Politique de Zero Trust Packet Routing

Une politique est un conteneur pour un jeu d'énoncés de politique. Un énoncé de politique est une règle qui spécifie qui peut accéder à quelle ressource et comment. La politique ZPR (Zero Trust Packet Routing) est basée sur un modèle d'autorisation de contrôle d'accès basé sur un attribut (ABAC) qui évalue les attributs (ou les caractéristiques) pour déterminer l'accès aux ressources. Cette approche est différente de celle d'OCI IAM (voir Comment ZPR diffère d'IAM). Les politiques ZPR sont conçues pour réaliser un "contrôle d'accès basé sur les attributs" où les attributs de sécurité de la source, de la cible et du réseau sont pris en compte dans l'évaluation de la politique à l'aide du langage ZPL (Zero Trust Packet Routing Policy Language).

ZPL vous permet d'écrire des énoncés de politique axés sur l'autorisation aux points d'extrémité de client avec des attributs de sécurité d'accéder à d'autres points d'extrémité.

ZPL prend en charge les types d'énoncés d'autorisation suivants pour la communication à des réseaux en nuage virtuels individuels identifiés par leurs attributs de sécurité, en provenance ou à l'intérieur de ceux-ci :

• Autoriser le trafic entre deux points d'extrémité dans un VCN
• Autoriser le trafic entre les points d'extrémité de différents réseaux en nuage virtuels dans la même région

Par exemple, l'énoncé de politique suivant permet aux hôtes apps:hr-apps de lire n'importe quelle ressource OCI avec l'attribut de sécurité apps:hr-app-data qui leur est appliqué dans le même VCN :

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

L'énoncé de politique suivant permet aux points d'extrémité networks:net1:App1 du VCN networks:net1 de se connecter aux points d'extrémité DB-Server:App1 du VCN networks:net2, lorsque les deux réseaux en nuage virtuels se trouvent dans la même région :

allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCN

Pour autoriser le trafic entre des points d'extrémité dans différents réseaux en nuage virtuels qui ne se trouvent pas dans la même région, ou entre des réseaux en nuage virtuels de la même région qui n'ont pas d'attributs de sécurité qui leur sont affectés, vous devez utiliser une politique CIDR ou IP. Par exemple, si vous devez autoriser un client du VCN networks:net1 à accéder à une instance ou à une base de données de calcul dans un autre VCN d'une autre région, vous devez utiliser des adresses IP pour référencer les cibles de l'autre VCN :

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Pour créer des politiques ZPR, vous devez d'abord créer des attributs de sécurité. Les attributs de sécurité sont pris en compte dans l'évaluation de la politique ZPR. Après avoir créé des attributs de sécurité, vérifiez la syntaxe de la politique ZPR, puis examinez les options de création d'une politique à l'aide des constructeurs de politique. Vous pouvez également en savoir plus sur les politiques ZPR à partir d'exemples.

Après avoir créé des attributs de sécurité et des politiques ZPR, vous pouvez ajouter les attributs de sécurité aux ressources.

Voir Ressources pouvant être affectées à des attributs de sécurité pour connaître les types de ressource que vous pouvez utiliser dans les politiques ZPR.