Documentation Oracle Cloud Infrastructure

Managing Security Attributes for Private Endpoints (PE)s

Découvrez comment ajouter, répertorier et mettre à jour les attributs de sécurité de Zero Trust Packet Routing (ZPR) pour les adresses privées Generative AI. Les attributs de sécurité sont des étiquettes utilisées par Zero Trust Packet Routing (ZPR) pour identifier les ressources et appliquer les stratégies ZPR.

A propos

Vous pouvez sécuriser une adresse privée d'IA générative avec ZPR en affectant des attributs de sécurité à cette adresse et en définissant des stratégies ZPR qui autorisent explicitement le trafic approuvé.

ZPR est évalué en plus du routage et des contrôles réseau traditionnels. Pour atteindre l'adresse privée, le trafic doit être autorisé par tous les contrôles suivants :

  • Route valide vers le sous-réseau d'adresse
  • Groupe de sécurité réseau et règles de liste de sécurité
  • Stratégies ZPR applicables
Attention

Si vous ajoutez un attribut de sécurité ZPR à une adresse privée, le trafic vers cette adresse est bloqué, sauf si une stratégie ZPR l'autorise explicitement. Créez et validez vos règles de stratégie ZPR avant (ou immédiatement après) d'affecter des attributs de sécurité pour éviter les interruptions involontaires.

Termes clés

  • Attribut de sécurité : libellé référencé dans une stratégie ZPR pour contrôler l'accès aux ressources prises en charge.
  • Espace de noms d'attribut de sécurité : conteneur pour les attributs de sécurité.
  • ZPR policy language (ZPL) : syntaxe de stratégie que vous utilisez pour écrire des règles ZPR qui autorisent ou refusent le trafic réseau en fonction d'attributs de sécurité.
  • Stratégie ZPR : ensemble de règles d'autorisation/de refus, écrit dans le langage de stratégie ZPR (ZPL), qui contrôle les ressources pouvant communiquer en mettant en correspondance leur espace de noms d'attribut de sécurité/étiquettes de clé/valeur.

Configuration

  1. Dans le service ZPR, créez un espace de noms d'attribut de sécurité et des attributs de sécurité, et écrivez des stratégies ZPR (les stratégies ZPR ne sont pas des stratégies IAM).
  2. Dans le service d'IA générative, ajoutez jusqu'à trois attributs de sécurité à l'adresse privée.
  3. Assurez-vous que le trafic vers l'adresse est autorisé par :
    • acheminement
    • Règles de liste de sécurité/groupe de sécurité réseau
    • Stratégies ZPR

Reportez-vous à la documentation Zero Trust Packet Routing.

Prérequis

Effectuez les tâches suivantes dans le service ZPR avant d'affecter des attributs de sécurité à une adresse privée.

  1. Vérifier l'accès à IAM : assurez-vous que les administrateurs ou les utilisateurs disposent des droits d'accès permettant de gérer les ressources ZPR (espaces de noms, attributs et stratégies ZPR). Reportez-vous à Stratégies IAM ZPR.

  2. Créer un espace de noms et des attributs : créez un espace de noms d'attribut de sécurité, puis créez jusqu'à 3 attributs de sécurité pour la conception.

  3. Ecrire des stratégies ZPR : utilisez le langage de stratégie ZPR pour autoriser explicitement le trafic requis vers l'adresse privée. Reportez-vous à Stratégies ZPR et à Syntaxe de stratégie.

    Rappel : le trafic doit également être autorisé par le routage, le groupe de sécurité réseau et les listes de sécurité.

  4. Planifier les libellés d'adresse : choisissez l'espace de noms/la clé/la valeur à appliquer à l'adresse privée et vérifiez que la stratégie ZPR autorise le trafic vers cet ensemble d'attributs.

Exemple de stratégie ZPR :

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
Conseil

En savoir plus sur ZPR

Dans la console, ouvrez le menu de navigation , puis sélectionnez Identité, sécurité. Sous Zero Trust Packet Routing, sélectionnez Présentation. Consultez les vidéos et les conseils sur le service sur cette page.

Ajout de ZPR lors de la création d'un moteur de protocoles 🔗

  1. Suivez les étapes de la section Création d'une adresse privée.
  2. Dans le flux de création, développez Afficher les attributs de sécurité, puis développez l'option Balises qui apparaît pour les attributs de sécurité.
  3. Sélectionnez Ajouter un attribut de sécurité.
  4. Entrez les informations suivantes :
    • Espace de noms d'attribut de sécurité
    • Clé d'attribut de sécurité
    • Valeur d'attribut de sécurité
  5. Sélectionnez Ajouter un attribut de sécurité pour ajouter d'autres attributs (jusqu'à 3 au total).
  6. Sélectionnez Create (Créer).
Remarque

Pour éviter de bloquer involontairement l'accès, assurez-vous que les stratégies ZPR sont définies pour autoriser le flux de trafic prévu vers l'adresse avant d'utiliser l'adresse en production. Reportez-vous à Prérequis.

Ajout ou mise à jour de ZPR dans un moteur de protocoles existant 🔗

Suivez ces étapes pour ajouter des attributs de sécurité à une adresse existante ou pour modifier l'espace de noms/la clé/la valeur déjà appliquée.

  1. Sur la page de liste Adresses privées, sélectionnez l'adresse privée à utiliser. Si vous avez besoin d'aide pour trouver la page de liste des adresses privées, reportez-vous à Liste des adresses privées.
  2. Sur la page de détails de l'adresse privée, sélectionnez l'onglet Attributs de sécurité.
  3. Sélectionnez Ajout d'attributs de sécurité.
  4. Entrez les informations suivantes :
    • Espace de noms d'attribut de sécurité
    • Clé d'attribut de sécurité
    • Valeur d'attribut de sécurité
  5. Sélectionnez à nouveau Ajouter des attributs de sécurité pour ajouter d'autres attributs (jusqu'à 3 au total).
  6. Lorsque vous avez terminé, sélectionnez Ajouter des attributs de sécurité.
Attention

La modification des attributs de sécurité peut modifier les stratégies ZPR qui s'appliquent à l'adresse. Après toute modification, vérifiez que l'accès est autorisé par les stratégies ZPR, ainsi que par les règles de routage et de groupe de sécurité réseau/liste de sécurité.

Remarque sur les autorisations

Pour ajouter un attribut de sécurité, vous devez être autorisé à utiliser l'espace de noms de l'attribut de sécurité. Pour plus d'informations, reportez-vous à la documentation Zero Trust Packet Routing.

Liste des attributs de sécurité

  1. Sur la page de liste Adresses privées, sélectionnez l'adresse privée à utiliser. Si vous avez besoin d'aide pour trouver la page de liste des adresses privées, reportez-vous à Liste des adresses privées.
  2. Sur la page de détails de l'adresse privée, sélectionnez l'onglet Attributs de sécurité.