Politique de Zero Trust Packet Routing

Une politique est un conteneur pour un jeu d'énoncés de politique. Un énoncé de politique est une règle qui spécifie qui peut accéder à quelle ressource et comment. La politique ZPR (Zero Trust Packet Routing) est basée sur un modèle d'autorisation de contrôle d'accès basé sur un attribut (ABAC) qui évalue les attributs (ou les caractéristiques) pour déterminer l'accès aux ressources. Cette approche est différente de celle d'OCI IAM (voir Comment ZPR diffère d'IAM). Les politiques ZPR sont conçues pour réaliser un "contrôle d'accès basé sur les attributs" où les attributs de sécurité de la source, de la cible et du réseau sont pris en compte dans l'évaluation de la politique à l'aide du langage ZPL (Zero Trust Packet Routing Policy Language).

ZPL vous permet d'écrire des énoncés de politique axés sur l'autorisation aux points d'extrémité de client avec des attributs de sécurité d'accéder à d'autres points d'extrémité. ZPL prend en charge les types d'énoncés d'autorisation suivants pour la communication à des réseaux en nuage virtuels individuels identifiés par leurs attributs de sécurité, en provenance ou à l'intérieur de ceux-ci :

• Autoriser la communication entre deux points d'extrémité dans un VCN
• Autoriser le trafic entrant à partir d'une source hors du VCN vers un point d'extrémité dans le VCN
• Autoriser le trafic sortant vers une cible en dehors du VCN à partir d'un point d'extrémité dans le VCN

Par exemple, l'énoncé de politique suivant permet aux hôtes apps:hr-apps de lire n'importe quelle ressource OCI avec l'attribut de sécurité apps:hr-app-data :

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

Lors de l'entrée ou de la sortie en dehors du VCN, la politique ZPR doit faire référence aux clients à l'aide d'adresses IP au lieu d'attributs de sécurité. Les attributs de sécurité ne peuvent être utilisés que pour faire référence à des points d'extrémité dans le même VCN.

Par exemple, si vous devez autoriser un client du VCN networks:net1 à accéder à une instance ou à une base de données de calcul dans un autre VCN, vous devez utiliser des adresses IP pour référencer les cibles de l'autre VCN :

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Pour créer des politiques ZPR, vous devez d'abord créer des attributs de sécurité. Les attributs de sécurité sont pris en compte dans l'évaluation de la politique ZPR. Après avoir créé des attributs de sécurité, vérifiez la syntaxe de la politique ZPR, puis examinez les options de création d'une politique à l'aide des constructeurs de politique. Vous pouvez également en savoir plus sur les politiques ZPR à partir d'exemples.

Après avoir créé des attributs de sécurité et des politiques ZPR, vous pouvez appliquer les attributs de sécurité aux ressources.

Voir Ressources pouvant être affectées à des attributs de sécurité pour connaître les types de ressource que vous pouvez utiliser dans les politiques ZPR.