de acceso basado en atributos" en el que los atributos de seguridad de origen, destino y red se tienen en cuenta en la evaluación de la política mediante el lenguaje de política de enrutamiento de paquetes de confianza cero (ZPL).
ZPL permite escribir sentencias de política centradas en permitir que los puntos finales de cliente con atributos de seguridad accedan a otros puntos finales.
Las políticas de ZPR no sustituyen a la configuración de relaciones de intercambio de tráfico entre las redes virtuales en la nube. Para intercambiar dos redes virtuales en la nube de la misma región, consulte Intercambio de tráfico de VCN local mediante gateways de intercambio de tráfico locales o Intercambio de tráfico de VCN local mediante un DRG actualizado. For peering two VCNs in different regions, see Remote VCN Peering through an Upgraded DRG.
ZPL admite los siguientes tipos de declaraciones de permiso en lo que respecta a la comunicación con, desde y dentro de VCN individuales identificadas por sus atributos de seguridad:
- Permitir tráfico entre dos puntos finales dentro de una VCN
- Permitir tráfico entre puntos finales en distintas redes virtuales en la nube de la misma región
Por ejemplo, la siguiente sentencia de política permite a los hosts apps:hr-apps leer cualquier recurso de OCI con el atributo de seguridad apps:hr-app-data aplicado a ellos en la misma VCN:
in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpointsLa siguiente sentencia de política permite que los puntos finales networks:net1:App1 de la VCN networks:net1 se conecten a los puntos finales DB-Server:App1 de la VCN networks:net2 cuando ambas redes virtuales en la nube estén en la misma región:
allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCNPara permitir el tráfico entre puntos finales de diferentes redes virtuales en la nube que no estén en la misma región o redes virtuales en la misma región que no tengan atributos de seguridad asignados, debe utilizar políticas basadas en CIDR o IP. Por ejemplo, si necesita permitir que un cliente de la VCN networks:net1 acceda a una instancia informática o a una base de datos de otra VCN de una región diferente, debe utilizar direcciones IP para hacer referencia a los destinos de la otra VCN:
in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'Para crear políticas de ZPR, primero debe crear atributos de seguridad. Los atributos de seguridad se tienen en cuenta en la evaluación de la política ZPR. Después de crear atributos de seguridad, revise la sintaxis de política de ZPR y, a continuación, examine las opciones para crear una política con constructores de políticas. También puede obtener más información sobre las políticas de ZPR en ejemplos.
Debe agregar atributos de seguridad a los recursos de OCI para que la política de ZPR surta efecto.
Después de crear atributos de seguridad y políticas ZPR, puede agregar los atributos de seguridad a los recursos.
Consulte Resources That Can Be Assigned Security Attributes para conocer los tipos de recursos que puede utilizar en las políticas ZPR.