Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Crea e configura Oracle Cloud Infrastructure Zero Trust Packet Routing

Introduzione

Oracle Cloud Infrastructure (OCI) Zero Trust Packet Routing impedisce l'accesso non autorizzato ai dati gestendo i criteri di sicurezza di rete separatamente dall'architettura di rete di base. Grazie a un linguaggio di criteri facilmente comprensibile e basato su intenti, gli amministratori della sicurezza possono definire percorsi di accesso specifici per i dati. Il traffico non esplicitamente consentito dalla politica non può viaggiare sulla rete, migliorando la sicurezza e semplificando al contempo il lavoro dei team di sicurezza, rete e audit.

L'esercitazione riportata di seguito fornisce dettagli su come configurare OCI Zero Trust Packet Routing per applicare i controlli di sicurezza per gestire le comunicazioni in tutta la rete all'interno di una tenancy OCI (Oracle Cloud Infrastructure). Per questa esercitazione è stata distribuita la seguente architettura.

In questa architettura sono state configurate le seguenti risorse:

• financeprod è un'istanza di Oracle Autonomous Database, configurata come database di produzione, ospitato in una rete privata, resa accessibile all'interno della subnet privata tramite un endpoint privato.

• client-prod è un'istanza di computazione che simula un'applicazione enterprise nell'ambiente di produzione. Per questo scenario, si tratta di un'istanza Oracle Linux che esegue Oracle Instant Client.

• client-dev è un'istanza di computazione che simula un'applicazione enterprise nell'ambiente di sviluppo. Come per client-prod, si tratta di un'istanza Oracle Linux su cui è in esecuzione Oracle Instant Client.

Per questo caso d'uso è stata inoltre configurata una VCN (so-vcn-pt) separata, composta da:

• subnet-public è la subnet pubblica contenente le istanze di computazione.

• subnet-private è la subnet privata che contiene il database.

• sl-allow-public è una lista di sicurezza che consente l'accesso SSH da Internet. È stata inoltre configurata una regola di uscita per consentire il traffico in uscita. Viene assegnato a subnet-public.

• sl-allow-private è una lista di sicurezza che consente il traffico di Oracle Instant Client (porta 1522) da subnet-public. È stata inoltre configurata una regola di uscita per consentire il traffico in uscita. Questa lista di sicurezza è assegnata a subnet-private.

• route-public è la tabella di instradamento di tutto il traffico al gateway Internet. Viene assegnato a subnet-public.

• route-private è la tabella di instradamento di tutto il traffico al gateway NAT. Viene assegnato a subnet-private.

• gw-internet è il gateway Internet utilizzato in route-public.

• gw-nat è il gateway NAT utilizzato in route-private.

Obiettivi

• Configurare i nuovi attributi di sicurezza per l'instradamento del pacchetto Zero Trust OCI.

• Crea criteri di instradamento del pacchetto Zero Trust OCI per controllare il flusso del traffico di rete.

• Assegna attributi di sicurezza OCI Zero Trust Packet Routing alle risorse.

• Eseguire il test dei criteri di instradamento dei pacchetti Zero Trust OCI.

Prerequisiti

• Una sottoscrizione a pagamento per la tenancy OCI con le autorizzazioni appropriate per gestire le risorse di instradamento dei pacchetti Zero Trust OCI.

• Struttura di rete definita nell'architettura.

• Due istanze di computazione secondo l'architettura, distribuite nella subnet pubblica.

• Installare e configurare Oracle Instant Client (incluso il client SQL*Plus) su entrambe le istanze di computazione.

  Nota: scaricare e installare Oracle Instant Client da qui: Installazione di Oracle Instant Client mediante RPM.

• Crea un'istanza di Oracle Autonomous Database in base all'architettura e distribuiscila con un endpoint privato all'interno della subnet privata.

• Configurare l'accesso al database da Oracle Instant Client su entrambe le istanze di computazione.

