Aperçu de ZPR (Zero Trust Packet Routing)
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protège les données sensibles contre les accès non autorisés au moyen de politiques de sécurité basées sur les intentions que vous écrivez pour les ressources OCI auxquelles vous affectez des attributs de sécurité. Les attributs de sécurité sont des étiquettes que ZPR utilise pour identifier et organiser les ressources OCI. ZPR applique la politique au niveau du réseau chaque fois que l'accès est demandé, indépendamment des modifications potentielles de l'architecture du réseau ou des erreurs de configuration.
ZPR s'ajoute aux règles existantes de groupe de sécurité de réseau et de liste de contrôle de sécurité. Pour qu'un paquet atteigne une cible, il doit transmettre toutes les règles NSG et SCL, ainsi que la politique ZPR. Si une règle ou une politique NSG, SCL ou ZPR n'autorise pas le trafic, la demande est abandonnée.
Vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes :
- Créer et gérer des espaces de noms d'attributs de sécurité et des attributs de sécurité
- Écrire des politiques à l'aide d'attributs de sécurité pour contrôler l'accès aux ressources
- Appliquer les attributs de sécurité aux ressources spécifiées
Évitez d'entrer des informations confidentielles lors de l'affectation de descriptions, de marqueurs, d'attributs de sécurité ou de noms conviviaux à des ressources en nuage au moyen de la console, de l'API ou de l'interface de ligne de commande d'Oracle Cloud Infrastructure.
Comment fonctionne Zero Trust Pack Routage
Avec ZPR (Zero Trust Packet Routing), vous pouvez créer des espaces de noms d'attribut de sécurité pour organiser les attributs de sécurité que vous créez pour affecter aux ressources que vous voulez protéger telles que les bases de données et les instances de calcul. Ensuite, à l'aide des attributs de sécurité, vous créez des politiques ZPR à l'aide du langage ZPL (Zero Trust Packet Routing Policy Language) pour exprimer l'intention de sécurité concernant qui peut accéder à ces ressources et où les données peuvent aller. Le moteur de politique compile l'intention en règles appropriées qui sont appliquées aux points d'application de la politique.
Par exemple, un client souhaite protéger ses données sensibles contre tout accès non autorisé et toute exfiltration. Le client applique un attribut de sécurité data:sensitive à ses données sensibles stockées dans des bases de données et un attribut de sécurité hosts:trusted à ses applications frontales. Le client écrit ensuite une politique ZPR qui protège les données contre tout accès non autorisé.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsZPR applique la politique ZPR au niveau du réseau afin que seuls les clients dotés de l'attribut de sécurité hosts:trusted approprié puissent accéder aux données avec l'attribut de sécurité data:sensitive conformément à la politique ZPR.
Lorsqu'un client fait une demande aux serveurs d'applications, ZPR vérifie les paquets réseau pour les attributs de sécurité. Lorsque les paquets transitent par le réseau, le service vérifie les attributs de sécurité de la source et de la destination par rapport à la politique ZPR, et bloque la demande ou autorise la demande en fonction de la politique ZPR.
Zero Trust Packet Routing - Concepts
Les concepts suivants sont essentiels pour comprendre le service ZPR (Zero Trust Packet Routing).
- attribut de sécurité
- Étiquette pouvant être référencée dans une politique ZPR pour contrôler l'accès aux ressources prises en charge.
- espace de noms d'attributs de sécurité
- Conteneur pour un jeu d'attributs de sécurité.
- Politique ZPR
- Règle qui régit la communication entre des points d'extrémité spécifiques identifiés par leurs attributs de sécurité.
- Langage de politique ZPR (ZPL)
- Langage qui définit les flux de données autorisés entre les sources de données en évaluant les attributs de sécurité.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure est intégré avec le service GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).
