Présentation de Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protège les données sensibles des accès non autorisés via des stratégies de sécurité basées sur les intentions que vous écrivez pour les ressources OCI auxquelles vous affectez des attributs de sécurité. Les attributs de sécurité sont des libellés que ZPR utilise pour identifier et organiser les ressources OCI. ZPR applique la stratégie au niveau du réseau à chaque demande d'accès, quelles que soient les modifications ou les erreurs de configuration potentielles de l'architecture réseau.
ZPR s'appuie sur les règles existantes de groupe de sécurité réseau (NSG) et de liste de contrôle de sécurité (SCL). Pour qu'un paquet atteigne une cible, il doit transmettre toutes les règles NSG et SCL, ainsi que la stratégie ZPR. Si une règle ou stratégie NSG, SCL ou ZPR n'autorise pas le trafic, la demande est abandonnée.
Vous pouvez sécuriser les réseaux avec Zero Trust Packet Routing (ZPR) en trois étapes :
- Créer et gérer des espaces de noms d'attribut de sécurité et des attributs de sécurité
- Ecrire des stratégies à l'aide d'attributs de sécurité pour contrôler l'accès aux ressources
- Appliquer les attributs de sécurité aux ressources spécifiées
Evitez de saisir des informations confidentielles lorsque vous affectez des descriptions, des balises, des attributs de sécurité ou des noms conviviaux aux ressources cloud via la console, l'API ou l'interface de ligne de commande Oracle Cloud Infrastructure.
Fonctionnement de Zero Trust Packet Routing
Avec Zero Trust Packet Routing (ZPR), vous pouvez créer des espaces de noms d'attribut de sécurité afin d'organiser les attributs de sécurité que vous créez pour les affecter aux ressources à protéger, telles que les bases de données et les instances de calcul. Ensuite, à l'aide des attributs de sécurité, vous créez des stratégies ZPR à l'aide de Zero Trust Packet Routing Policy Language (ZPL) pour exprimer l'intention de sécurité quant aux personnes pouvant accéder à ces ressources et à l'endroit où les données peuvent aller. Le moteur de stratégie compile l'intention en règles appropriées qui sont appliquées aux points d'application de la stratégie.
Par exemple, un client souhaite protéger ses données sensibles contre les accès et exfiltrations non autorisés. Le client applique un attribut de sécurité data:sensitive à ses données sensibles stockées dans des bases de données et un attribut de sécurité hosts:trusted à ses applications front-end. Le client écrit ensuite une stratégie ZPR qui protège les données de tout accès non autorisé.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsZPR applique la stratégie ZPR au niveau du réseau afin que seuls les clients disposant de l'attribut de sécurité hosts:trusted approprié puissent accéder aux données avec l'attribut de sécurité data:sensitive conformément à la stratégie ZPR.
Lorsqu'un client envoie une demande aux serveurs d'applications, ZPR vérifie les attributs de sécurité des paquets réseau. Au fur et à mesure que les paquets transitent par le réseau, le service vérifie les attributs de sécurité sur la source et la destination par rapport à la stratégie ZPR, et bloque la demande ou autorise la demande en fonction de la stratégie ZPR.
Concepts relatifs à Zero Trust Packet Routing
Les concepts suivants sont essentiels pour comprendre le service Zero Trust Packet Routing (ZPR).
- attribut de sécurité
- Libellé pouvant être référencé dans la stratégie ZPR pour contrôler l'accès aux ressources prises en charge.
- espace de noms d'attribut de sécurité
- Conteneur pour un ensemble d'attributs de sécurité.
- Stratégie ZPR
- Règle qui régit la communication entre des adresses spécifiques identifiées par leurs attributs de sécurité.
- Langage de stratégie ZPR (ZPL)
- Langage qui définit les flux de données autorisés entre les sources de données en évaluant les attributs de sécurité.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure s'intègre à IAM pour l'authentification et l'autorisation, sur toutes les interfaces (consolekit SDK ou interface de ligne de commande, et API REST).
