Política de enrutamiento de paquetes de confianza cero

Una política es un contenedor para un juego de sentencias de política. Una sentencia de política es una regla que especifica quién puede acceder a qué recurso y cómo. La política de enrutamiento de paquetes de confianza cero (ZPR) se basa en un modelo de autorización de control de acceso basado en atributos (ABAC) que evalúa atributos (o características) para determinar el acceso a los recursos. Este enfoque es diferente de OCI IAM (consulte Cómo ZPR difiere de IAM). Las políticas de ZPR están diseñadas para lograr un "control de acceso basado en atributos" en el que los atributos de seguridad de origen, destino y red se tienen en cuenta en la evaluación de la política mediante el lenguaje de política de enrutamiento de paquetes de confianza cero (ZPL).

ZPL permite escribir sentencias de política centradas en permitir que los puntos finales de cliente con atributos de seguridad accedan a otros puntos finales. ZPL admite los siguientes tipos de sentencias allow en lo que respecta a la comunicación hacia, desde y dentro de redes virtuales en la nube individuales identificadas por sus atributos de seguridad:

• Permitir la comunicación entre dos puntos finales en una VCN
• Permitir la entrada desde un origen fuera de la VCN a un punto final dentro de la VCN
• Permitir la salida a un destino fuera de la VCN desde un punto final dentro de la VCN

Por ejemplo, la siguiente sentencia de política permite a los hosts apps:hr-apps leer cualquier recurso de OCI con el atributo de seguridad apps:hr-app-data:

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

Al entrar o salir fuera de la VCN, la política ZPR debe hacer referencia a los clientes mediante direcciones IP en lugar de atributos de seguridad. Los atributos de seguridad solo se pueden utilizar al hacer referencia a puntos finales en la misma VCN.

Por ejemplo, si necesita permitir que un cliente de la VCN networks:net1 acceda a una instancia informática o una base de datos de otra VCN, debe utilizar direcciones IP para hacer referencia a los destinos de la otra VCN:

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Para crear políticas de ZPR, primero debe crear atributos de seguridad. Los atributos de seguridad se tienen en cuenta en la evaluación de la política ZPR. Después de crear atributos de seguridad, revise la sintaxis de política de ZPR y, a continuación, examine las opciones para crear una política con constructores de políticas. También puede obtener más información sobre las políticas de ZPR en ejemplos.

Después de crear atributos de seguridad y políticas ZPR, puede aplicar los atributos de seguridad a los recursos.

Consulte Resources That Can Be Assigned Security Attributes para conocer los tipos de recursos que puede utilizar en las políticas ZPR.