Task 1: Conferma accesso al database dai client

In questo task verrà confermato che entrambe le istanze di computazione sono in grado di accedere al database tramite Oracle Instant Client.

1. Connettersi all'istanza di computazione client-prod utilizzando il protocollo SSH come utente opc.

2. Eseguire il comando sqlplus per connettersi al database autonomo.

   In base ai prerequisiti, è necessario installare e configurare il client Oracle Instant. Di seguito è riportato un riepilogo dei passi di impostazione.

   • Scaricare e installare Oracle Instant Client.

   • Configurare Oracle Instant Client.

   • Scaricare il wallet di connessione per il database autonomo da OCI.

   • Estrarre il wallet in una cartella.

   • Configurare il file sqlnet.ora all'interno della cartella del wallet in modo che punti alla posizione del wallet.

   • Esportare la variabile TNS_ADMIN in modo che punti alla posizione del wallet estratto. Ad esempio, export TNS_ADMIN=/opt/wallet.

   • Eseguire il comando sqlplus, ad esempio sqlplus admin@financeprod_low e immettere la password quando richiesto.

   Se Oracle Instant Client funziona correttamente e tutti i prerequisiti sono stati completati, è necessario connettersi correttamente al database ed essere in grado di eseguire i comandi. Eseguire il comando show user; per visualizzare gli utenti.

   

3. Ripetere il test della connessione al database da client-dev.

   

   Se Oracle Instant Client funziona correttamente e tutti i prerequisiti sono stati completati, è necessario connettersi correttamente al database ed essere in grado di eseguire i comandi. Eseguire il comando show user; per visualizzare gli utenti.

Task 2: Abilita instradamento pacchetto Zero Trust OCI

Se si tratta della prima volta che si utilizza l'instradamento di pacchetti Zero Trust OCI all'interno della tenancy, sarà necessario abilitarlo.

1. Eseguire il login a OCI Console come utente con le autorizzazioni appropriate per gestire le risorse di instradamento dei pacchetti Zero Trust OCI e le altre risorse utilizzate in questa esercitazione.

2. Andare a Identità e sicurezza e fare clic su Instradamento pacchetti Zero Trust.

3. Fare clic su Abilita ZPR, il pulsante diventerà disattivato e i menu OCI Zero Trust Packet Routing diventeranno accessibili.

   

Task 3: configurare gli attributi di sicurezza di instradamento del pacchetto Zero Trust OCI

Per configurare l'instradamento di pacchetti Zero Trust OCI, è necessario impostare gli attributi di sicurezza che verranno utilizzati nei criteri di instradamento di pacchetti Zero Trust OCI.

In questo task verranno creati tre nuovi attributi di sicurezza che rappresentano la rete, i database e le applicazioni. Verranno creati valori predefiniti per questi attributi di sicurezza.

1. Andare a Zero Trust Packet Routing e fare clic su Spazio di nomi attributo di sicurezza.

2. In Ambito elenco, selezionare il compartimento root. Verrà visualizzato lo spazio di nomi oracle-zpr predefinito.

   

3. Fare clic su oracle-zpr per visualizzare l'attributo di sicurezza sensitivity predefinito. L'attributo non verrà utilizzato in questa esercitazione.

4. Selezionare Crea attributo di sicurezza per creare un nuovo attributo di sicurezza.

5. In Crea attributo sicurezza, immettere le informazioni riportate di seguito.

   • Nome: immettere app.
   • Descrizione: immettere Security attribute representing applications.
   • Tipo di valore dell'attributo di sicurezza: selezionare Una lista di valori.
   • Valori: immettere prod e dev (su righe separate).

   

6. Fare clic su Crea per creare il nuovo attributo.

7. Ripetere i passi 5 e 6 per creare altri due attributi di sicurezza.

   • Creare un attributo di sicurezza per i database utilizzando le informazioni riportate di seguito.

