Documentazione dell'infrastruttura Oracle Cloud

Aggiunta di attributi di sicurezza a una destinazione di accesso

Utilizzare Zero Trust Packet Routing con una destinazione di accesso.

È possibile utilizzare Zero Trust Packet Routing (ZPR) insieme ai gruppi di sicurezza di rete o al posto di essi per gestire l'accesso di rete alle risorse OCI. A tale scopo, definire i criteri ZPR che regolano la modalità di comunicazione tra le risorse e aggiungere quindi attributi di sicurezza a tali risorse. Per ulteriori informazioni, vedere Instradamento dei pacchetti Zero Trust.
Attenzione

Se un endpoint dispone di un attributo di sicurezza ZPR (Zero Trust Packet Routing), il traffico verso l'endpoint deve soddisfare i criteri ZPR e tutte le regole NSG e della lista di sicurezza. Ad esempio, se si stanno già utilizzando gruppi di sicurezza di rete e si aggiunge un attributo di sicurezza a un endpoint, tutto il traffico verso l'endpoint viene bloccato. Da quel momento in poi, un criterio ZPR deve consentire esplicitamente il traffico verso l'endpoint.

Criterio IAM necessario

Per utilizzare ZPR con le destinazioni di accesso allo storage di file, creare un criterio IAM che conceda al servizio di storage di file l'autorizzazione per ispezionare e utilizzare lo spazio di nomi degli attributi di sicurezza richiesto da ZPR.

Ad esempio, è possibile utilizzare il seguente criterio:

Allow service <fssoc#prod> to {SECURITY_ATTRIBUTE_NAMESPACE_INSPECT, SECURITY_ATTRIBUTE_NAMESPACE_READ, SECURITY_ATTRIBUTE_NAMESPACE_USE,
 ZPR_CONFIGURATION_READ, ZPR_TAG_NAMESPACE_USE} where target.security-attribute-namespace.name = 'applications'

Il nome dell'utente del servizio di storage di file dipende dal realm . Per i realm con numero di chiave del realm minore o uguale a 10, il pattern per l'utente del servizio di storage di file è FssOc<n>Prod, dove n è il numero di chiave del realm. I realm con numero di chiave del realm maggiore di 10 dispongono di un utente del servizio fssocprod. Per ulteriori informazioni sui realm, vedere Informazioni sulle aree e i domini di disponibilità.

    1. Nella pagina della lista Destinazioni di accesso allo storage di file, selezionare la destinazione di accesso allo storage di file da utilizzare. Se è necessaria assistenza per trovare la pagina della lista o la destinazione di accesso allo storage di file, vedere Elenco delle destinazioni di accesso.
    2. Nella pagina dei dettagli selezionare la scheda Sicurezza, quindi selezionare Aggiungi attributo di sicurezza.
    3. Nel pannello Aggiungi attributo di sicurezza immettere le informazioni riportate di seguito.
      • Spazio di nomi degli attributi di sicurezza: uno spazio di nomi degli attributi di sicurezza è un contenitore per un set di attributi di sicurezza in Zero Trust Packet Routing (ZPR).
      • Chiave attributo di sicurezza: il nome di un attributo di sicurezza specifico.
      • Valore attributo di sicurezza: il valore di un attributo di sicurezza specifico.

      Questi valori devono corrispondere a un criterio ZPR esistente. Per ulteriori informazioni sugli attributi di sicurezza e sugli spazi di nomi degli attributi di sicurezza, vedere Instradamento di Zero Trust Packet.

    4. Al termine, selezionare Aggiungi attributi di sicurezza.

  • Utilizzare il comando fs mount-target update e i parametri richiesti per aggiungere associazioni di sicurezza a una destinazione di accesso:

    oci fs mount-target update --mount-target-id <mount_target_OCID> --security-attributes securityattributes

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione UpdateMountTarget per aggiungere associazioni di sicurezza a una destinazione di accesso.

    Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.