Un administrateur de votre organisation doit configurer des groupes , des compartiments et des stratégies qui déterminent les services et les ressources auxquels les utilisateurs peuvent accéder, ainsi que le type d'accès. Par exemple, les stratégies contrôlent qui peut créer les utilisateurs, créer et gérer le réseau cloud, lancer les instances, créer les buckets, télécharger les objets, etc. Pour plus d'informations, reportez-vous àDocumentation à utiliser pour l'identité cloud.
- Pour plus de détails sur l'écriture de stratégies IAM pour Zero Trust Packet Routing, reportez-vous à Stratégies IAM pour IAM Trust Packet Routing.
- Afin d'obtenir plus de détails sur l'écriture de stratégies pour d'autres services, reportez-vous à Référence de stratégie IAM.
Si vous n'êtes pas administrateur mais que vous avez besoin d'utiliser les ressources Oracle Cloud Infrastructure de votre entreprise, demandez à l'administrateur de configurer pour vous un ID utilisateur. L'administrateur peut confirmer les compartiments que vous devez utiliser.
Méthodes d'accès à Zero Trust Packet Routing
Vous pouvez accéder à Zero Trust Packet Routing (ZPR) à l'aide de la console (interface basée sur un navigateur), de l'interface de ligne de commande ou de l'API REST. Les instructions concernant la console, l'interface de ligne de commande et l'API sont incluses dans les rubriques de ce guide.
Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion à la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Oracle Cloud. Vous êtes invité à saisir un locataire cloud, un nom utilisateur et un mot de passe.
Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande. Pour obtenir des informations générales sur l'utilisation des API, reportez-vous à la documentation relative à l'API REST.
Limites
Découvrez les limites par ressource sur les attributs de sécurité et les caractères pris en charge dans les chaînes d'attribut de sécurité.
- Attributs de sécurité par location : illimités
- Attributs de sécurité par VCN : 1
- Attributs de sécurité par ressource (autres que les réseaux cloud virtuels) : 3
- Nombre de valeurs prédéfinies pour une clé d'attribut de sécurité : 100 par liste
- Instructions par objet de stratégie : 50
- Objets de stratégie par défaut par location : 100
- Instructions par location (dans tous les objets de stratégie) : 1000
| Ressource | Caractères pris en charge | Longueur maximale |
|---|---|---|
| Espace de noms d'attribut de sécurité | Caractères ASCII imprimables, sauf les points (.) et les espaces
|
100 caractères |
|
Attribut de sécurité |
Caractères ASCII imprimables, sauf les points (.) et les espaces
|
100 caractères |
|
Valeur d'attribut de sécurité |
Tout caractère ASCII ou Unicode valide. Le caractère doit être placé entre apostrophes (') si la valeur a un caractère résolu (point ou espace) | 255 caractères |
Ressources pouvant être affectées à des attributs de sécurité
Le tableau suivant répertorie les ressources qui prennent en charge les attributs de sécurité Zero Trust Packet Routing (ZPR). Ce tableau est mis à jour lors de l'ajout de la prise en charge des attributs de sécurité pour d'autres ressources.
| Service | Types de ressource |
|---|---|
| Calculer |
instance configurations d'instance |
| Base de données |
autonomous-databases cloud-autonome-vmclusters cloud-vmclusters bases de données db-systems cluster exadb-vm |
| Equilibreur de charges | équilibreurs de charge |
| Fonctions de réseau |
réseaux cloud virtuels Cartes d'interface réseau virtuelles PrivateEndpoint |
| Equilibreur de charge réseau | équilibreurs de charge réseau |
Comment ZPR diffère d'IAM
Les stratégies Zero Trust Packet Routing (ZPR) coexistent avec les stratégies OCI IAM existantes pour offrir un état de sécurité plus complet.
