Stratégie Zero Trust Packet Routing
Une stratégie Zero Trust Packet Routing applique le contrôle d'accès en fonction des attributs de sécurité appliqués aux ressources impliquées dans une tentative d'accès.
Une stratégie est un conteneur pour un ensemble d'instructions de stratégie. Une instruction de stratégie est une règle qui indique qui peut accéder à quelle ressource et comment. La stratégie Zero Trust Packet Routing (ZPR) est basée sur un modèle d'autorisation ABAC (Attribute Based Access Control) qui évalue les attributs (ou caractéristiques) pour déterminer l'accès aux ressources. Cette approche diffère d'OCI IAM (reportez-vous à Différence de ZPR par rapport à IAM). Les stratégies ZPR sont conçues pour réaliser un "contrôle d'accès basé sur les attributs" où les attributs de sécurité de la source, de la cible et du réseau sont pris en compte dans l'évaluation de la stratégie à l'aide du langage ZPL (Zero Trust Packet Routing Policy Language).
ZPL vous permet d'écrire des instructions de stratégie visant à autoriser les adresses client avec des attributs de sécurité à accéder à d'autres adresses.
Les stratégies ZPR ne remplacent pas la configuration de relations d'appairage entre les réseaux cloud virtuels. Pour l'appairage de deux réseaux cloud virtuels dans la même région, reportez-vous à Appairage VCN local à l'aide de passerelles d'appairage local ou à Appairage VCN local via un DRG mis à niveau. Pour appairer deux réseaux cloud virtuels dans des régions différentes, reportez-vous à Appairage VCN distant via un DRG mis à niveau.
ZPL prend en charge les types d'instruction allow suivants en ce qui concerne la communication vers, depuis et au sein de réseaux cloud virtuels individuels identifiés par leurs attributs de sécurité :
- Autoriser le trafic entre deux adresses au sein d'un VCN
- Autoriser le trafic entre les adresses de différents réseaux cloud virtuels de la même région
Par exemple, l'instruction de stratégie suivante permet aux hôtes apps:hr-apps de lire n'importe quelle ressource OCI avec l'attribut de sécurité apps:hr-app-data qui leur est appliqué au sein du même VCN :
in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpointsL'instruction de stratégie suivante permet aux adresses networks:net1:App1 dans le VCN networks:net1 de se connecter aux adresses DB-Server:App1 dans le VCN networks:net2, lorsque les deux réseaux cloud virtuels se trouvent dans la même région :
allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCNPour autoriser le trafic entre les adresses de différents réseaux cloud virtuels qui ne se trouvent pas dans la même région ou entre les réseaux cloud virtuels de la même région qui n'ont pas d'attributs de sécurité affectés, vous devez utiliser une stratégie basée sur le CIDR ou sur l'adresse IP. Par exemple, si vous devez autoriser un client dans le VCN networks:net1 à accéder à une instance Compute ou à une base de données dans un autre VCN dans une autre région, vous devez utiliser des adresses IP pour référencer les cibles de l'autre VCN :
in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'Pour créer des stratégies ZPR, vous devez d'abord créer des attributs de sécurité. Les attributs de sécurité sont pris en compte dans l'évaluation de la stratégie ZPR. Après avoir créé des attributs de sécurité, passez en revue la syntaxe de stratégie ZPR, puis examinez les options de création d'une stratégie à l'aide de générateurs de stratégie. Vous pouvez également en savoir plus sur les stratégies ZPR à partir d'exemples.
Vous devez ajouter des attributs de sécurité aux ressources OCI pour que la stratégie ZPR prenne effet.
Après avoir créé des attributs de sécurité et des stratégies ZPR, vous pouvez ajouter les attributs de sécurité aux ressources.
Reportez-vous à Ressources pouvant être affectées à des attributs de sécurité pour connaître les types de ressource que vous pouvez utiliser dans les stratégies ZPR.