Note :

Créer et configurer le routage des trousses de confiance zéro pour Oracle Cloud Infrastructure

Présentation

Le routage sans trousse de confiance d'Oracle Cloud Infrastructure (OCI) empêche l'accès non autorisé aux données en gérant les politiques de sécurité de réseau séparément de l'architecture de réseau sous-jacente. Grâce à un langage de stratégie facile à comprendre et basé sur des intentions, les administrateurs de la sécurité peuvent définir des chemins d'accès spécifiques pour les données. Le trafic qui n'est pas explicitement autorisé par la politique ne peut pas parcourir le réseau, ce qui améliore la sécurité tout en simplifiant le travail des équipes de sécurité, de réseau et d'audit.

Le tutoriel suivant explique comment configurer le routage des paquets sans confiance OCI pour appliquer des contrôles de sécurité afin de régir la communication sur le réseau dans une location Oracle Cloud Infrastructure (OCI). Pour ce tutoriel, l'architecture suivante a été déployée.

Image présentant l'architecture de ce cas d'utilisation ZPR.

Dans cette architecture, les ressources suivantes ont été configurées :

En outre, un VCN distinct (so-vcn-pt) a été configuré pour ce cas d'utilisation, comprenant :

Objectifs

Préalables

Tâche 1 : Confirmer l'accès à la base de données à partir des clients

Dans cette tâche, nous confirmerons que les deux instances de calcul peuvent accéder à la base de données au moyen d'Oracle Instant Client.

  1. Connectez-vous à votre instance de calcul client-prod à l'aide de SSH en tant qu'utilisateur opc.

  2. Exécutez la commande sqlplus pour vous connecter à votre base de données autonome.

    Selon les conditions requises, le client Oracle Instant doit être installé et configuré. Voici un sommaire des étapes de configuration :

    • Téléchargez et installez Oracle Instant Client.

    • Configurez Oracle Instant Client.

    • Téléchargez le portefeuille de connexions pour votre base de données autonome à partir d'OCI.

    • Extrayez le portefeuille dans un dossier.

    • Configurez le fichier sqlnet.ora dans votre dossier de portefeuille pour qu'il pointe vers votre emplacement de portefeuille.

    • Exportez la variable TNS_ADMIN pour pointer vers l'emplacement du portefeuille extrait. Par exemple, export TNS_ADMIN=/opt/wallet.

    • Exécutez la commande sqlplus, par exemple sqlplus admin@financeprod_low et entrez votre mot de passe lorsque vous y êtes invité.

    Si Oracle Instant Client fonctionne correctement et que toutes les conditions requises ont été remplies, vous devez vous connecter à la base de données et pouvoir exécuter des commandes. Exécutez la commande show user; pour voir les utilisateurs.

    Capture d'écran présentant l'accès SSH au produit client.

  3. Répétez le test de connexion à la base de données à partir de client-dev.

    Capture d'écran montrant l'accès SSH à client-dev.

    Si Oracle Instant Client fonctionne correctement et que toutes les conditions requises ont été remplies, vous devez vous connecter à la base de données et pouvoir exécuter des commandes. Exécutez la commande show user; pour voir les utilisateurs.

Tâche 2 : Activer le routage des trousses de confiance sans OCI

S'il s'agit de la première fois que vous utilisez le routage de paquetage OCI de confiance zéro dans votre location, il devra être activé.

  1. Connectez-vous à la console OCI en tant qu'utilisateur disposant des autorisations appropriées pour gérer les ressources d'acheminement des paquets sans confiance OCI et les autres ressources utilisées dans ce tutoriel.

  2. Allez à Identité et sécurité et cliquez sur Routage de trousse de confiance zéro.

  3. Cliquez sur Activer ZPR, le bouton sera grisé et les menus Acheminement de paquet de confiance zéro OCI deviendront accessibles.

    Capture d'écran montrant ZPR activé.

Tâche 3 : Configurer les attributs de sécurité du routage du paquet de confiance OCI zéro

Pour configurer le routage des paquets sans confiance OCI, nous devons configurer les attributs de sécurité qui seront utilisés dans vos politiques d'acheminement des paquets sans confiance OCI.

Dans cette tâche, nous allons créer trois nouveaux attributs de sécurité représentant le réseau, les bases de données et les applications. Nous allons créer des valeurs prédéfinies pour ces attributs de sécurité.

  1. Allez à Routage de trousse de confiance zéro et cliquez sur Espace de noms d'attribut de sécurité.

  2. Sous Portée de la liste, sélectionnez le compartiment root. L'espace de noms oracle-zpr prédéfini nous sera présenté.

    Capture d'écran présentant l'espace de noms des attributs de sécurité ZPR.

