Aggiunta di attributi di sicurezza alle applicazioni e applicazione dei criteri ZPR
Scopri come aggiungere attributi di sicurezza alle applicazioni e come applicare criteri ZPR (Zero Trust Packet Routing) con OCI Functions.
L'uso di Zero Trust Packet Routing (ZPR) con OCI Functions consente di implementare un controllo dell'accesso con meno privilegi sulle interazioni tra le funzioni e altre risorse OCI. ZPR è particolarmente utile negli ambienti in cui i dati sensibili o le operazioni critiche vengono distribuiti su più risorse OCI e è necessaria una rigorosa separazione e controllo dell'accesso alle risorse. L'uso di ZPR consente di mitigare i rischi associati all'accesso non autorizzato e di garantire che solo i flussi di traffico consentiti in modo esplicito tra risorse protette supportino sia le esigenze di conformità che i criteri di sicurezza dell'organizzazione.
È possibile utilizzare Zero Trust Packet Routing (ZPR) insieme ai gruppi di sicurezza di rete o al posto di essi per gestire l'accesso di rete alle risorse OCI. A tale scopo, definire i criteri ZPR che regolano la modalità di comunicazione tra le risorse e aggiungere quindi attributi di sicurezza a tali risorse. Per ulteriori informazioni, vedere Instradamento dei pacchetti Zero Trust.
Se un endpoint dispone di un attributo di sicurezza ZPR (Zero Trust Packet Routing), il traffico verso l'endpoint deve soddisfare i criteri ZPR e tutte le regole NSG e della lista di sicurezza. Ad esempio, se si stanno già utilizzando gruppi di sicurezza di rete e si aggiunge un attributo di sicurezza a un endpoint, tutto il traffico verso l'endpoint viene bloccato. Da quel momento in poi, un criterio ZPR deve consentire esplicitamente il traffico verso l'endpoint.
Per utilizzare ZPR con OCI Functions, aggiungere attributi di sicurezza a un'applicazione in una tenancy abilitata per ZPR. Dopo aver aggiunto un attributo di sicurezza a un'applicazione, le funzioni nell'applicazione possono accedere ad altre risorse OCI solo se l'accesso è consentito da un criterio ZPR.
Gli attributi di sicurezza sono definiti in uno spazio di nomi degli attributi di sicurezza. Per aggiungere un attributo di sicurezza a un'applicazione, un criterio IAM deve concedere al gruppo a cui si appartiene l'accesso allo spazio di nomi in cui viene definito l'attributo di sicurezza. Per ulteriori informazioni, vedere Criterio IAM obbligatorio per l'aggiunta di attributi di sicurezza alle applicazioni.
Per abilitare le funzioni in un'applicazione a cui è stato aggiunto un attributo di sicurezza per accedere ad altre risorse OCI, è necessario che esista un criterio ZPR appropriato. Se tale criterio ZPR non esiste, è necessario crearne uno. Se gli attributi di sicurezza sono stati aggiunti anche alle altre risorse, è possibile creare un criterio ZPR che consenta esplicitamente alle funzioni di accedere alle risorse con tali attributi di sicurezza. Se gli attributi di sicurezza non sono stati aggiunti alle altre risorse a cui si desidera che le funzioni accedano, è possibile utilizzare 'osn-services-ip-addresses' come endpoint per creare un criterio ZPR più permissivo. Senza un criterio ZPR adeguato, l'accesso delle funzioni ad altre risorse viene bloccato a livello di rete e potrebbero verificarsi errori di connessione all'interno del codice funzione. Per ulteriori informazioni, vedere Criterio ZPR obbligatorio per consentire alle applicazioni e alle funzioni di accedere ad altre risorse.
Per richiamare correttamente le funzioni in un'applicazione a cui è stato aggiunto un attributo di sicurezza, è necessario che esista un criterio ZPR appropriato per abilitare l'accesso ai repository di Oracle Cloud Infrastructure Registry contenenti le immagini su cui si basano le funzioni. Se non esiste un criterio ZPR appropriato, non è possibile richiamare correttamente le funzioni perché non è possibile estrarre le immagini dai repository.
