Visão Geral do Zero Trust Packet Routing
O Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege dados confidenciais contra acesso não autorizado por meio de políticas de segurança baseadas em intenção que você grava para os recursos do OCI aos quais designa atributos de segurança. Atributos de segurança são rótulos que a ZPR usa para identificar e organizar recursos do OCI. O ZPR aplica a política no nível da rede sempre que o acesso é solicitado, independentemente de possíveis alterações na arquitetura da rede ou configurações incorretas.
O ZPR é criado com base nas regras existentes de grupo de segurança de rede (NSG) e lista de controle de segurança (SCL). Para que um pacote atinja um destino, ele deve passar por todas as regras de NSG e SCL e pela política de ZPR. Se qualquer regra ou política NSG, SCL ou ZPR não permitir tráfego, a solicitação será eliminada.
Você pode proteger redes com Zero Trust Packet Routing (ZPR) em três etapas:
- Criar e gerenciar namespaces de atributo de segurança e atributos de segurança
- Criar políticas usando atributos de segurança para controlar o acesso a recursos
- Aplicar atributos de segurança a recursos especificados
Evite digitar informações confidenciais ao designar descrições, tags, atributos de segurança ou nomes amigáveis aos recursos na nuvem por meio da Console, API ou CLI do Oracle Cloud Infrastructure.
Como Funciona o Roteamento de Pacotes de Confiança Zero
Com o Zero Trust Packet Routing (ZPR), você pode criar namespaces de atributo de segurança para organizar atributos de segurança que você cria para designar aos recursos que deseja proteger, como bancos de dados e instâncias de computação. Em seguida, usando os atributos de segurança, você cria políticas ZPR usando ZPL (Zero Trust Packet Routing Policy Language) para expressar a intenção de segurança sobre quem pode acessar esses recursos e para onde os dados podem ir. O mecanismo de política compila a intenção em regras apropriadas que são aplicadas nos pontos de aplicação da política.
Por exemplo, um cliente deseja proteger seus dados confidenciais contra acesso e exfiltração não autorizados. O cliente aplica um atributo de segurança data:sensitive aos seus dados confidenciais armazenados em bancos de dados e um atributo de segurança hosts:trusted aos seus aplicativos front-end. O cliente então escreve uma política ZPR que protege os dados de qualquer acesso não autorizado.
in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpointsO ZPR impõe a política do ZPR no nível da rede para que somente os clientes com o atributo de segurança hosts:trusted apropriado possam acessar dados com o atributo de segurança data:sensitive de acordo com a política do ZPR.
Quando um cliente faz uma solicitação aos servidores de aplicativos, o ZPR verifica os pacotes de rede em busca de atributos de segurança. À medida que os pacotes são roteados pela rede, o serviço verifica os atributos de segurança na origem e no destino em relação à política ZPR e bloqueia a solicitação ou permite a solicitação com base na política ZPR.
Conceitos do Zero Trust Packet Routing
Os conceitos a seguir são essenciais para entender o serviço ZPR (Zero Trust Packet Routing).
- atributo de segurança
- Um label que pode ser referenciado na política ZPR para controlar o acesso aos recursos suportados.
- namespace do atributo de segurança
- Um contêiner para um conjunto de atributos de segurança.
- Política de ZPR
- Uma regra que controla a comunicação entre pontos finais específicos identificados por seus atributos de segurança.
- Idioma da política ZPR (ZPL)
- Uma linguagem que define fluxos de dados autorizados entre origens de dados avaliando atributos de segurança.
Autenticação e Autorização
Cada serviço do Oracle Cloud Infrastructure integra-se ao serviço IAM para autenticação e autorização em relação a todas as interfaces (a Console, SDK ou CLI e API REST).
Um administrador da sua organização precisa configurar grupos, compartimentos e políticas que controlam quais usuários podem acessar quais serviços, quais recursos e o tipo de acesso. Por exemplo, as políticas controlam quem pode criar novos usuários, criar e gerenciar a rede na nuvem, iniciar instâncias, criar buckets, fazer download dos objetos, etc. Para mais informações, consulte Documentação a Ser Usada para o Cloud Identity.
- Consulte Políticas do IAM de Roteamento de Pacote de Confiança Zero para obter detalhes sobre como gravar políticas do IAM para Roteamento de Pacote de Confiança Zero.
- Para obter detalhes sobre a criação de políticas para outros serviços, consulte a Referência de Políticas do Serviço IAM.
Se você não for um administrador, mas precisar usar os recursos do Oracle Cloud Infrastructure que sua empresa possui, entre em contato com o administrador para configurar um ID de usuário para você. O administrador pode confirmar o(s) compartimento(s) que você deverá usar.
