Managing Security Attributes for Private Endpoints (PE)s
Saiba como adicionar, listar e atualizar atributos de segurança ZPR (Zero Trust Packet Routing) para pontos finais privados do serviço Generative AI. Os atributos de segurança são labels usados pelo ZPR (Zero Trust Packet Routing) para identificar recursos e impor políticas de ZPR.
Sobre
Você pode proteger um ponto final privado do serviço Generative AI com ZPR designando atributos de segurança ao ponto final e definindo políticas de ZPR que explicitamente permitem tráfego aprovado.
O ZPR é avaliado além do roteamento e dos controles de rede tradicionais. Para acessar o ponto final privado, o tráfego deve ser permitido por todos os seguintes controles:
- Uma rota válida para a sub-rede de ponto final
- Grupo de segurança de rede (NSG) e regras de lista de segurança
- Políticas de ZPR aplicáveis
Se você adicionar um atributo de segurança ZPR a um ponto final privado, o tráfego para o ponto final será bloqueado, a menos que uma política de ZPR o permita explicitamente. Crie e valide suas regras de política de ZPR antes (ou imediatamente depois) de designar atributos de segurança para evitar interrupções não intencionais.
Principais Termos
- Atributo de segurança: Um label que é referenciado em uma política ZPR para controlar o acesso a recursos suportados.
- Namespace de atributo de segurança: Um contêiner para os atributos de segurança.
- Linguagem de política ZPR (ZPL): A sintaxe de política que você usa para gravar regras ZPR que permitem ou negam tráfego de rede com base em atributos de segurança.
- Política de ZPR: Um conjunto de regras de permissão/negação, gravadas na linguagem de política de ZPR (ZPL), que controla quais recursos podem se comunicar correspondendo aos labels de namespace/chave/valor do atributo de segurança.
Definição
- No serviço ZPR, crie um namespace de atributo de segurança e atributos de segurança e grave políticas ZPR (as políticas ZPR não são políticas do IAM).
- No serviço Generative AI, adicione até três atributos de segurança ao ponto final privado.
- Certifique-se de que o tráfego para o ponto final seja permitido:
- roteamento
- Regras de lista de NSG/segurança
- Políticas ZPR
Consulte a documentação Roteamento de Pacotes de Confiança Zero.
Pré-requisitos
Conclua as tarefas a seguir no serviço ZPR antes de designar atributos de segurança a um ponto final privado.
-
Verificar o acesso ao serviço IAM: Certifique-se de que os administradores ou usuários tenham permissões para gerenciar recursos do ZPR (namespaces, atributos e políticas do ZPR). Consulte Políticas do Serviço IAM para ZPR.
-
Criar namespace e atributos: Crie um namespace de atributo de segurança e, em seguida, crie até 3 atributos de segurança para o design.
-
Gravar políticas de ZPR: Use a linguagem de política de ZPR (ZPL) para permitir explicitamente o tráfego necessário para o ponto final privado. Consulte Políticas de ZPR e Sintaxe de Política.
Lembrete: O tráfego também deve ser permitido por roteamento, NSG e listas de segurança.
- Planejar labels de ponto final: Decida o namespace/chave/valor a ser aplicado ao ponto final privado e confirme se a política de ZPR permite tráfego para esse conjunto de atributos.
Exemplo de política ZPR:
in <namespace>.<label-1>:42
VCN allow <namespace>.<label-1>:42 endpoints
to connect to <namespace>.<label-1>:42 endpointsin <label-1>:42 VCN allow all-endpoints
to connect to <label-1>:42
endpoints with protocol = 'tcp/443'Saiba mais sobre o ZPR
Na Console, abra o menu de navegação e selecione Identity & Security. Em Zero Trust Packet Routing, selecione Visão Geral. Veja os vídeos e orientações sobre o serviço nesta página.
Adicionando ZPR ao Criar um PE 🔗
- Siga as etapas na etapa Criando um ponto final privado.
- No fluxo de criação, expanda Mostrar atributos de segurança e, em seguida, expanda a opção Tags exibida para os atributos de segurança.
- Selecione Adicionar atributo de segurança.
-
Digite as seguintes informações:
- Namespace do atributo de segurança
- Chave do atributo de segurança
- Valor do atributo de segurança
- Selecione Adicionar atributo de segurança para adicionar mais atributos (até 3 no total).
- Selecione Criar.
Para evitar o bloqueio involuntário do acesso, certifique-se de que as políticas de ZPR estejam definidas para permitir o fluxo de tráfego pretendido para o ponto final antes de usar o ponto final na produção. Consulte Pré-requisitos.
Adicionando ou Atualizando o ZPR em um PE Existente 🔗
Siga estas etapas para adicionar atributos de segurança a um ponto final existente ou para alterar o namespace/chave/valor já aplicado.
- Na página de lista Pontos Finais Privados, selecione o ponto final privado com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista para pontos finais privados, consulte Listando Pontos Finais Privados.
- Na página de detalhes do ponto final privado, selecione a guia Atributos de segurança.
- Selecione Adicionar atributos de segurança.
-
Digite as seguintes informações:
- Namespace do atributo de segurança
- Chave do atributo de segurança
- Valor do atributo de segurança
- Selecione Adicionar atributos de segurança novamente para adicionar mais atributos (até 3 no total).
- Quando terminar, selecione Adicionar atributos de segurança.
A alteração de atributos de segurança pode alterar quais políticas de ZPR se aplicam ao ponto final. Após qualquer alteração, verifique se o acesso é permitido pelas políticas de ZPR e também pelas regras de roteamento e NSG/lista de segurança.
Observação de Permissões
Para adicionar um atributo de segurança, você deve ter permissão para usar o namespace do atributo de segurança. Para obter detalhes, consulte a documentação Roteamento de Pacotes de Confiança Zero.
Listando Atributos de Segurança
- Na página de lista Pontos Finais Privados, selecione o ponto final privado com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página de lista para pontos finais privados, consulte Listando Pontos Finais Privados.
- Na página de detalhes do ponto final privado, selecione a guia Atributos de segurança.