Stratégie Zero Trust Packet Routing

Une stratégie est un conteneur pour un ensemble d'instructions de stratégie. Une instruction de stratégie est une règle qui indique qui peut accéder à quelle ressource et comment. La stratégie Zero Trust Packet Routing (ZPR) est basée sur un modèle d'autorisation ABAC (Attribute Based Access Control) qui évalue les attributs (ou caractéristiques) pour déterminer l'accès aux ressources. Cette approche diffère d'OCI IAM (reportez-vous à Différence de ZPR par rapport à IAM). Les stratégies ZPR sont conçues pour réaliser un "contrôle d'accès basé sur les attributs" où les attributs de sécurité de la source, de la cible et du réseau sont pris en compte dans l'évaluation de la stratégie à l'aide du langage ZPL (Zero Trust Packet Routing Policy Language).

ZPL vous permet d'écrire des instructions de stratégie visant à autoriser les adresses client dotées d'attributs de sécurité à accéder à d'autres adresses. ZPL prend en charge les types d'instruction allow suivants en matière de communication vers, depuis et au sein de réseaux cloud virtuels individuels identifiés par leurs attributs de sécurité :

• Autoriser la communication entre deux adresses au sein d'un VCN
• Autoriser l'entrée à partir d'une source en dehors du VCN vers une adresse dans le VCN
• Autoriser la sortie vers une cible en dehors du VCN à partir d'un point de terminaison dans le VCN

Par exemple, l'instruction de stratégie suivante permet aux hôtes apps:hr-apps de lire n'importe quelle ressource OCI avec l'attribut de sécurité apps:hr-app-data :

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

Lors de l'entrée ou de la sortie en dehors du VCN, la stratégie ZPR doit faire référence aux clients en utilisant des adresses IP plutôt que des attributs de sécurité. Les attributs de sécurité ne peuvent être utilisés que lorsqu'ils font référence à des adresses dans le même VCN.

Par exemple, si vous devez autoriser un client dans networks:net1 VCN à accéder à une instance ou une base de données Compute dans un autre VCN, vous devez utiliser des adresses IP pour référencer les cibles dans l'autre VCN :

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Pour créer des stratégies ZPR, vous devez d'abord créer des attributs de sécurité. Les attributs de sécurité sont pris en compte dans l'évaluation de la stratégie ZPR. Après avoir créé des attributs de sécurité, passez en revue la syntaxe de stratégie ZPR, puis examinez les options de création d'une stratégie à l'aide de générateurs de stratégie. Vous pouvez également en savoir plus sur les stratégies ZPR à partir d'exemples.

Après avoir créé des attributs de sécurité et des stratégies ZPR, vous pouvez appliquer les attributs de sécurité aux ressources.

Reportez-vous à Ressources pouvant être affectées à des attributs de sécurité pour connaître les types de ressource que vous pouvez utiliser dans les stratégies ZPR.