     • Nome: immettere db.
     • Descrizione: immettere Security attribute representing databases.
     • Tipo di valore dell'attributo di sicurezza: selezionare Una lista di valori.
     • Valori: immettere prod e dev (su righe separate).

   • Creare un attributo di sicurezza per le reti utilizzando le informazioni riportate di seguito.

     • Nome: immettere network.
     • Descrizione: immettere Security attribute representing networks.
     • Tipo di valore dell'attributo di sicurezza: selezionare Una lista di valori.
     • Valori: immettere prod e dev (su righe separate).

   Al termine, dovrebbe essere visualizzato l'elenco degli attributi di sicurezza, incluso l'attributo sensitivity predefinito.

   

Task 4: Creare criteri di instradamento del pacchetto Zero Trust OCI

Abbiamo definito gli attributi di sicurezza, ora dobbiamo creare i criteri per controllare il flusso di informazioni sulla rete.

Per questo caso d'uso, abbiamo bisogno di una policy che permetta all'applicazione di produzione di poter comunicare con il database di produzione. In questo task, configureremo il criterio di instradamento dei pacchetti Zero Trust OCI per raggiungere questo obiettivo.

1. Andare alla console OCI, andare a Identità e sicurezza, instradamento di pacchetti Zero Trust e fare clic su Criteri.

2. Fare clic su Crea criterio per creare un nuovo criterio di instradamento del pacchetto Zero Trust OCI.

3. Immettere le informazioni riportate di seguito e fare clic su Aggiungi istruzioni dei criteri per aggiungere un'istruzione dei criteri al criterio.

   • Nome: immettere prod_policy.
   • Descrizione: immettere Policy to allow production clients in the production network to access production databases.

4. Esaminare le tre opzioni per la creazione delle istruzioni dei criteri, selezionare Costruzione guidata criteri manuale, immettere la seguente istruzione dei criteri e fare clic su Aggiungi per salvare l'istruzione dei criteri.

   • Istruzioni dei criteri: immettere in network:prod VCN allow app:prod endpoints to connect to db:prod endpoints with protocol = 'tcp/1522'.

   Nota: l'istruzione del criterio è di facile comprensione, anche senza una spiegazione. Tuttavia, per chiarezza, si sta dicendo a OCI Zero Trust Packet Routing che si desidera che le risorse a cui è assegnato l'attributo di sicurezza app:prod possano comunicare con qualsiasi risorsa a cui è assegnato l'attributo di sicurezza db:prod, all'interno della VCN network:prod sul protocollo TCP 1522.

   

   Il criterio completato deve avere l'aspetto seguente:

   

5. Fare clic su Crea criterio per completare la creazione del prod_policy.

   Nota: una volta assegnati gli attributi di sicurezza alle risorse, verrà applicato il criterio di instradamento del pacchetto Zero Trust OCI e sarà consentito il transito della rete solo al traffico che corrisponde a un criterio di instradamento del pacchetto Zero Trust OCI. Poiché assegnerai gli attributi di sicurezza alle due istanze di computazione, perderai l'accesso SSH a tali istanze di computazione, poiché non esiste alcun criterio di instradamento del pacchetto Zero Trust OCI per consentire l'accesso SSH ai tuoi client. Pertanto, è necessario risolvere questo problema creando due criteri aggiuntivi.

6. Ripetere i passi da 2 a 5 per creare due criteri di instradamento del pacchetto Zero Trust OCI aggiuntivi, in modo da consentire la connessione alle istanze di computazione tramite SSH.

   • Criterio per consentire l'accesso SSH a client-prod:

     • Nome: immettere prod_client_access_policy.
     • Descrizione: immettere Policy to allow SSH access to the production clients in the production network.
     • Istruzioni dei criteri: immettere in network:prod VCN allow 'x.x.x.x/32' to connect to app:prod endpoints with protocol='tcp/22'.

