Documentazione dell'infrastruttura Oracle Cloud

Managing Security Attributes for Private Endpoints (PE)s

Scopri come aggiungere, elencare e aggiornare gli attributi di sicurezza ZPR (Zero Trust Packet Routing) per gli endpoint privati AI generativa. Gli attributi di sicurezza sono etichette utilizzate da Zero Trust Packet Routing (ZPR) per identificare le risorse e applicare i criteri ZPR.

Informazioni

È possibile proteggere un endpoint privato AI generativa con ZPR assegnando attributi di sicurezza all'endpoint e definendo criteri ZPR che consentono in modo esplicito il traffico approvato.

ZPR viene valutato oltre al routing e ai controlli di rete tradizionali. Per raggiungere l'endpoint privato, il traffico deve essere consentito da tutti i controlli riportati di seguito.

  • Instradamento valido alla subnet dell'endpoint
  • Gruppo di sicurezza di rete (NSG) e regole della lista di sicurezza
  • Criteri ZPR applicabili
Attenzione

Se si aggiunge un attributo di sicurezza ZPR a un endpoint privato, il traffico verso l'endpoint viene bloccato a meno che un criterio ZPR non lo consenta in modo esplicito. Creare e convalidare le regole dei criteri ZPR prima o immediatamente dopo l'assegnazione degli attributi di sicurezza per evitare interruzioni impreviste.

Termini chiave

  • Attributo di sicurezza: etichetta a cui viene fatto riferimento in un criterio ZPR per controllare l'accesso alle risorse supportate.
  • Spazio di nomi degli attributi di sicurezza: contenitore per gli attributi di sicurezza.
  • ZPR policy language (ZPL): la sintassi dei criteri utilizzata per scrivere regole ZPR che consentono o negano il traffico di rete in base agli attributi di sicurezza.
  • Criterio ZPR: un set di regole di consenso/negazione, scritte in ZPL (Policy Language) ZPR, che controlla le risorse che possono comunicare abbinando lo spazio di nomi degli attributi di sicurezza alle etichette chiave/valore.

Imposta

  1. Nel servizio ZPR, creare uno spazio di nomi degli attributi di sicurezza e attributi di sicurezza e scrivere criteri ZPR (i criteri ZPR non sono criteri IAM).
  2. Nel servizio AI generativa, aggiungere fino a tre attributi di sicurezza all'endpoint privato.
  3. Assicurarsi che il traffico verso l'endpoint sia consentito da:
    • instradamento
    • Regole lista di sicurezza/NSG
    • Criteri ZPR

Consultare la documentazione Zero Trust Packet Routing.

Requisiti indispensabili

Completare i task riportati di seguito nel servizio ZPR prima di assegnare gli attributi di sicurezza a un endpoint privato.

  1. Verificare l'accesso IAM: assicurarsi che gli amministratori o gli utenti dispongano delle autorizzazioni per gestire le risorse ZPR (spazi di nomi, attributi e criteri ZPR). Vedere Criteri IAM ZPR.

  2. Crea spazio di nomi e attributi: creare uno spazio di nomi degli attributi di sicurezza, quindi creare fino a 3 attributi di sicurezza per la progettazione.

  3. Scrivere i criteri ZPR: utilizzare il linguaggio ZPR (ZPL, Policy Language) per consentire in modo esplicito il traffico richiesto all'endpoint privato. Vedere Criteri ZPR e Sintassi dei criteri.

    Promemoria: il traffico deve essere consentito anche dalle liste di instradamento, NSG e sicurezza.

  4. Etichette dell'endpoint del piano: decidere lo spazio di nomi/chiave/valore da applicare all'endpoint privato e confermare che il criterio ZPR consente il traffico a tale set di attributi.

Esempio di criterio ZPR:

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
Suggerimento

Scopri di più su ZPR

Nella console aprire il menu di navigazione e selezionare Identità e sicurezza. In Zero Trust Packet Routing selezionare Panoramica. Guarda i video e le indicazioni sul servizio in questa pagina.

Aggiunta di ZPR durante la creazione di un PE🔗

  1. Attenersi alla procedura descritta in Creazione di un endpoint privato.
  2. Nel flusso di creazione, espandere Mostra attributi di sicurezza, quindi espandere l'opzione Tag visualizzata per gli attributi di sicurezza.
  3. Selezionare Aggiungi attributo di sicurezza.
  4. Immettere le informazioni riportate di seguito.
    • Spazio di nomi degli attributi di sicurezza
    • Chiave degli attributi di sicurezza
    • Valore attributo di sicurezza
  5. Selezionare Aggiungi attributo di sicurezza per aggiungere altri attributi (fino a 3 totali).
  6. Selezionare Crea.
Nota

Per evitare il blocco involontario dell'accesso, assicurarsi che i criteri ZPR siano definiti in modo da consentire il flusso di traffico previsto all'endpoint prima di utilizzare l'endpoint in produzione. Consulta la sezione Prerequisiti.

Aggiunta o aggiornamento di ZPR in un ambiente di lavoro esistente 🔗

Seguire questi passi per aggiungere attributi di sicurezza a un endpoint esistente o per modificare lo spazio di nomi/chiave/valore già applicato.

  1. Nella pagina della lista Endpoint privati selezionare l'endpoint privato da utilizzare. Se è necessaria assistenza per trovare la pagina della lista per gli endpoint privati, vedere Elenca endpoint privati.
  2. Nella pagina dei dettagli dell'endpoint privato, selezionare la scheda Attributi di sicurezza.
  3. Selezionare Aggiungi attributi di protezione.
  4. Immettere le informazioni riportate di seguito.
    • Spazio di nomi degli attributi di sicurezza
    • Chiave degli attributi di sicurezza
    • Valore attributo di sicurezza
  5. Selezionare di nuovo Aggiungi attributi di sicurezza per aggiungere altri attributi (fino a 3 totali).
  6. Al termine, selezionare Aggiungi attributi di sicurezza.
Attenzione

La modifica degli attributi di sicurezza può modificare i criteri ZPR applicati all'endpoint. Dopo qualsiasi modifica, verificare che l'accesso sia consentito dai criteri ZPR e anche dalle regole di instradamento e NSG/elenco di sicurezza.

Nota autorizzazioni

Per aggiungere un attributo di sicurezza, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi degli attributi di sicurezza. Per informazioni dettagliate, consultare la documentazione Zero Trust Packet Routing.

Lista degli attributi di sicurezza

  1. Nella pagina della lista Endpoint privati selezionare l'endpoint privato da utilizzare. Se è necessaria assistenza per trovare la pagina della lista per gli endpoint privati, vedere Elenca endpoint privati.
  2. Nella pagina dei dettagli dell'endpoint privato, selezionare la scheda Attributi di sicurezza.