Panoramica di Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protegge i dati sensibili da accessi non autorizzati tramite criteri di sicurezza intent-based scritti per le risorse OCI a cui si assegnano attributi di sicurezza. Gli attributi di sicurezza sono etichette utilizzate da ZPR per identificare e organizzare le risorse OCI. ZPR applica i criteri a livello di rete ogni volta che viene richiesto l'accesso, indipendentemente dalle potenziali modifiche o configurazioni errate dell'architettura di rete.
ZPR si basa sulle regole esistenti del gruppo di sicurezza di rete (NSG) e della lista di controllo di sicurezza (SCL). Affinché un pacchetto raggiunga una destinazione, deve passare tutte le regole NSG e SCL e il criterio ZPR. Se una regola o un criterio NSG, SCL o ZPR non consente il traffico, la richiesta viene eliminata.
È possibile proteggere le reti con Zero Trust Packet Routing (ZPR) in tre passaggi:
- Creare e gestire gli spazi di nomi degli attributi di sicurezza e gli attributi di sicurezza
- Scrivere i criteri utilizzando gli attributi di sicurezza per controllare l'accesso alle risorse
- Applica attributi di sicurezza alle risorse specificate
Evita di inserire informazioni riservate durante l'assegnazione di descrizioni, tag, attributi di sicurezza o nomi descrittivi alle risorse cloud tramite la console, l'API o l'interfaccia CLI di Oracle Cloud Infrastructure.
Come funziona il routing dei pacchetti Zero Trust
Zero Trust Packet Routing (ZPR), consente di creare spazi di nomi degli attributi di sicurezza per organizzare gli attributi di sicurezza creati per l'assegnazione alle risorse che si desidera proteggere, ad esempio database e istanze di computazione. Quindi, utilizzando gli attributi di sicurezza, si creano criteri ZPR utilizzando il linguaggio ZPL (Zero Trust Packet Routing Policy Language) per esprimere l'intento di sicurezza su chi può accedere a tali risorse e dove i dati possono andare. Il motore dei criteri compila l'intento in regole appropriate applicate nei punti di applicazione dei criteri.
Ad esempio, un cliente desidera proteggere i propri dati sensibili da accessi ed esfiltrazioni non autorizzati. Il cliente applica un attributo di sicurezza data:sensitive ai dati riservati memorizzati nei database e un attributo di sicurezza hosts:trusted alle applicazioni front-end. Il cliente scrive quindi un criterio ZPR che protegge i dati da qualsiasi accesso non autorizzato.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsZPR applica il criterio ZPR a livello di rete in modo che solo i client con l'attributo di sicurezza hosts:trusted appropriato possano accedere ai dati con l'attributo di sicurezza data:sensitive in base al criterio ZPR.
Quando un client effettua una richiesta agli Application Server, ZPR verifica la presenza di attributi di sicurezza nei pacchetti di rete. Durante l'instradamento dei pacchetti attraverso la rete, il servizio controlla gli attributi di sicurezza sia nell'origine che nella destinazione in base al criterio ZPR e blocca la richiesta oppure consente la richiesta in base al criterio ZPR.
Concetti di Zero Trust Packet Routing
I concetti riportati di seguito sono fondamentali per comprendere il servizio ZPR (Zero Trust Packet Routing).
- attributo di sicurezza
- Etichetta a cui è possibile fare riferimento nel criterio ZPR per controllare l'accesso alle risorse supportate.
- spazio di nomi degli attributi di sicurezza
- Contenitore per un set di attributi di sicurezza.
- politica ZPR
- Regola che regola la comunicazione tra endpoint specifici identificati dai relativi attributi di sicurezza.
- Linguaggio di policy ZPR (ZPL)
- Lingua che definisce i flussi di dati autorizzati tra le origini dati mediante la valutazione degli attributi di sicurezza.
Autenticazione e autorizzazione
Ogni servizio in Oracle Cloud Infrastructure si integra con IAM per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST).
Un amministratore dell'organizzazione deve impostare gruppi , compartimenti e criteri che controllano quali utenti possono accedere a quali servizi, quali risorse e il tipo di accesso. Ad esempio, i criteri controllano chi può creare nuovi utenti, creare e gestire la rete cloud, avviare istanze, creare bucket, scaricare oggetti e così via. Per ulteriori informazioni, vedere Documentazione da utilizzare per l'identità cloud.
- Per informazioni dettagliate sulla scrittura dei criteri IAM per Zero Trust Packet Routing, vedere Criteri IAM Zero Trust Packet Routing.
- Per informazioni dettagliate sulla scrittura dei criteri per altri servizi, consultare il documento IAM Policy Reference.
Se non sei un amministratore ma devi utilizzare le risorse Oracle Cloud Infrastructure di proprietà della tua azienda, contatta il tuo amministratore per impostare un ID utente. L'amministratore può confermare quale compartimento o compartimenti utilizzare.