Les stratégies ZPR et IAM diffèrent des manières suivantes :
- La stratégie ZPR est un contrôle de couche réseau (L4) similaire au groupe de sécurité réseau (NSG) et aux listes de sécurité qui définissent les connexions entre les instances de calcul et les bases de données d'une location.
- La stratégie IAM est un langage de stratégie de niveau application (L7) qui contrôle les principaux (groupes ou principaux de ressource) pouvant accéder aux ressources OCI à l'aide de droits d'accès spécifiques, une fois qu'une connexion de couche réseau a été établie.
La plus grande différence entre la stratégie ZPR et la stratégie IAM est que la stratégie ZPR aborde l'aspect réseau d'une connexion, à savoir les attributs de sécurité de la source et des cibles (calcul ou base de données), l'adresse IP, le protocole et le port. La stratégie ZPR ne comprend ni n'évalue le principal, les types de ressource OCI ou les droits d'accès.
Avec l'autorisation OCI, par exemple, lorsqu'un utilisateur souhaite supprimer une instance de base de données existante, il se connecte à la console OCI (ou utilise l'interface de ligne de commande ou le kit SDK) à l'aide d'un nom utilisateur et d'un mot de passe OCI, puis exécute la commande pour supprimer la ressource OCI (base de données). A ce stade, la stratégie OCI IAM est utilisée pour décider si l'utilisateur dispose des droits d'accès permettant d'effectuer cette action en fonction de la stratégie IAM.
La stratégie IAM et la stratégie ZPR sont toutes deux importantes et peuvent toutes deux être utilisées pour offrir un état de sécurité plus complet.
Différences entre ZPR et les autres méthodes de sécurité
Une liste de sécurité vous permet de définir et d'appliquer un ensemble de règles de sécurité à toutes les ressources d'un seul VCN ou sous-réseau d'un VCN. Une instance de calcul ou une autre ressource ne peut pas accepter ou refuser les règles en place pour le sous-réseau ou le VCN qu'elle utilise pour la connectivité. Pour plus d'informations sur les listes de sécurité, reportez-vous à Listes d'accès.
Un groupe de sécurité réseau (NSG) vous permet de définir et d'appliquer un ensemble de règles de sécurité à un groupe de cartes d'interface réseau virtuelles (VNIC) choisies dans un VCN. Les cartes d'interface réseau virtuelles peuvent se trouver dans différents sous-réseaux et certaines cartes d'interface réseau virtuelles d'un sous-réseau ne peuvent utiliser qu'une liste de sécurité tandis que d'autres utilisent à la fois une liste de sécurité et un groupe de sécurité réseau. Un groupe de sécurité réseau utilise des règles de structure identique aux listes de sécurité. Une carte d'interface réseau virtuelle peut être définie pour rejoindre ou quitter un groupe de sécurité réseau à partir de la page de détails de gestion de la carte d'interface réseau virtuelle dans la console, mais vous ne pouvez pas ajouter ou enlever une carte d'interface réseau virtuelle de la page de gestion du groupe de sécurité réseau dans la console. Pour plus d'informations sur les NSG, reportez-vous à Groupes de sécurité de réseau. Pour une comparaison plus détaillée entre les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
La stratégie ZPR vous permet de définir et d'appliquer un ensemble de règles de sécurité à une plus grande variété de ressources qui ne sont pas nécessairement toutes dans un seul VCN, de sorte que votre état de sécurité est encore moins lié à la structure de votre réseau. Les règles possibles peuvent être plus précises et plus complexes, et ne partagent pas la structure utilisée par les groupes de sécurité réseau et les listes de sécurité. Vous pouvez définir une ressource pour qu'elle utilise une stratégie ZPR en lui ajoutant un attribut de sécurité à partir de la page des ressources protégées dans la console, ou vous pouvez ajouter ou enlever une ressource de la page de détails de la stratégie ZPR dans la console.
