Documentation sur Oracle Cloud Infrastructure

Managing Security Attributes for Private Endpoints (PE)s

Voyez comment ajouter, lister et mettre à jour des attributs de sécurité ZPR (Zero Trust Packet Routing) pour les points d'extrémité privés de l'IA générative. Les attributs de sécurité sont des étiquettes utilisées par Zero Trust Packet Routing (ZPR) pour identifier les ressources et appliquer des politiques ZPR.

À propos de

Vous pouvez sécuriser un point d'extrémité privé du service d'intelligence artificielle générative avec ZPR en affectant des attributs de sécurité au point d'extrémité et en définissant des politiques ZPR qui autorisent explicitement le trafic approuvé.

ZPR est évalué en plus du routage et des contrôles réseau traditionnels. Pour atteindre le point d'extrémité privé, le trafic doit être autorisé par tous les contrôles suivants :

  • Route valide vers le sous-réseau de point d'extrémité
  • Groupe de sécurité de réseau et règles de liste de sécurité
  • Politiques ZPR applicables
Attention

Si vous ajoutez un attribut de sécurité ZPR à un point d'extrémité privé, le trafic vers le point d'extrémité est bloqué, sauf si une politique ZPR l'autorise explicitement. Créez et validez vos règles de politique ZPR avant (ou immédiatement après) d'affecter des attributs de sécurité pour éviter les pannes involontaires.

Termes clés

  • Attribut de sécurité : Étiquette référencée dans une politique ZPR pour contrôler l'accès aux ressources prises en charge.
  • Espace de noms d'attribut de sécurité : Conteneur pour les attributs de sécurité.
  • Langage de politique ZPR (ZPL) : Syntaxe de politique utilisée pour écrire des règles ZPR qui autorisent ou refusent le trafic réseau en fonction des attributs de sécurité.
  • Politique ZPR : Jeu de règles d'autorisation/de refus, écrit dans le langage de politique ZPR, qui contrôle les ressources pouvant communiquer en mettant en correspondance leurs étiquettes d'espace de noms d'attribut de sécurité/clé/valeur.

Configuration

  1. Dans le service ZPR, créez un espace de noms d'attribut de sécurité et des attributs de sécurité, puis écrivez des politiques ZPR (les politiques ZPR ne sont pas des politiques IAM).
  2. Dans le service d'intelligence artificielle générative, ajoutez jusqu'à trois attributs de sécurité au point d'extrémité privé.
  3. Assurez-vous que le trafic vers le point d'extrémité est autorisé par :
    • routage
    • Règles de liste de sécurité/NSG
    • Politiques ZPR

Voir la documentation sur Zero Trust Packet Routing.

Conditions requises

Effectuez les tâches suivantes dans le service ZPR avant d'affecter des attributs de sécurité à un point d'extrémité privé.

  1. Vérifier l'accès IAM : Assurez-vous que les administrateurs ou les utilisateurs sont autorisés à gérer les ressources ZPR (espaces de noms, attributs et politiques ZPR). Voir Politiques IAM ZPR.

  2. Créer un espace de noms et des attributs : Créez un espace de noms d'attribut de sécurité, puis créez jusqu'à 3 attributs de sécurité pour la conception.

  3. Écrire des politiques ZPR : Utilisez le langage ZPL (ZPR) pour autoriser explicitement le trafic requis vers le point d'extrémité privé. Voir Politiques ZPR et Syntaxe de politique.

    Rappel : Le trafic doit également être autorisé par le routage, le groupe de sécurité de réseau et les listes de sécurité.

  4. Étiquettes de point d'extrémité de plan : Décidez de l'espace de noms/clé/valeur à appliquer au point d'extrémité privé et vérifiez que la politique ZPR autorise le trafic vers ce jeu d'attributs.

Exemple de politique ZPR :

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
Conseil

En savoir plus sur ZPR

Dans la console, ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Routage de paquets avec confiance zéro, sélectionnez Aperçu. Voir les vidéos et les conseils sur le service sur cette page.

Ajout de ZPR lors de la création d'un PE 🔗

  1. Suivez les étapes de Création d'un point d'extrémité privé.
  2. Dans le flux de création, développez Afficher les attributs de sécurité, puis développez l'option Marqueurs qui s'affiche pour les attributs de sécurité.
  3. Sélectionnez Ajouter un attribut de sécurité.
  4. Entrez les informations suivantes :
    • Espace de noms d'attributs de sécurité
    • Clé d'attribut de sécurité
    • Valeur de l'attribut de sécurité
  5. Sélectionnez Ajouter un attribut de sécurité pour ajouter d'autres attributs (jusqu'à 3 au total).
  6. Sélectionnez Créer.
Note

Pour éviter de bloquer involontairement l'accès, assurez-vous que les politiques ZPR sont définies pour permettre le flux de trafic prévu vers le point d'extrémité avant d'utiliser le point d'extrémité en production. Voir Préalables.

Ajout ou mise à jour de ZPR dans un EP existant 🔗

Suivez ces étapes pour ajouter des attributs de sécurité à un point d'extrémité existant ou pour modifier l'espace de noms/la clé/la valeur déjà appliquée.

  1. Dans la page de liste Points d'extrémité privés, sélectionnez le point d'extrémité privé avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste des points d'extrémité privés, voir Liste des points d'extrémité privés.
  2. Dans la page des détails du point d'extrémité privé, sélectionnez l'onglet Attributs de sécurité.
  3. Sélectionnez Ajouter des attributs de sécurité.
  4. Entrez les informations suivantes :
    • Espace de noms d'attributs de sécurité
    • Clé d'attribut de sécurité
    • Valeur de l'attribut de sécurité
  5. Sélectionnez de nouveau Ajouter des attributs de sécurité pour ajouter d'autres attributs (jusqu'à 3 au total).
  6. Lorsque vous avez terminé, sélectionnez Ajouter des attributs de sécurité.
Attention

La modification des attributs de sécurité peut modifier les politiques ZPR qui s'appliquent au point d'extrémité. Après toute modification, vérifiez que l'accès est autorisé par les politiques ZPR ainsi que par les règles d'acheminement et de liste de sécurité/NSG.

Note sur les autorisations

Pour ajouter un attribut de sécurité, vous devez être autorisé à utiliser l'espace de noms de l'attribut de sécurité. Pour plus de détails, voir la documentation sur le routage de paquets Zero Trust.

Liste des attributs de sécurité

  1. Dans la page de liste Points d'extrémité privés, sélectionnez le point d'extrémité privé avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste des points d'extrémité privés, voir Liste des points d'extrémité privés.
  2. Dans la page des détails du point d'extrémité privé, sélectionnez l'onglet Attributs de sécurité.