Un administrateur de votre organisation doit configurer les groupes, les compartiments et les politiques qui déterminent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Par exemple, les politiques contrôlent qui peut créer des utilisateurs, créer et gérer le réseau en nuage, lancer des instances, créer des seaux, télécharger des objets, etc. Pour plus d'informations, voir Documentation à utiliser pour le service de gestion des identités en nuage.
- Voir Politiques IAM de routage de paquets à confiance nulle pour plus de détails sur l'écriture de politiques IAM pour le routage de paquets à confiance nulle.
- Pour des détails sur l'écriture de politiques pour d'autres services, voir Référence liée aux politiques IAM.
Si vous n'êtes pas un administrateur mais que vous devez utiliser les ressources Oracle Cloud Infrastructure de votre société, demandez à l'administrateur de configurer un ID utilisateur pour vous. L'administrateur vous confirmera les compartiments que vous pouvez utiliser.
Méthodes d'accès au routage de paquets Zero Trust
Vous pouvez accéder à ZPR (Zero Trust Packet Routing) à l'aide de la console (une interface basée sur le navigateur), de l'interface de ligne de commande ou de l'API REST. Les instructions relatives à la console, à l'interface de ligne de commande et à l'API sont incluses dans les rubriques de ce guide.
Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Oracle Cloud. Vous êtes invité à entrer un locataire, un nom d'utilisateur et un mot de passe en nuage.
Pour obtenir la liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande. Pour des informations générales sur l'utilisation des API, voir la documentation sur les API REST.
Limites
Découvrez les limites par ressource pour les attributs de sécurité et les caractères pris en charge dans les chaînes d'attribut de sécurité.
- Attributs de sécurité par location : illimité
- Attributs de sécurité par VCN : 1
- Attributs de sécurité par ressource (autres que les réseaux en nuage virtuels) : 3
- Nombre de valeurs prédéfinies pour une clé d'attribut de sécurité : 100 par liste
- Énoncés par objet de politique : 50
- Objets de politique par défaut par location : 100
- Énoncés par location (pour tous les objets de politique) : 1000
| Ressources | Caractères pris en charge | Longueur maximale |
|---|---|---|
| Espace de noms d'attributs de sécurité | Caractères ASCII imprimables, à l'exception des points (.) et des espaces
|
100 caractères |
|
Attribut de sécurité |
Caractères ASCII imprimables, à l'exception des points (.) et des espaces
|
100 caractères |
|
Valeur de l'attribut de sécurité |
Tout caractère ASCII ou Unicode valide. Le caractère doit être placé entre apostrophes (') si la valeur comporte un caractère résolu (période ou espace) | 255 caractères |
Ressources pouvant être affectées à des attributs de sécurité
Le tableau suivant répertorie les ressources qui prennent en charge les attributs de sécurité ZPR (Zero Trust Packet Routing). Ce tableau est mis à jour lorsque la prise en charge des attributs de sécurité est ajoutée pour d'autres ressources.
| Service | Types de ressource |
|---|---|
| Calcul |
instance configurations d'instance |
| Database |
Bases de données autonomes grappes de machines virtuelles autonomes en nuage Grappes de machines infonuagiques bases de données db-systems Grappes exadb-vm |
| Outils de base de données |
points d'extrémité privés |
| Stockage de fichiers | cibles de montage |
| Fonctions | applications |
| GoldenGate |
déploiements connexions |
| Équilibreur de charge | équilibreurs de charge |
| MySQL Heatwave |
db-system réplique |
| Service de réseau |
réseaux en nuage virtuels Cartes vNIC PrivateEndpoint |
| Équilibreur de charge de réseau | équilibreurs de charge de réseau |
| Cache OCI | grappes |
| Gestionnaire de ressources | points d'extrémité privés |
| Service de recherche avec OpenSearch |
grappes |
| Flux |
groupes de flux |
Comment ZPR diffère d'IAM
Les politiques ZPR (Zero Trust Packet Routing) coexistent avec les politiques IAM OCI existantes pour offrir une sécurité plus complète.