  3. Cliquez sur oracle-zpr, vous verrez l'attribut de sécurité sensitivity prédéfini. Nous n'utiliserons pas l'attribut dans ce tutoriel.

  4. Sélectionnez Créer un attribut de sécurité pour créer un attribut de sécurité.

  5. Dans Créer un attribut de sécurité, entrez les informations suivantes.

    • Nom : Entrez app.
    • Description : Entrez Security attribute representing applications.
    • Type de valeur d'attribut de sécurité : Sélectionnez Une liste de valeurs.
    • Valeurs : Entrez prod et dev (sur des lignes distinctes).

    Capture d'écran présentant l'attribut de sécurité ZPR pour l'application.

  6. Cliquez sur Créer pour créer l'attribut.

  7. Répétez les étapes 5 et 6 pour créer deux autres attributs de sécurité.

    • Créez un attribut de sécurité pour les bases de données à l'aide des informations suivantes :

      • Nom : Entrez db.
      • Description : Entrez Security attribute representing databases.
      • Type de valeur d'attribut de sécurité : Sélectionnez Une liste de valeurs.
      • Valeurs : Entrez prod et dev (sur des lignes distinctes).
    • Créez un attribut de sécurité pour les réseaux à l'aide des informations suivantes :

      • Nom : Entrez network.
      • Description : Entrez Security attribute representing networks.
      • Type de valeur d'attribut de sécurité : Sélectionnez Une liste de valeurs.
      • Valeurs : Entrez prod et dev (sur des lignes distinctes).

    Une fois terminé, vous devriez voir la liste des attributs de sécurité, y compris l'attribut sensitivity prédéfini.

    Capture d'écran présentant la liste des attributs de sécurité d'acheminement de trousse de confiance zéro.

Tâche 4 : Créer des politiques d'acheminement de paquet de confiance sans OCI

Nous avons défini les attributs de sécurité, nous devons maintenant créer les politiques pour contrôler le flux d'informations sur le réseau.

Pour ce cas d'utilisation, nous avons besoin d'une politique qui permet à l'application de production de communiquer avec la base de données de production. Dans cette tâche, nous allons configurer la politique d'acheminement des paquets OCI de confiance zéro pour y parvenir.

  1. Allez à la console OCI, naviguez jusqu'à Identité et sécurité, Routage de paquet de confiance zéro et cliquez sur Politiques.

  2. Cliquez sur Créer une politique pour créer une politique d'acheminement des paquets sans confiance OCI.

  3. Entrez les informations suivantes et cliquez sur Ajouter des énoncés de politique pour ajouter un énoncé de politique à votre politique.

    • Nom : Entrez prod_policy.
    • Description : Entrez Policy to allow production clients in the production network to access production databases.
  4. Examinez les trois options pour créer des énoncés de politique, sélectionnez Générateur de politiques manuel, entrez l'énoncé de politique suivant et cliquez sur Ajouter pour enregistrer l'énoncé de politique.

    • Énoncés de politique : Entrez in network:prod VCN allow app:prod endpoints to connect to db:prod endpoints with protocol = 'tcp/1522'.

    Note : L'énoncé de politique est facile à comprendre, même sans explication. Toutefois, pour plus de clarté, vous indiquez au routage de trousse de confiance OCI Zéro que vous voulez que toutes les ressources auxquelles l'attribut de sécurité app:prod est affecté puissent communiquer avec toutes les ressources pour lesquelles l'attribut de sécurité db:prod leur est affecté, dans le VCN network:prod, sur le protocole TCP 1522.

    Capture d'écran présentant l'énoncé prod_policy.

    Votre politique terminée doit se présenter comme suit :

    Capture d'écran présentant prod_policy.

  5. Cliquez sur Créer une politique pour terminer la création de prod_policy.

    Note : Une fois que vous affectez des attributs de sécurité à vos ressources, la politique d'acheminement des trousses d'approbation zéro OCI est appliquée et seul le trafic correspondant à une politique d'acheminement des trousses d'approbation zéro OCI est autorisé à transiter par le réseau. Comme vous allez affecter des attributs de sécurité à vos deux instances de calcul, vous perdrez l'accès SSH à ces instances de calcul, car il n'y a pas de politique d'acheminement de trousse de confiance zéro OCI pour autoriser l'accès SSH à vos clients. Par conséquent, vous devez résoudre ce problème en créant deux stratégies supplémentaires.

  6. Répétez les étapes 2 à 5 pour créer deux politiques supplémentaires de routage de paquetage OCI sans confiance, afin de vous permettre de vous connecter à vos instances de calcul au moyen de SSH.