Per ulteriori informazioni sul criterio ZPR da creare, vedere Criterio ZPR obbligatorio per abilitare il pull delle immagini delle funzioni da Oracle Cloud Infrastructure Registry.
Notare i punti riportati di seguito:
- Per visualizzare le applicazioni a cui sono stati aggiunti gli attributi di sicurezza, utilizzare la pagina Console di ZPR (vedere Listing Protected Resources nella documentazione ZPR). Nella pagina Console ZPR vengono inoltre visualizzate le VNIC create dalle funzioni OCI, con il nome visualizzato di ogni VNIC impostato sull'OCID dell'applicazione proprietaria.
- Dopo aver aggiunto gli attributi di sicurezza a un'applicazione, è possibile utilizzare Network Path Analyzer per eseguire il debug di eventuali problemi di connettività di rete rilevati dalle funzioni dell'applicazione.
- L'uso degli attributi di sicurezza e dei criteri ZPR per limitare l'accesso alle risorse OCI Functions da altri servizi OCI a livello di rete non è attualmente supportato.
- Se è stato aggiunto un attributo di sicurezza a un'applicazione e la console, l'interfaccia CLI o l'API ZPR viene successivamente utilizzata per eliminare l'attributo di sicurezza dallo spazio di nomi degli attributi di sicurezza, è necessario rimuovere manualmente l'attributo di sicurezza dall'applicazione. Se non si rimuove l'attributo di sicurezza eliminato dall'applicazione, vengono restituiti 502 errori quando vengono richiamate le funzioni nell'applicazione.
È possibile aggiungere o rimuovere attributi di sicurezza da o verso le applicazioni utilizzando la console, l'interfaccia CLI OCI e l'API.
Criterio IAM obbligatorio per l'aggiunta di attributi di sicurezza alle applicazioni
Prima di poter aggiungere un attributo di sicurezza a un'applicazione, un criterio IAM deve concedere al gruppo a cui si appartiene l'autorizzazione per utilizzare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza.
Ad esempio:
Allow group acme-functions-developers to use security-attribute-namespaces in tenancyPer ulteriori informazioni, vedere Istruzione criteri per concedere agli utenti delle funzioni OCI l'accesso agli spazi di nomi degli attributi di sicurezza.
Tenere presente che se non esiste un criterio IAM appropriato per utilizzare lo spazio di nomi degli attributi di sicurezza, non è possibile aggiungere l'attributo di sicurezza all'applicazione. L'attributo di sicurezza non viene visualizzato nella console e i tentativi di aggiungere l'attributo di sicurezza utilizzando l'interfaccia CLI OCI o l'API restituiscono un messaggio di errore 404 - Non trovato.
Criterio ZPR obbligatorio per abilitare le applicazioni (e le funzioni) per accedere ad altre risorse
Quando si aggiunge un attributo di sicurezza a un'applicazione OCI Functions, le funzioni in tale applicazione possono accedere ad altre risorse solo se un criterio ZPR concede all'applicazione l'accesso a tali risorse.
Se non esiste già un criterio ZPR appropriato, è necessario crearne uno. Ad esempio, utilizzando la seguente sintassi:
in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpointsdove:
<vcn-security-attribute>è un attributo (e un valore) di sicurezza aggiunto alla VCN in cui risiede la subnet dell'applicazione. Ad esempio,VCN-Network:myVCN.<application-security-attribute>è l'attributo (e il valore) di sicurezza aggiunto all'applicazione. Ad esempio,functions-app:myFuncAppA<destination-security-attribute>è un attributo di sicurezza (e un valore) aggiunto alla risorsa a cui si desidera che le funzioni dell'applicazione accedano. Ad esempio,DB-Server:App1
Ad esempio:
in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to DB-Server:App1 endpointsPer ulteriori informazioni sui criteri, la sintassi e alcuni esempi di ZPR, vedere Zero Trust Packet Routing Policy nella documentazione su ZPR.