Modalità di accesso al routing dei pacchetti Zero Trust
È possibile accedere a Zero Trust Packet Routing (ZPR) utilizzando la console (un'interfaccia basata su browser), l'interfaccia a riga di comando (CLI) o l'API REST. Le istruzioni per la console, l'interfaccia CLI e l'API sono incluse negli argomenti di questa guida.
Per accedere alla console, è necessario utilizzare un browser supportato. Per andare alla pagina Collega della console, aprire il menu di navigazione nella parte superiore di questa pagina e fare clic su Console di Oracle Cloud. Viene richiesto di immettere un tenant, un nome utente e una password cloud.
Per un elenco dei kit SDK disponibili, vedere SDK e CLI. Per informazioni generali sull'uso delle API, consulta la documentazione relativa alle API REST.
Limiti
Informazioni sui limiti per risorsa negli attributi di sicurezza e sui caratteri supportati nelle stringhe degli attributi di sicurezza.
- Attributi di sicurezza per tenancy: illimitato
- Attributi di sicurezza per ogni VCN: 1
- Attributi di sicurezza per risorsa (diversi da VCN): 3
- Numero di valori predefiniti per una chiave di attributo di sicurezza: 100 per elenco
- Istruzioni per oggetto criterio: 50
- Oggetti criteri predefiniti per tenancy: 100
- Istruzioni per tenancy (in tutti gli oggetti criteri): 1000
| Risorsa | Caratteri supportati | Lunghezza massima |
|---|---|---|
| Spazio di nomi degli attributi di sicurezza | ASCII stampabile, esclusi i punti (.) e gli spazi
|
100 caratteri |
|
Attributo di sicurezza |
ASCII stampabile, esclusi i punti (.) e gli spazi
|
100 caratteri |
|
Valore attributo di sicurezza |
Qualsiasi carattere ASCII o Unicode valido. Il carattere deve essere racchiuso tra virgolette singole (') se il valore ha un carattere risolto (punto o spazio) | 255 caratteri |
Risorse a cui è possibile assegnare attributi di sicurezza
Nella tabella seguente sono elencate le risorse che supportano gli attributi di sicurezza ZPR (Zero Trust Packet Routing). Questa tabella viene aggiornata quando viene aggiunto il supporto degli attributi di sicurezza per altre risorse.
| Servizio | Tipi di risorse |
|---|---|
| Calcolo |
istanza configurazioni istanza |
| Database |
autonomous database cluster VM autonomi cloud cluster cloud-vm database db-system cluster exadb-vm |
| Load balancer | load balancer |
| Networking |
vcns VNIC PrivateEndpoint |
| Load balancer di rete | load balancer di rete |
Differenza tra ZPR e IAM
I criteri ZPR (Zero Trust Packet Routing) coesistono con i criteri IAM OCI esistenti per offrire un livello di sicurezza più completo.
I criteri ZPR e i criteri IAM sono diversi nei modi riportati di seguito.
- Il criterio ZPR è un controllo a livello di rete (L4) simile a quello dei gruppi di sicurezza di rete (NSG) e degli elenchi di sicurezza che definisce le connessioni tra le istanze di computazione e i database in una tenancy.
- Il criterio IAM è un linguaggio di criteri a livello di applicazione (L7) che controlla quali principal (gruppi o principal risorse) possono accedere a quali risorse OCI utilizzando autorizzazioni specifiche, dopo aver stabilito una connessione a livello di rete.
La principale differenza tra il criterio ZPR e il criterio IAM consiste nel fatto che il criterio ZPR affronta l'aspetto della rete di una connessione, ovvero gli attributi di sicurezza dell'origine e delle destinazioni (computazione o database), l'indirizzo IP, il protocollo e la porta. Il criterio ZPR non comprende o valuta il principal, i tipi di risorsa OCI o le autorizzazioni.
Con l'autorizzazione OCI, ad esempio, quando un utente desidera eliminare un'istanza di database esistente si connette a OCI Console (o utilizza l'interfaccia CLI o l'SDK) utilizzando un nome utente e una password OCI, quindi emette il comando per eliminare la risorsa OCI (database). A questo punto, il criterio IAM OCI viene utilizzato per decidere se l'utente dispone delle autorizzazioni per eseguire tale azione in base al criterio IAM.
I criteri IAM e ZPR sono entrambi importanti e possono essere utilizzati per offrire un livello di sicurezza più completo.
Differenza tra ZPR e altri metodi di sicurezza
Una lista di sicurezza consente di definire e applicare un set di regole di sicurezza a tutte le risorse in una singola VCN o subnet di una VCN. Un'istanza di computazione o un'altra risorsa non può eseguire l'opt-in o l'out dalle regole in vigore per la subnet o la VCN che sta utilizzando per la connettività. Per ulteriori informazioni sugli elenchi di sicurezza, vedere Elenchi di sicurezza.