Les politiques ZPR et IAM diffèrent selon les méthodes suivantes :
- La politique ZPR est un contrôle de couche réseau (L4) similaire aux groupes de sécurité de réseau (NSG) et aux listes de sécurité qui définit les connexions entre les instances de calcul et les bases de données d'une location.
- La politique IAM est un langage de politique au niveau de l'application (L7) qui contrôle quels principaux (groupes ou principaux de ressources) peuvent accéder aux ressources OCI à l'aide d'autorisations spécifiques, une fois qu'une connexion à la couche réseau a été établie.
La plus grande différence entre la politique ZPR et la politique IAM réside dans le fait que la politique ZPR traite l'aspect réseau d'une connexion, à savoir les attributs de sécurité de la source et des cibles (calcul ou base de données), l'adresse IP, le protocole et le port. La politique ZPR ne comprend pas ou n'évalue pas le principal, les types de ressource OCI ou les autorisations.
Avec l'autorisation OCI, par exemple, lorsqu'un utilisateur veut supprimer une instance de base de données existante, il se connecte à la console OCI (ou utilise l'interface de ligne de commande ou la trousse SDK) à l'aide d'un nom d'utilisateur et d'un mot de passe OCI, puis exécute la commande pour supprimer la ressource OCI (base de données). À ce stade, la politique OCI IAM est utilisée pour décider si l'utilisateur dispose des autorisations pour effectuer cette action sur la base de la politique IAM.
La politique IAM et la politique ZPR sont toutes deux importantes et peuvent être utilisées pour offrir une sécurité plus complète.
Comment ZPR diffère des autres méthodes de sécurité
Une liste de sécurité vous permet de définir et d'appliquer un jeu de règles de sécurité à toutes les ressources d'un seul VCN ou sous-réseau d'un VCN. Une instance de calcul ou une autre ressource ne peut pas accepter ou refuser les règles en place pour le sous-réseau ou le VCN qu'elle utilise pour la connectivité. Pour plus d'informations sur les listes de sécurité, voir Listes de sécurité.
Un groupe de sécurité de réseau vous permet de définir et d'appliquer un jeu de règles de sécurité à un groupe de cartes d'interface réseau virtuelle (vNIC) d'un VCN sélectionné. Les cartes vNIC peuvent se trouver dans des sous-réseaux différents et certaines cartes vNIC d'un sous-réseau ne peuvent utiliser qu'une liste de sécurité alors que d'autres utilisent à la fois une liste de sécurité et un groupe de sécurité de réseau. Un groupe de sécurité de réseau utilise des règles de structure identique à celles des listes de sécurité. Une carte VNIC peut être définie pour joindre ou quitter un groupe de sécurité de réseau à partir de la page des détails de gestion de la carte VNIC dans la console, mais vous ne pouvez pas ajouter ou supprimer une carte VNIC à partir de la page de gestion du groupe de sécurité de réseau dans la console. Pour plus d'informations sur les groupes NSG, voir Groupes de sécurité de réseau. Pour une comparaison plus détaillée des listes de sécurité et des groupes de sécurité de réseau, voir Comparaison des listes de sécurité et des groupes de sécurité de réseau.
La politique ZPR vous permet de définir et d'appliquer un jeu de règles de sécurité à une plus grande variété de ressources qui ne sont pas nécessairement toutes dans un seul VCN, de sorte que votre niveau de sécurité est encore moins lié à la structure de votre réseau. Les règles possibles peuvent être plus granulaires et complexes et ne partagent pas la structure utilisée par les groupes de sécurité de réseau et les listes de sécurité. Vous pouvez définir une ressource pour utiliser une politique ZPR en lui ajoutant un attribut de sécurité à partir de la page des ressources protégées de la console, ou vous pouvez ajouter ou supprimer une ressource de la page des détails de la politique ZPR dans la console.