    • Politique pour autoriser l'accès SSH à client-prod :

      • Nom : Entrez prod_client_access_policy.
      • Description : Entrez Policy to allow SSH access to the production clients in the production network.
      • Énoncés de politique : Entrez in network:prod VCN allow 'x.x.x.x/32' to connect to app:prod endpoints with protocol='tcp/22'.
    • Politique pour autoriser l'accès SSH à client-dev :

      • Nom : Entrez dev_client_access_policy.
      • Description : Entrez Policy to allow dev clients in the production network to access production databases.
      • Énoncés de politique : Entrez in network:prod VCN allow 'x.x.x.x/32' to connect to app:dev endpoints with protocol='tcp/22'.

      Note :

      • Remplacez x.x.x.x par votre adresse IP.

      • Dans un scénario de production, l'accès aux clients se fait généralement au moyen d'un hôte bastion OCI. Toutefois, pour simplifier ce tutoriel, l'accès est direct. Par conséquent, l'adresse IP externe de la machine source se connectant aux clients via SSH doit être incluse.

    Vos politiques terminées doivent se présenter comme suit :

    Capture d'écran présentant la liste des politiques ZPR.

Tâche 5 : Affecter des attributs de sécurité à vos ressources

Dans cette tâche, pour configurer le routage des paquets de confiance OCI sans confiance, nous affecterons les attributs de sécurité aux ressources nécessaires.

Nous associerons un attribut de sécurité db à votre base de données, un attribut de sécurité app à vos deux clients et un attribut de sécurité network à votre VCN.

Note : Lors de l'affectation d'attributs de sécurité, celle-ci peut être effectuée à partir des écrans d'acheminement de trousse de confiance OCI zéro ou à partir des ressources individuelles. Ce tutoriel vous montrera les deux méthodes.

  1. Affectez l'attribut de sécurité à la base de données.

    1. Allez à la console OCI, naviguez jusqu'à Oracle Database et Autonomous Database.

      Note : Assurez-vous que vous êtes dans le compartiment dans lequel vous avez créé votre base de données, vous devriez la voir dans la liste.

      Capture d'écran présentant Autonomous Database.

    2. Sélectionnez votre base de données (par exemple, Finance-PROD) dans la liste des bases de données disponibles.

    3. Cliquez sur Attributs de sécurité. Vous verrez qu'il est actuellement vide et qu'aucun attribut de sécurité n'est affecté.

      Capture d'écran présentant l'onglet Security Attributes (Attributs de sécurité).

    4. Cliquez sur Ajouter des attributs de sécurité et entrez les informations suivantes.

      • Espace de noms : Sélectionnez oracle-zpr.
      • Clé : Sélectionnez db.
      • Valeur : Sélectionnez prod.

      Capture d'écran présentant la sélection de l'attribut de sécurité.

    5. Cliquez sur Ajouter des attributs de sécurité pour affecter l'attribut de sécurité à la base de données. La base de données sera mise à jour et l'attribut sera affecté.

      Capture d'écran affichant l'onglet Security Attributes (Attributs de sécurité) alimenté.

  2. Affectez les attributs de sécurité aux instances de calcul.

    1. Allez à la console OCI, naviguez jusqu'à Calcul et Instances.

      Note : Assurez-vous d'être dans le compartiment dans lequel vous avez créé vos instances de calcul. Vous devez les voir toutes les deux dans la liste.

      Capture d'écran présentant les instances de calcul.

    2. Sélectionnez votre instance client-prod dans la liste des instances disponibles.

    3. Cliquez sur Sécurité. Ce champ est vide car aucun attribut de sécurité n'a encore été affecté à l'instance.

      Capture d'écran présentant l'onglet Security Attributes (Attributs de sécurité).

    4. Cliquez sur Ajouter des attributs de sécurité et entrez les informations suivantes.

      • Espace de noms : Entrez oracle-zpr.
      • Clé : Entrez app.
      • Valeur : Entrez prod.

      Capture d'écran présentant la sélection de l'attribut de sécurité.

    5. Cliquez sur Ajouter des attributs de sécurité pour affecter l'attribut de sécurité à la base de données. L'instance de calcul sera mise à jour et l'attribut sera affecté.

      Capture d'écran affichant l'onglet Security Attributes (Attributs de sécurité) alimenté.

    6. Allez à la console OCI, naviguez jusqu'à Calcul et Instances.

      Capture d'écran présentant le menu de chemin de navigation du service de calcul.

    7. Sélectionnez votre instance client-dev dans la liste des instances disponibles.

    8. Cliquez sur Sécurité.

      Capture d'écran présentant l'onglet Security Attributes (Attributs de sécurité).

    9. Cliquez sur Ajouter des attributs de sécurité et entrez les informations suivantes.

      • Espace de noms : Sélectionnez oracle-zpr.
      • Clé : Sélectionnez app.
      • Valeur : Sélectionnez dev.

      Capture d'écran présentant la sélection de l'attribut de sécurité.

