ゼロトラスト・パケット・ルーティング・ポリシー

ポリシーは、一連のポリシー・ステートメントのコンテナです。ポリシー・ステートメントは、誰がどのリソースにどのようにアクセスできるかを指定するルールです。Zero Trust Packet Routing (ZPR)ポリシーは、属性(または特性)を評価してリソースへのアクセスを決定する属性ベースのアクセス制御(ABAC)認可モデルに基づいています。このアプローチは、OCI IAMとは異なります(「ZPRとIAMの違い」を参照)。ZPRポリシーは、ソース、ターゲットおよびネットワークのセキュリティ属性をZero Trust Packet Routing Policy Language (ZPL)を使用してポリシーの評価に組み込む属性ベースのアクセス制御を実現するように設計されています。

ZPLでは、セキュリティ属性を持つクライアント・エンドポイントが他のエンドポイントにアクセスできるようにすることに重点を置いたポリシー・ステートメントを記述できます。ZPLでは、セキュリティ属性で識別される個々のVCNとの間の通信に関して、次のタイプの許可文がサポートされます。

• VCN内の2つのエンドポイント間の通信を許可します
• VCN外部のソースからVCN内のエンドポイントへのイングレスを許可します
• VCN内のエンドポイントからVCN外のターゲットへのエグレスを許可します

たとえば、次のポリシー・ステートメントでは、apps:hr-appsホストがapps:hr-app-dataセキュリティ属性を持つOCIリソースを読み取ることができます。

in networks:application VCN allow apps:hr-apps endpoints to connect to apps:hr-app-data endpoints

VCNの外部でイングレスまたはエグレスを行う場合、ZPRポリシーはセキュリティ属性ではなくIPアドレスを使用してクライアントを参照する必要があります。セキュリティ属性は、同じVCN内のエンドポイントを参照する場合にのみ使用できます。

たとえば、networks:net1 VCN内のクライアントが別のVCN内のコンピュート・インスタンスまたはデータベースにアクセスできるようにする必要がある場合は、IPアドレスを使用して他のVCN内のターゲットを参照する必要があります:

in networks:net1 VCN allow apps:app1 endpoints to connect to '192.168.0.0/16'

ZPRポリシーを作成するには、最初にセキュリティ属性を作成する必要があります。セキュリティー属性は、ZPRポリシーの評価に反映されます。セキュリティ属性を作成したら、ZPRポリシー構文を確認してから、ポリシー・ビルダーを使用してポリシーを作成するためのオプションを確認します。ZPRポリシーについては、例から学習することもできます。

セキュリティ属性およびZPRポリシーを作成した後、セキュリティ属性をリソースに適用できます。

ZPRポリシーで使用できるリソースのタイプについては、「セキュリティ属性を割り当てることができるリソース」を参照してください。