Un gruppo di sicurezza di rete (NSG) consente di definire e applicare un set di regole di sicurezza a un gruppo di schede di interfaccia di rete virtuale (VNIC, Virtual Network Interface Card) scelte in una VCN. Le VNIC possono trovarsi in subnet diverse e alcune VNIC in una subnet possono utilizzare solo una lista di sicurezza, mentre altre utilizzano sia una lista di sicurezza che un gruppo NSG. Un gruppo NSG utilizza regole identiche nella struttura alle liste di sicurezza. Una VNIC può essere impostata per partecipare o uscire da un gruppo NSG dalla pagina dei dettagli di gestione della VNIC nella console, ma non è possibile aggiungere o rimuovere una VNIC dalla pagina di gestione del gruppo NSG nella console. Per ulteriori informazioni sui gruppi di sicurezza di rete, vedere Network Security Groups. Per un confronto più dettagliato delle liste di sicurezza e dei gruppi NSG, vedere Confronto delle liste di sicurezza e dei gruppi di sicurezza di rete.
Il criterio ZPR ti consente di definire e applicare un set di regole di sicurezza a una vasta gamma di risorse che non sono necessariamente tutte in una singola VCN, quindi il tuo livello di sicurezza è ancora meno legato alla struttura della tua rete. Le possibili regole possono essere più granulari e complesse e non condividere la struttura utilizzata dai gruppi NSG e dalle liste di sicurezza. È possibile impostare una risorsa per utilizzare un criterio ZPR aggiungendovi un attributo di sicurezza dalla pagina delle risorse protette nella console oppure aggiungere o rimuovere una risorsa dalla pagina dei dettagli del criterio ZPR nella console.
| Metodo di sicurezza | Si applica a | Abilita o disabilita | Limitazioni |
|---|---|---|---|
| Lista di sicurezza | Tutte le VNIC in una subnet o in una VCN | Non disponibile | Massimo cinque liste di sicurezza per subnet |
| Gruppi di sicurezza di rete | VNIC selezionate in una VCN | Dalla pagina dei dettagli della VNIC | Massimo cinque NSG per VNIC |
| Zero Trust Packet Routing | Risorse selezionate (VNIC e altri tipi di risorse) in una o più VCN | Con un attributo di sicurezza applicato alla risorsa | Massimo tre attributi di sicurezza ZPR per risorsa |
I criteri ZPR consentono di applicare gli attributi di sicurezza direttamente alla VNIC o a qualsiasi altra risorsa gestita e definita dai criteri ZPR che fanno riferimento agli elementi riportati di seguito.
- Gli attributi di sicurezza
- L'host che effettua la richiesta
- Rete su cui viaggia la richiesta
- Indica se un'azione è consentita
Il traffico non consentito dai criteri non può viaggiare sulla rete. Qualsiasi risorsa a cui è applicato l'attributo di sicurezza è soggetta ai criteri ZPR che vi fanno riferimento. Una risorsa può avere al massimo tre attributi di sicurezza.
Si consiglia di utilizzare ZPR perché ZPR consente di definire requisiti di sicurezza più granulari. Per ulteriori informazioni, vedere Se si utilizza Zero Trust Packet Routing con altri metodi di sicurezza.
Vantaggi di ZPR rispetto a NSG
- Una lista di sicurezza o un gruppo NSG non può essere applicato a più reti VCN, ma un criterio ZPR può essere applicato a più reti VCN applicando lo stesso attributo di sicurezza a più reti VCN.
- Impossibile aggiungere una risorsa (che utilizza un endpoint o una VNIC) a un gruppo NSG durante la gestione di tale gruppo NSG. Puoi farlo con una politica ZPR.
- Un criterio ZPR può essere più complesso di una regola di sicurezza utilizzata da una lista di sicurezza o da un gruppo NSG.
- Gli attributi dei criteri e della sicurezza ZPR distinguono l'architettura di rete dalla sicurezza di rete. Ciò significa che se è necessario modificare l'architettura di rete (ad esempio, aggiungere una nuova applicazione) non si rischia di compromettere la sicurezza di rete.
Se si utilizza Zero Trust Packet Routing con altri metodi di sicurezza
Qualsiasi VNIC o endpoint deve disporre di regole per la lista di sicurezza della VCN o della subnet che consentano la comunicazione. Un gruppo NSG può aggiungere più regole all'inizio delle regole della lista di sicurezza per le risorse selezionate in qualsiasi punto di una VCN. Un criterio ZPR può essere sovrapposto sia alle liste di sicurezza che alle regole NSG oppure il criterio ZPR può essere aggiunto solo a una lista di sicurezza.
Il seguente diagramma è un'illustrazione dell'idea.
Quando si utilizza ZPR con gruppi NSG ed elenchi di sicurezza, il set di regole applicabile a una determinata risorsa include i seguenti elementi:
- Criteri di Zero Trust Packet Routing
- Regole di sicurezza in tutti i gruppi NSG a cui appartiene la VNIC della risorsa
- La sicurezza elenca le regole pertinenti a tutte le VNIC o agli endpoint nella VCN o nella subnet (ogni VNIC o endpoint dispone di almeno una lista di sicurezza pertinente)