Zero Trust Packet Routingポリシー

ポリシーは、一連のポリシー・ステートメントのコンテナです。ポリシー・ステートメントは、誰がどのリソースにどのようにアクセスできるかを指定するルールです。Zero Trust Packet Routing (ZPR)ポリシーは、属性(または特性)を評価してリソースへのアクセスを決定する属性ベース・アクセス制御(ABAC)認可モデルに基づいています。このアプローチは、OCI IAMとは異なります(ZPRとIAMの相違点を参照)。ZPRポリシーは、ソース、ターゲットおよびネットワークのセキュリティ属性が、Zero Trust Packet Routing Policy Language (ZPL)を使用してポリシーの評価にファクタリングされる「属性ベースのアクセス制御」を実現するように設計されています。

ZPLを使用すると、セキュリティ属性を持つクライアント・エンドポイントが他のエンドポイントにアクセスできるようにすることに重点を置いたポリシー・ステートメントを記述できます。

ZPLでは、セキュリティ属性によって識別される個々のVCNsとの間の通信に関して、次のタイプの許可文がサポートされます。

• VCN内の2つのエンドポイント間のトラフィックを許可
• 同じリージョン内の異なるVCNs内のエンドポイント間のトラフィックを許可

たとえば、次のポリシー・ステートメントにより、apps:hr-appsホストは、同じVCN内でapps:hr-app-dataセキュリティ属性が適用されたOCIリソースを読み取ることができます。

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

次のポリシー・ステートメントにより、networks:net1 VCNのnetworks:net1:App1エンドポイントは、両方のVCNsが同じリージョンにある場合に、networks:net2 VCNのDB-Server:App1エンドポイントに接続できます:

allow networks:net1:App1 endpoints in networks:net1 VCN to connect to DB-Server:App1 endpoints in networks:net2 VCN

To allow traffic between endpoints in different VCNs that aren't in the same region, or VCNs in the same region that don't have security attributes assigned to them, you must use CIDR or IP-based policy. たとえば、networks:net1 VCN内のクライアントが別のリージョン内の別のVCN内のコンピュート・インスタンスまたはデータベースにアクセスすることを許可する必要がある場合は、IPアドレスを使用して他のVCN内のターゲットを参照する必要があります:

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

ZPRポリシーを作成するには、最初にセキュリティ属性を作成する必要があります。セキュリティ属性は、ZPRポリシーの評価にファクタリングされます。セキュリティ属性を作成した後、ZPRポリシー構文を確認し、ポリシー・ビルダーを使用してポリシーを作成するためのオプションを確認します。ZPRポリシーについては、例から学習することもできます。

セキュリティ属性およびZPRポリシーを作成した後、リソースにセキュリティ属性を追加できます。

ZPRポリシーで使用できるリソースのタイプについては、「セキュリティ属性を割り当てることができるリソース」を参照してください。