Zero Trust Packet Routing Visualizer

Zero Trust Packet Routing (ZPR) Visualizerツールは、Zero Trust Packet Routing (ZPR)対応OCIテナンシのネットワーク・セキュリティ状態をグラフィカルに表します。これは、リソースがどのように通信し、セキュリティ属性、保護されたリソースおよびZPRポリシー間の関係を表示するかを理解するのに役立ちます。

概要

ZPR Visualizerは、ZPRセキュリティ属性と、選択したリージョンおよびテナンシ内でそれらを参照するZPRポリシーを視覚的に表現します。このツールは、ポリシー定義に基づいてリソース間のポリシー駆動型アクセスが許可またはブロックされる方法を分析するのに役立ちます。

ZPR Visualizerを使用すると、次の操作に役立ちます。

  • セキュリティ属性、保護されたリソースおよびZPRポリシー間の関係を視覚化します。
  • ZPRポリシーが正しく構成され、適用されていることを確認します。
  • リソース間の許可された通信またはブロックされた通信の診断
  • セキュリティ属性で保護されていないリソースを検出します。
  • ネットワーク・アクセス・パターンを確認して、ゼロトラスト原則へのコンプライアンスを確保します。

必要なパーミッション

ZPR Visualizerがテナンシのリソースを読み取ることができるようにするには、次のIAMポリシーが必要です。

  1. zpr-toolsサービスにポリシーを追加して、管理者が記述したIAMポリシーのリソースを読み取ります
    Allow service zpr-tools to read all-resources in tenancy
  2. ポリシーを追加して、Visualizerトポロジに読取りリソースへのアクセス権を付与するポリシーを選択します
    1. グローバル・アクセス
      Allow any-user to read all-resources in tenancy where ALL { request.principal.type = 'zprtopology' }
    2. アクセス制限
      1. 一致ルールを使用して動的グループを作成します
        ALL { resource.type = 'zprtopology' }
      2. IAMポリシーの追加
        
        Allow dynamic-group <dg_name> to read all-resources in tenancy
        動的グループがデフォルト・ドメインにない場合は、次を使用します
        Allow dynamic-group '<domain_name>/<dg_name>' to read all-resources in tenancy
        

詳細および例は、Zero Trust Packet Routing IAMポリシーを参照してください。

凡例

ZPR Visualizerでは、次の記号と表記規則を使用します。

アイコン 摘要
属性とネットワーク・タイプ
VCNセキュリティ属性アイコン。 VCN security attribute Attributes applied to VCNs define scope in ZPR policies.
セキュリティ属性を持つZPRリソース リソースに適用されるリソース・セキュリティ属性属性は、エンドポイントを接続するためにZPRポリシーで使用されます。
属性のないZPRリソース 属性のないリソース ZPR属性のないリソースを表示します。保護されていないリソースは、ポリシー関係を表示する前に注意する必要があります。
IPアドレス・アイコン。 IPアドレスインターネットプロトコル(IP)アドレスとは、インターネットに接続されているデバイスに関連付けられた一意の識別番号を指します。
CIDRアイコン。 CIDR同じネットワーク接頭辞とビット数を共有するIPアドレスのグループ。インターネット上での効率的なIPアドレスの割当てとルーティングに使用されます。
リソース・タイプの例
同じセキュリティ属性を持つロード・バランサ ロード・バランサ: 同じセキュリティ属性を共有するロード・バランサのグループ
セキュリティ属性アイコンを持つインスタンスのグループ インスタンス: 同じセキュリティ属性を共有するインスタンス・グループ。
ポリシー・ステートメント
単一のZPRポリシーステートメントアイコン。 単一ZPRポリシー・ステートメント(cross attribute): エンドポイント属性またはネットワーク・エンドポイント間の接続を表す1つ以上のZPRポリシー・ステートメント。接続の数は、その関係に関連付けられているポリシー・ステートメントの数を示します。

ユース・ケース- セキュリティ属性のない保護されていないリソースの識別と保護

ZPR Visualizerを使用して、まだ保護されていないリソースを検索し、セキュリティ属性およびポリシーを適用して、更新された接続を確認します。

シナリオ: セキュリティ属性のないコンピュート・インスタンスが、属性のないリソースの下に表示されるとします。

  1. ZPR Visualizerを開き、必要なコンパートメントを設定します。
  2. 属性なしでリソースを開いて、保護されていないリソースを特定します。

    ZPR非保護リソースの例

  3. リストをレビューおよびフィルタして、関連するリソースを見つけます。
  4. リソースにセキュリティ属性を割り当てます。Adding a Resource to Zero Trust Packet Routingを参照してください。
  5. 通信に必要なZPRポリシーを作成します。Create ZPR Policyを参照してください。
  6. ビジュアライザに戻り、「リフレッシュ」「Refresh」アイコンアイコンを選択します。
  7. ノードが予期される接続エッジとともに表示されていることを確認します。