Criterio di instradamento Zero Trust Packet

Un criterio è un contenitore per un set di istruzioni dei criteri. Un'istruzione criterio è una regola che specifica chi può accedere a quale risorsa e in che modo. Il criterio ZPR (Zero Trust Packet Routing) si basa su un modello di autorizzazione ABAC (Attributed Based Access Control) che valuta gli attributi (o le caratteristiche) per determinare l'accesso alle risorse. Questo approccio è diverso da IAM OCI (vedere In che modo ZPR si differenzia da IAM). I criteri ZPR sono progettati per ottenere un "controllo dell'accesso basato sugli attributi" in cui gli attributi di sicurezza di origine, destinazione e rete vengono presi in considerazione nella valutazione dei criteri utilizzando Zero Trust Packet Routing Policy Language (ZPL).

ZPL consente di scrivere istruzioni dei criteri incentrate sul consentire agli endpoint client con attributi di sicurezza di accedere ad altri endpoint. ZPL supporta i seguenti tipi di dichiarazioni di consenso per quanto riguarda la comunicazione a, da e all'interno di singoli VCN identificati dai relativi attributi di sicurezza:

• Consenti comunicazione tra due endpoint all'interno di una VCN
• Consenti l'ingresso da un'origine esterna alla VCN a un endpoint all'interno della VCN
• Consenti uscita a una destinazione esterna alla VCN da un endpoint all'interno della VCN

Ad esempio, la seguente istruzione di criterio consente agli host apps:hr-apps di leggere qualsiasi risorsa OCI con l'attributo di sicurezza apps:hr-app-data:

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

Quando si entra o si esce fuori dalla VCN, il criterio ZPR deve fare riferimento ai client utilizzando gli indirizzi IP anziché gli attributi di sicurezza. Gli attributi di sicurezza possono essere utilizzati solo quando si fa riferimento agli endpoint nella stessa VCN.

Ad esempio, se è necessario consentire a un client nella VCN networks:net1 di accedere a un'istanza di computazione o a un database in un'altra VCN, è necessario utilizzare gli indirizzi IP per fare riferimento alle destinazioni nell'altra VCN:

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

Per creare criteri ZPR, è innanzitutto necessario creare attributi di sicurezza. Gli attributi di sicurezza vengono presi in considerazione nella valutazione del criterio ZPR. Dopo aver creato gli attributi di sicurezza, esaminare la sintassi dei criteri ZPR, quindi esaminare le opzioni per la creazione di un criterio con i generatori di criteri. Sono inoltre disponibili informazioni sui criteri ZPR da esempi.

Dopo aver creato gli attributi di sicurezza e i criteri ZPR, è possibile applicare gli attributi di sicurezza alle risorse.

Per i tipi di risorse che è possibile utilizzare nei criteri ZPR, vedere Risorse che possono essere assegnate attributi di sicurezza.