| Méthode de sécurité | S'applique | Activer ou désactiver | Limites |
|---|---|---|---|
| Liste de sécurité | Toutes les cartes vNIC d'un sous-réseau ou d'un VCN | Non disponible | Cinq listes de sécurité au maximum par sous-réseau |
| Groupes de sécurité de réseau | Cartes vNIC sélectionnées dans un réseau VCN | À partir de la page des détails de la carte VNIC | Cinq groupes de sécurité de réseau au maximum par carte vNIC |
| ZPR (Zero Trust Packet Routing) | Ressources sélectionnées (cartes vNIC et autres types de ressource) dans un ou plusieurs réseaux en nuage virtuels | Avec un attribut de sécurité appliqué à la ressource | Trois attributs de sécurité ZPR au maximum par ressource |
Les politiques ZPR vous permettent d'appliquer des attributs de sécurité directement à la carte VNIC ou à toute autre ressource que vous gérez et définissez des politiques ZPR qui référencent les éléments suivants :
- Les attributs de sécurité
- L'hôte qui fait la demande
- Réseau sur lequel la demande se déplace
- Indique si une action est autorisée
Le trafic non autorisé par la politique ne peut pas circuler sur le réseau. Toute ressource à laquelle l'attribut de sécurité est appliqué est soumise aux politiques ZPR qui la référencent. Une ressource peut avoir un maximum de trois attributs de sécurité.
Nous vous recommandons d'utiliser ZPR car ZPR vous permet de définir des exigences de sécurité plus précises. Pour plus d'informations, voir Si vous utilisez l'acheminement de paquets sans confiance avec d'autres méthodes de sécurité.
Avantages de ZPR par rapport aux groupes de sécurité de réseau
- Une liste de sécurité ou un groupe de sécurité de réseau ne peut pas s'appliquer à plus d'un VCN, mais une politique ZPR peut s'appliquer à plus d'un VCN en appliquant le même attribut de sécurité à plusieurs réseaux en nuage virtuels.
- Vous ne pouvez pas ajouter une ressource (qui utilise un point d'extrémité ou une carte VNIC) à un groupe de sécurité de réseau lors de la gestion de ce groupe. Vous pouvez le faire avec une stratégie ZPR.
- Une politique ZPR peut être plus complexe qu'une règle de sécurité utilisée par une liste de sécurité ou un groupe de sécurité de réseau.
- La politique ZPR et les attributs de sécurité séparent l'architecture réseau de la sécurité réseau. Cela signifie que si vous devez modifier l'architecture du réseau (par exemple, ajouter une nouvelle application), vous ne risquez pas de dégrader la sécurité du réseau.
Si vous utilisez le routage de paquets Zero Trust avec d'autres méthodes de sécurité
Toute carte VNIC ou point d'extrémité doit comporter des règles de liste de sécurité de réseau VCN ou de sous-réseau qui lui permettent de communiquer. Un groupe de sécurité de réseau peut ajouter d'autres règles en plus des règles de liste de sécurité pour les ressources sélectionnées n'importe où dans un VCN. Une politique ZPR peut être superposée à des listes de sécurité et à des règles de groupe de sécurité de réseau, ou la politique ZPR peut s'ajouter à une seule liste de sécurité.
Le diagramme suivant est une représentation de cette idée.
Lorsque vous utilisez ZPR avec des groupes de sécurité de réseau et des listes de sécurité, l'ensemble de règles qui s'appliquent à une ressource particulière comprend les éléments suivants :
- Politiques Zero Trust Packet Routing
- Règles de sécurité de tous les groupes de sécurité de réseau auxquels appartient la carte VNIC de la ressource
- Listes de sécurité des règles pertinentes pour toutes les cartes VNIC ou points d'extrémité du VCN ou du sous-réseau (chaque carte VNIC ou point d'extrémité comporte au moins une liste de sécurité pertinente)