    10. Cliquez sur Ajouter des attributs de sécurité pour affecter l'attribut de sécurité à la base de données. L'instance de calcul sera mise à jour et l'attribut sera affecté.

      Capture d'écran affichant l'onglet Security Attributes (Attributs de sécurité) alimenté.

  3. Affectez les attributs de sécurité au VCN.

    1. Allez à la console OCI, naviguez jusqu'à Réseau et Réseaux en nuage virtuels.

      Note : Assurez-vous que vous êtes dans le compartiment dans lequel vous avez créé votre VCN, vous devriez le voir dans la liste.

      Capture d'écran présentant les réseaux en nuage virtuels.

    2. Sélectionnez votre VCN so-vcn-pt dans la liste des réseaux en nuage virtuels disponibles.

    3. Cliquez sur Sécurité.

      Capture d'écran présentant l'onglet Security Attributes (Attributs de sécurité).

      Note : Pour affecter cet attribut de sécurité, vous allez l'affecter au moyen du menu Acheminement de trousse de confiance OCI zéro, plutôt qu'à partir de la ressource. Cela vous montre les deux différentes façons d'affecter les attributs de sécurité du routage de trousse de confiance zéro OCI.

    4. Allez à la console OCI, naviguez jusqu'à Identité et sécurité, Routage de paquet de confiance zéro et cliquez sur Ressources protégées.

      Vous verrez la liste existante des ressources qui ont été protégées, par exemple, pour lesquelles des attributs de sécurité leur ont été affectés.

      Capture d'écran montrant les ressources protégées ZPR.

    5. Cliquez sur Ajouter un attribut de sécurité aux ressources.

    6. Pour filtrer la liste, sélectionnez le compartiment dans lequel vous avez créé le VCN et le type de ressource comme Vcn.

      Capture d'écran montrant les ressources protégées ZPR.

    7. Sélectionnez votre VCN (so-vcn-pt) et cliquez sur Suivant.

    8. Entrez les informations suivantes .

      • Espace de noms d'attribut de sécurité : Sélectionnez oracle-zpr.
      • Attribut de sécurité : Sélectionnez network.
      • Valeur de l'attribut de sécurité : Sélectionnez prod.

      Capture d'écran montrant la sélection d'attribut de ressources protégées ZPR.

    9. Cliquez sur Next (Suivant) et vérifiez le sommaire.

      Capture d'écran présentant le sommaire de sélection des attributs de ressources protégées ZPR.

    10. Cliquez sur Soumettre et sur Fermer pour quitter la demande de travail. Après quelques minutes, la demande de travail sera terminée et le VCN apparaîtra dans les ressources protégées. Nous pouvons également archiver le VCN pour nous assurer que l'attribut de sécurité a été affecté.

    11. Répétez les étapes 1 à 3 pour voir l'attribut de sécurité affecté à votre VCN.

      Capture d'écran présentant l'attribut de sécurité affecté au VCN.

Tâche 6 : Tester la stratégie

Maintenant, la configuration d'acheminement des paquets OCI sans confiance est terminée. La dernière tâche consiste à tester la politique. Dans ce tutoriel, nous avons deux scénarios de test.

  1. Le premier scénario de test consiste à s'assurer que client-prod peut toujours accéder à la base de données financeprod.

    1. Connectez-vous à votre instance de calcul client-prod à l'aide de SSH en tant qu'utilisateur opc.

      La politique d'acheminement de paquet de confiance zéro OCI autorise cette connexion à partir de votre machine locale. Par conséquent, votre connexion SSH doit être établie.

    2. Exécutez la commande sqlplus pour vous connecter à votre base de données autonome.

      Votre politique d'acheminement de paquet de confiance zéro OCI autorise cette connexion à partir de votre client de production (client-prod) à votre base de données de production (financeprod). Par conséquent, vous devez vous connecter à votre base de données et pouvoir exécuter la commande show user;.

      Capture d'écran présentant l'accès SSH au produit client.

  2. Le deuxième scénario de test consiste à s'assurer que client-dev ne peut plus accéder à la base de données financeprod.

    1. Connectez-vous à votre instance de calcul client-dev à l'aide de SSH en tant qu'utilisateur opc.

      Votre politique d'acheminement de trousse de confiance zéro autorise cette connexion à partir de votre machine locale. Par conséquent, votre connexion SSH doit être établie.

    2. Exécutez la commande sqlplus pour vous connecter à votre base de données autonome.

      Comme il n'existe aucune politique d'acheminement de paquet de confiance OCI zéro autorisant cette connexion de votre client de développement (client-dev) à votre base de données de production (financeprod), la connexion sera bloquée.

      Capture d'écran montrant l'échec de l'accès SQL à la base de données à partir de client-dev.

Confirmation

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.