| Méthode de sécurité | Applicable à | Activer ou désactiver | Limites |
|---|---|---|---|
| Liste de sécurité | Toutes les cartes d'interface réseau virtuelles d'un sous-réseau ou d'un VCN | Non disponible | Cinq listes de sécurité au maximum par sous-réseau |
| Groupes de sécurité réseau | VNIC sélectionnées dans un VCN | A partir de la page de détails de la carte d'interface réseau virtuelle | Cinq groupes de sécurité réseau au maximum par carte d'interface réseau virtuelle |
| Zero Trust Packet Routing | Ressources sélectionnées (cartes d'interface réseau virtuelles et autres types de ressource) dans des réseaux cloud virtuels | Avec un attribut de sécurité appliqué à la ressource | Trois attributs de sécurité ZPR maximum par ressource |
Les stratégies ZPR vous permettent d'appliquer des attributs de sécurité directement à la VNIC ou à toute autre ressource que vous gérez et définissez des stratégies ZPR qui référencent les éléments suivants :
- Attributs de sécurité
- L'hôte qui effectue la demande
- Réseau sur lequel se déplace la demande
- Indique si une action est autorisée
Le trafic non autorisé par la politique ne peut pas circuler sur le réseau. Toute ressource à laquelle l'attribut de sécurité est appliqué est soumise aux stratégies ZPR qui la référencent. Une ressource peut avoir un maximum de trois attributs de sécurité.
Nous vous recommandons d'utiliser ZPR car ZPR vous permet de définir des exigences de sécurité plus précises. Pour plus d'informations, reportez-vous à la section If You Use Zero Trust Packet Routing with Other Security Methods.
Avantages de ZPR sur les groupes de sécurité réseau
- Une liste de sécurité ou un groupe de sécurité réseau ne peut pas s'appliquer à plusieurs VCN, mais une stratégie ZPR peut s'appliquer à plusieurs VCN en appliquant le même attribut de sécurité à plusieurs réseaux cloud virtuels.
- Vous ne pouvez pas ajouter une ressource (qui utilise une adresse ou une carte d'interface réseau virtuelle) à un groupe de sécurité réseau lors de la gestion de ce groupe. Pour cela, utilisez une stratégie ZPR.
- Une stratégie ZPR peut être plus complexe qu'une règle de sécurité utilisée par une liste de sécurité ou un groupe de sécurité réseau.
- La stratégie ZPR et les attributs de sécurité séparent l'architecture réseau de la sécurité réseau. Cela signifie que si vous devez modifier l'architecture réseau (par exemple, ajouter une nouvelle application), vous ne risquez pas de dégrader la sécurité du réseau.
Si vous utilisez Zero Trust Packet Routing avec d'autres méthodes de sécurité
Toute VNIC ou adresse doit disposer de règles de liste de sécurité VCN ou de sous-réseau qui lui permettent de communiquer. Un groupe de sécurité réseau peut ajouter d'autres règles en plus des règles de liste de sécurité pour les ressources sélectionnées n'importe où dans un VCN. Une stratégie ZPR peut être superposée à la fois aux listes de sécurité et aux règles de groupe de sécurité réseau, ou la stratégie ZPR peut s'ajouter à une seule liste de sécurité.
Le diagramme suivant est une illustration de l'idée.
Lorsque vous utilisez ZPR avec des groupes de sécurité réseau et des listes de sécurité, l'ensemble de règles qui s'appliquent à une ressource particulière inclut les éléments suivants :
- Stratégies Zero Trust Packet Routing
- Règles de sécurité dans tous les groupes de sécurité réseau auxquels la carte d'interface réseau virtuelle de la ressource appartient
- Règles de listes de sécurité pertinentes pour toutes les cartes d'interface réseau virtuelles ou adresses dans le VCN ou le sous-réseau (chaque carte d'interface réseau virtuelle ou adresse possède au moins une liste de sécurité pertinente)