Maneiras de Acessar o Roteamento de Pacotes de Confiança Zero
Você pode acessar o Zero Trust Packet Routing (ZPR) usando a Console (uma interface baseada em browser), a interface de linha de comando (CLI) ou a API REST. Instruções para a Console, CLI e API estão incluídas em tópicos ao longo deste guia.
Para acessar a Console, você deve usar um browser suportado. Para ir até a página de acesso da Console, abra o menu de navegação na parte superior desta página e clique em Console do Oracle Cloud. Você será solicitado a informar um tenant, um nome de usuário e uma senha na nuvem.
Para obter uma lista dos SDKs disponíveis, consulte SDKs e a CLI. Para obter informações gerais sobre o uso das APIs, consulte a documentação da API REST.
Limites
Saiba mais sobre limites por recurso em atributos de segurança e quais caracteres são suportados em strings de atributos de segurança.
- Atributos de segurança por tenancy: ilimitado
- Atributos de segurança por VCN: 1
- Atributos de segurança por recurso (exceto VCNs): 3
- Número de valores predefinidos para uma chave de atributo de segurança: 100 por lista
- Instruções por objeto de política: 50
- Objetos de política padrão por tenancy: 100
- Instruções por tenancy (em todos os objetos de política): 1000
| Recurso | Caracteres Suportados | Tamanho Máx. |
|---|---|---|
| Namespace do atributo de segurança | ASCII Imprimível, excluindo pontos (.) e espaços
|
100 caracteres |
|
Atributo de segurança |
ASCII Imprimível, excluindo pontos (.) e espaços
|
100 caracteres |
|
Valor do atributo de segurança |
Qualquer caractere ASCII ou Unicode válido. O caractere deve estar entre aspas simples (') se o valor tiver um caractere resolvido (período ou espaço) | 255 caracteres |
Recursos que Podem Ser Atribuídos a Atributos de Segurança
A tabela a seguir lista recursos que suportam atributos de segurança ZPR (Zero Trust Packet Routing). Esta tabela é atualizada à medida que o suporte ao atributo de segurança é adicionado para mais recursos.
| Serviço | Tipos de Recurso |
|---|---|
| Serviço Compute |
instância configurações da instância |
| Banco de Dados |
autonomous-databases vmclusters autônomos na nuvem cloud-vmclusters bancos de dados db-systems exadb-vm-clusters |
| Balanceador de Carga | balanceadores de carga |
| Rede |
vcns vnics PrivateEndpoint |
| Serviço Network Load Balancer | balanceadores de carga da rede |
Como o ZPR Difere do IAM
As políticas de ZPR (Zero Trust Packet Routing) coexistem com as políticas existentes do OCI IAM para oferecer uma postura de segurança mais completa.
As políticas ZPR e IAM diferem das seguintes maneiras:
- A política de ZPR é um controle de camada de rede (L4) semelhante aos Grupos de Segurança de Rede (NSG) e às listas de segurança que definem conexões entre instâncias de computação e bancos de dados em uma tenancy.
- A política do IAM é uma linguagem de política no nível do aplicativo (L7) que controla quais principais (grupos ou controladores de recursos) podem acessar quais recursos do OCI usando permissões específicas, após uma conexão da camada de rede ter sido estabelecida.
A maior diferença entre a política de ZPR e a política de IAM é que a política de ZPR aborda o aspecto de rede de uma conexão, ou seja, os atributos de segurança da origem e dos destinos (computação ou banco de dados), o endereço IP, o protocolo e a porta. A política ZPR não entende nem avalia o principal, os tipos de recursos do OCI ou as permissões.
Com a autorização do OCI, por exemplo, quando um usuário deseja excluir uma instância de banco de dados existente, ele acessa a Console do OCI (ou usa a CLI ou o SDK) usando um nome de usuário e uma senha do OCI e, em seguida, emite o comando para excluir o recurso do OCI (banco de dados). Neste ponto, a política do OCI IAM é usada para decidir se o usuário tem permissões para executar essa ação com base na política do IAM.
A política de IAM e a política de ZPR são importantes, e ambas podem ser usadas para oferecer uma postura de segurança mais completa.
Como o ZPR difere de outros métodos de segurança
Uma lista de segurança permite definir e aplicar um conjunto de regras de segurança a todos os recursos em uma única VCN ou sub-rede de uma VCN. Uma instância de computação ou outro recurso não pode aceitar ou desativar as regras em vigor para a sub-rede ou a VCN que está usando para conectividade. Para obter mais sobre listas de segurança, consulte Listas de Segurança.
