Criterio di instradamento Zero Trust Packet
Un criterio di instradamento Zero Trust Packet applica il controllo dell'accesso in base agli attributi di sicurezza applicati alle risorse coinvolte in un tentativo di accesso.
Un criterio è un contenitore per un set di istruzioni dei criteri. Un'istruzione criterio è una regola che specifica chi può accedere a quale risorsa e in che modo. Il criterio ZPR (Zero Trust Packet Routing) si basa su un modello di autorizzazione ABAC (Attributed Based Access Control) che valuta gli attributi (o le caratteristiche) per determinare l'accesso alle risorse. Questo approccio è diverso da IAM OCI (vedere In che modo ZPR si differenzia da IAM). I criteri ZPR sono progettati per ottenere un "controllo dell'accesso basato sugli attributi" in cui gli attributi di sicurezza di origine, destinazione e rete vengono presi in considerazione nella valutazione dei criteri utilizzando Zero Trust Packet Routing Policy Language (ZPL).
ZPL consente di scrivere istruzioni dei criteri incentrate sul consentire agli endpoint client con attributi di sicurezza di accedere ad altri endpoint.
I criteri ZPR non sostituiscono l'impostazione delle relazioni di peering tra le reti VCN. Per il peering di due VCN nella stessa area, vedere Peering VCN locale mediante Local Peering Gateways o Peering VCN locale tramite un DRG aggiornato. Per il peering di due VCN in aree diverse, vedere Peering VCN remoto tramite un DRG aggiornato.
ZPL supporta i seguenti tipi di istruzioni di autorizzazione per quanto riguarda la comunicazione con, da e all'interno di singole reti VCN identificate dai loro attributi di sicurezza:
- Consenti traffico tra due endpoint all'interno di una VCN
- Consenti traffico tra gli endpoint in VCN diversi all'interno della stessa area
Ad esempio, l'istruzione dei criteri riportata di seguito consente agli host apps:hr-apps di leggere qualsiasi risorsa OCI a cui è stato applicato l'attributo di sicurezza apps:hr-app-data all'interno della stessa VCN.
in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpointsL'istruzione dei criteri riportata di seguito consente agli endpoint networks:net1:App1 nella VCN networks:net1 di connettersi agli endpoint DB-Server:App1 nella VCN networks:net2, quando entrambe le VCN si trovano nella stessa area:
allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCNPer consentire il traffico tra endpoint in VCN diverse che non si trovano nella stessa area o VCN nella stessa area a cui non sono assegnati attributi di sicurezza, è necessario utilizzare un criterio basato su CIDR o IP. Ad esempio, se è necessario consentire a un client nella VCN networks:net1 di accedere a un'istanza di computazione o a un database in un'altra VCN in un'area diversa, è necessario utilizzare gli indirizzi IP per fare riferimento alle destinazioni nell'altra VCN:
in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'Per creare criteri ZPR, è innanzitutto necessario creare attributi di sicurezza. Gli attributi di sicurezza vengono presi in considerazione nella valutazione del criterio ZPR. Dopo aver creato gli attributi di sicurezza, esaminare la sintassi dei criteri ZPR, quindi esaminare le opzioni per la creazione di un criterio con i generatori di criteri. Sono inoltre disponibili informazioni sui criteri ZPR da esempi.
Per rendere effettivo il criterio ZPR, è necessario aggiungere attributi di sicurezza alle risorse OCI.
Dopo aver creato gli attributi di sicurezza e i criteri ZPR, è possibile aggiungere gli attributi di sicurezza alle risorse.
Per i tipi di risorse che è possibile utilizzare nei criteri ZPR, vedere Risorse che possono essere assegnate attributi di sicurezza.