   • Criterio per consentire l'accesso SSH a client-dev:

     • Nome: immettere dev_client_access_policy.
     • Descrizione: immettere Policy to allow dev clients in the production network to access production databases.
     • Istruzioni dei criteri: immettere in network:prod VCN allow 'x.x.x.x/32' to connect to app:dev endpoints with protocol='tcp/22'.

     Nota:

     • Sostituire x.x.x.x con il proprio indirizzo IP.

     • In uno scenario di produzione, l'accesso ai client sarà in genere tramite un host OCI Bastion. Tuttavia, per mantenere questo tutorial semplice, l'accesso è diretto. Pertanto, è necessario includere l'indirizzo IP esterno del computer di origine che si connette ai client tramite SSH.

   L'aspetto dei criteri completati dovrebbe essere:

   

Task 5: Assegna attributi di sicurezza alle risorse

In questo task, per configurare OCI Zero Trust Packet Routing assegneremo gli attributi di sicurezza alle risorse necessarie.

Un attributo di sicurezza db verrà associato al database, un attributo di sicurezza app ai due client e un attributo di sicurezza network alla VCN.

Nota: quando si assegnano attributi di sicurezza, è possibile eseguirli dalle schermate Indirizzamento del pacchetto Zero Trust OCI o dalle singole risorse. Questo tutorial vi mostrerà entrambi i metodi.

1. Assegnare l'attributo di sicurezza al database.

   1. Andare alla console OCI, andare a Oracle Database e Autonomous Database.

      Nota: assicurarsi di trovarsi nel compartimento in cui è stato creato il database, che sia elencato.

      

   2. Selezionare il database (ad esempio, Finance-PROD) dalla lista dei database disponibili.

   3. Fare clic su Attributi di sicurezza. Verrà visualizzato che è vuoto senza alcun attributo di sicurezza assegnato.

      

   4. Fare clic su Aggiungi attributi di sicurezza e immettere le informazioni riportate di seguito.

      • Spazio di nomi: selezionare oracle-zpr.
      • Chiave: selezionare db.
      • Valore: selezionare prod.

      

   5. Fare clic su Aggiungi attributi di sicurezza per assegnare l'attributo di sicurezza al database. Il database verrà aggiornato e l'attributo verrà assegnato.

      

2. Assegnare gli attributi di sicurezza alle istanze di computazione.

   1. Andare alla console OCI, andare a Computazione e Istanze.

      Nota: assicurarsi di trovarsi nel compartimento in cui sono state create le istanze di computazione, che siano elencate entrambe.

      

   2. Selezionare l'istanza di client-prod dalla lista delle istanze disponibili.

   3. Fare clic su Sicurezza. Non è stato ancora assegnato alcun attributo di sicurezza all'istanza.

      

   4. Fare clic su Aggiungi attributi di sicurezza e immettere le informazioni riportate di seguito.

      • Spazio di nomi: immettere oracle-zpr.
      • Chiave: immettere app.
      • Valore: immettere prod.

      

   5. Fare clic su Aggiungi attributi di sicurezza per assegnare l'attributo di sicurezza al database. L'istanza di computazione verrà aggiornata e l'attributo verrà assegnato.

      

   6. Andare alla console OCI, andare a Computazione e Istanze.

      

   7. Selezionare l'istanza di client-dev dalla lista delle istanze disponibili.

   8. Fare clic su Sicurezza.

      

   9. Fare clic su Aggiungi attributi di sicurezza e immettere le informazioni riportate di seguito.

      • Spazio di nomi: selezionare oracle-zpr.
      • Chiave: selezionare app.
      • Valore: selezionare dev.

      

   10. Fare clic su Aggiungi attributi di sicurezza per assegnare l'attributo di sicurezza al database. L'istanza di computazione verrà aggiornata e l'attributo verrà assegnato.

       

3. Assegnare gli attributi di sicurezza alla VCN.

   1. Andare alla console OCI, andare a Networking e Reti cloud virtuali.

      Nota: assicurarsi di trovarsi nel compartimento in cui è stata creata la VCN e visualizzarla nell'elenco.