Um grupo de segurança de rede (NSG) permite definir e aplicar um conjunto de regras de segurança a um grupo de placas de interface de rede virtual (VNICs) escolhidas em uma VCN. As VNICs podem estar em diferentes sub-redes e algumas VNICs em uma sub-rede só podem usar uma lista de segurança, enquanto outras usam uma lista de segurança e um NSG. Um NSG usa regras idênticas em estrutura às listas de segurança. Uma VNIC pode ser definida para ingressar ou sair de um NSG da página de detalhes de gerenciamento da VNIC na Console, mas você não pode adicionar ou remover uma VNIC da página de gerenciamento do NSG na Console. Para obter mais sobre NSGs, consulte Grupos de Segurança de rede. Para obter uma comparação mais detalhada das listas de segurança e dos NSGs, consulte Comparação de Listas de Segurança e Grupos de Segurança de Rede.
A política ZPR permite que você defina e aplique um conjunto de regras de segurança a uma variedade maior de recursos que não são necessariamente todos em uma única VCN, de modo que sua postura de segurança esteja ainda menos vinculada à estrutura da sua rede. As regras possíveis podem ser mais granulares e complexas e não compartilham a estrutura usada por NSGs e listas de segurança. Você pode definir um recurso para usar uma política de ZPR adicionando um atributo de segurança a ele na página de recursos protegidos na Console ou pode adicionar ou remover um recurso da página de detalhes da política de ZPR na Console.
| Método de segurança | Aplicar a | Ativar ou desativar | Limitações |
|---|---|---|---|
| Lista de segurança | Todas as VNICs em uma sub-rede ou VCN | Não disponível | No máximo, cinco listas de segurança por sub-rede |
| Grupos de segurança de rede | VNICs selecionadas em uma VCN | Na página de detalhes da VNIC | No máximo, cinco NSGs por VNIC |
| Zero Trust Packet Routing | Recursos selecionados (VNICs e outros tipos de recursos) em uma ou mais VCNs | Com um atributo de segurança aplicado ao recurso | Máximo de três atributos de segurança ZPR por recurso |
As políticas de ZPR permitem que você aplique atributos de segurança diretamente à VNIC ou a quaisquer outros recursos que você gerencie e defina políticas de ZPR que façam referência aos seguintes itens:
- Os atributos de segurança
- O host que está fazendo a solicitação
- A rede na qual a solicitação está viajando
- Se uma ação é permitida
O tráfego que não é permitido pela política não pode viajar na rede. Qualquer recurso que tenha o atributo de segurança aplicado a ele está sujeito às políticas ZPR que fazem referência a ele. Um recurso pode ter no máximo três atributos de segurança.
Recomendamos o uso de ZPR porque o ZPR permite definir requisitos de segurança mais granulares. Para obter mais informações, consulte Se Você Usar Roteamento de Pacote de Confiança Zero com Outros Métodos de Segurança.
Vantagens do ZPR sobre NSGs
- Uma lista de segurança ou um NSG não pode se aplicar a mais de uma VCN, mas uma política de ZPR pode se aplicar a mais de uma VCN aplicando o mesmo atributo de segurança a várias VCNs.
- Não é possível adicionar um recurso (que usa um ponto final ou VNIC) a um NSG ao gerenciar esse NSG. Você pode fazer isso com uma política ZPR.
- Uma política ZPR pode ser mais complexa do que uma regra de segurança usada por uma lista de segurança ou NSG.
- A política de ZPR e os atributos de segurança separam a arquitetura de rede da segurança de rede. Isso significa que, se você precisar alterar a arquitetura de rede (por exemplo, adicionar um novo aplicativo), não corre o risco de degradar a segurança da rede.
Se Você Usar Roteamento de Pacotes de Confiança Zero com Outros Métodos de Segurança
Qualquer VNIC ou ponto final deve ter regras de lista de segurança de VCN ou sub-rede que permitam a comunicação. Um NSG pode adicionar mais regras sobre as regras da lista de segurança para recursos selecionados em qualquer lugar de uma VCN. Uma política ZPR pode ser colocada em camadas sobre listas de segurança e regras NSG, ou a política ZPR pode ser adicionada apenas a uma lista de segurança.
O diagrama a seguir é uma ilustração da ideia.
Quando você usa ZPR com NSGs e listas de segurança, o conjunto de regras que se aplicam a um recurso específico inclui os seguintes itens:
- Políticas do Zero Trust Packet Routing
- Regras de segurança em todos os NSGs aos quais a VNIC do recurso pertence
- A segurança lista regras relevantes para todas as VNICs ou pontos finais na VCN ou sub-rede (cada VNIC ou ponto final tem pelo menos uma lista de segurança relevante)