Criterio ZPR necessario per abilitare il pull delle immagini delle funzioni da Oracle Cloud Infrastructure Registry
Per richiamare correttamente le funzioni in un'applicazione a cui è stato aggiunto un attributo di sicurezza, è necessario che esista un criterio ZPR per abilitare l'accesso ai repository di Oracle Cloud Infrastructure Registry contenenti le immagini su cui si basano le funzioni.
Se non esiste già un criterio ZPR appropriato, è necessario creare un criterio ZPR utilizzando la seguente sintassi:
in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to 'osn-services-ip-addresses'dove:
<vcn-security-attribute>è un attributo (e un valore) di sicurezza aggiunto alla VCN in cui risiede la subnet dell'applicazione. Ad esempio,VCN-Network:myVCN<application-security-attribute>è l'attributo (e il valore) di sicurezza aggiunto all'applicazione. Ad esempio,functions-app:myFuncAppA
Ad esempio:
in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to 'osn-services-ip-addresses'Se non esiste un criterio ZPR appropriato, quando viene richiamata una funzione, OCI Functions non è in grado di estrarre l'immagine da Oracle Cloud Infrastructure Registry e restituisce il seguente messaggio di errore:
Fn: Error invoking function. status: 502 message: Failed to pull function imagePer ulteriori informazioni sui criteri, la sintassi e alcuni esempi di ZPR, vedere Zero Trust Packet Routing Policy nella documentazione su ZPR.
Per aggiungere o rimuovere gli attributi di sicurezza a o da un'applicazione OCI Functions esistente utilizzando la console:
- Nella pagina della lista Applicazioni selezionare l'applicazione a cui si desidera aggiungere o rimuovere gli attributi di sicurezza. Per assistenza nella ricerca della pagina elenco o dell'applicazione, vedere Elenco delle applicazioni.
La scheda Sicurezza mostra gli attributi di sicurezza già aggiunti all'applicazione (se presenti).
-
Per aggiungere un attributo di sicurezza all'applicazione:
- Nella scheda Sicurezza selezionare Aggiungi e nella finestra di dialogo Aggiungi attributi di sicurezza:
- Selezionare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza.
- Selezionare l'attributo di sicurezza.
- Immettere il valore dell'attributo di sicurezza.
- Se si desidera aggiungere più attributi di sicurezza all'applicazione, selezionare Aggiungi attributo di sicurezza e selezionare ulteriori attributi di sicurezza (fino a un massimo di tre).
- Selezionare Aggiungi attributi di protezione.
- Nella scheda Sicurezza selezionare Aggiungi e nella finestra di dialogo Aggiungi attributi di sicurezza:
-
Per rimuovere un attributo di sicurezza dall'applicazione:
- Nella scheda Sicurezza selezionare Elimina dal menu accanto all'attributo di sicurezza che si desidera eliminare.
- Confermare che si desidera eliminare l'attributo di sicurezza.
Gli attributi di sicurezza visualizzati nella scheda Sicurezza dell'applicazione ora si applicano all'applicazione.
- Nella pagina della lista Applicazioni selezionare l'applicazione a cui si desidera aggiungere o rimuovere gli attributi di sicurezza. Per assistenza nella ricerca della pagina elenco o dell'applicazione, vedere Elenco delle applicazioni.
Utilizzare il comando oci fn application create e i parametri richiesti per creare un'applicazione:
oci fn application create --compartment-id <compartment-ocid> --display-name <app-name> --subnet-ids <subnet-ocids> [OPTIONS]Utilizzare il comando oci fn application update e i parametri necessari per aggiornare un'applicazione.
oci fn application update --application-id <application-ocid> [OPTIONS]Per un elenco completo dei flag e delle opzioni delle variabili per i comandi CLI OCI, consultare il riferimento per la riga di comando.
Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.
Utilizzare le operazioni API riportate di seguito per aggiungere o rimuovere attributi di sicurezza da o verso un'applicazione.