      

   2. Selezionare la VCN so-vcn-pt dall'elenco di VCN disponibili.

   3. Fare clic su Sicurezza.

      

      Nota: per assegnare questo attributo di sicurezza, è necessario assegnarlo tramite il menu Indirizzamento pacchetto Zero Trust OCI, anziché tramite la risorsa. In questo modo vengono visualizzati i due diversi modi per assegnare gli attributi di sicurezza OCI Zero Trust Packet Routing.

   4. Andare alla console OCI, andare a Identità e sicurezza, instradamento di pacchetti Zero Trust e fare clic su Risorse protette.

      Verrà visualizzato l'elenco esistente delle risorse protette, ad esempio per le quali sono stati assegnati attributi di sicurezza.

      

   5. Fare clic su Aggiungi attributo di sicurezza alle risorse.

   6. Per filtrare l'elenco, selezionare il compartimento in cui è stata creata la VCN e il tipo di risorsa come Vcn.

      

   7. Selezionare la VCN (so-vcn-pt) e fare clic su Avanti.

   8. Immettere le informazioni riportate di seguito.

      • Spazio di nomi degli attributi di sicurezza: selezionare oracle-zpr.
      • Attributo di sicurezza: selezionare network.
      • Valore dell'attributo di sicurezza: selezionare prod.

      

   9. Fare clic su Successivo e rivedere il riepilogo.

      

   10. Fare clic su Sottometti e Chiudi per uscire dalla richiesta di lavoro. Dopo un paio di minuti, la richiesta di lavoro verrà completata e la VCN verrà visualizzata nelle risorse protette. È inoltre possibile eseguire il check-in della VCN per assicurarsi che l'attributo di sicurezza sia stato assegnato.

   11. Ripetere i passi da 1 a 3 per visualizzare l'attributo di sicurezza assegnato alla VCN.

       

Task 6: Test della politica

Ora la configurazione di OCI Zero Trust Packet Routing è stata completata, il task finale consiste nel testare il criterio. In questo tutorial, abbiamo due casi di test.

1. Il primo caso di test consiste nel verificare che client-prod sia ancora in grado di accedere al database financeprod.

   1. Connettersi all'istanza di computazione client-prod utilizzando il protocollo SSH come utente opc.

      Il criterio di instradamento del pacchetto Zero Trust OCI consente questa connessione dal computer locale e, pertanto, la connessione SSH dovrebbe avere esito positivo.

   2. Eseguire il comando sqlplus per connettersi al database autonomo.

      Il criterio di instradamento del pacchetto Zero Trust OCI consente questa connessione dal client di produzione (client-prod) al database di produzione (financeprod), pertanto è necessario connettersi al database e poter eseguire il comando show user;.

      

2. Il secondo caso di test consiste nel verificare che client-dev non sia più in grado di accedere al database financeprod.

   1. Connettersi all'istanza di computazione client-dev utilizzando il protocollo SSH come utente opc.

      Il criterio Zero Trust Packet Routing consente questa connessione dal computer locale, pertanto la connessione SSH dovrebbe riuscire.

   2. Eseguire il comando sqlplus per connettersi al database autonomo.

      Poiché non esiste alcun criterio di instradamento del pacchetto Zero Trust OCI che consenta questa connessione dal client di sviluppo (client-dev) al database di produzione (financeprod), la connessione verrà bloccata.

      

Collegamenti correlati

• Instradamento del pacchetto Zero Trust OCI

• Panoramica di OCI Zero Trust Packet Routing

• Primi principi: una solida protezione dalle violazioni dei dati con Zero Trust Packet Routing (e una panoramica dei casi d'uso)

Conferme

• Autori - Paul Toal (CISO sul campo, direttore senior)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Create and Configure Oracle Cloud Infrastructure Zero Trust Packet Routing

G17495-01

October 2024

Copyright ©2024,

Oracle e/o relative consociate.