Oracle Cloud Infrastructure - Dokumentation

Sicherheitsattribute zu Anwendungen hinzufügen und ZPR-Policys anwenden

Erfahren Sie, wie Sie Anwendungen Sicherheitsattribute hinzufügen und wie Sie Zero Trust Packet Routing-(ZPR-)Policys mit OCI Functions anwenden.

Durch die Verwendung von Zero Trust Packet Routing (ZPR) mit OCI Functions können Sie eine fein granulierte Zugriffskontrolle mit den geringsten Berechtigungen über Interaktionen zwischen Funktionen und anderen OCI-Ressourcen implementieren. ZPR ist besonders in Umgebungen nützlich, in denen sensible Daten oder kritische Vorgänge über mehrere OCI-Ressourcen verteilt sind und eine strikte Trennung und Kontrolle des Ressourcenzugriffs erforderlich ist. Mit ZPR können Sie Risiken im Zusammenhang mit nicht autorisiertem Zugriff mindern und sicherstellen, dass nur explizit Trafficflüsse zwischen geschützten Ressourcen zugelassen werden, was sowohl Compliance-Anforderungen als auch organisatorische Sicherheitsrichtlinien unterstützt.

Sie können Zero Trust Packet Routing (ZPR) zusammen mit oder anstelle von Netzwerksicherheitsgruppen verwenden, um den Netzwerkzugriff auf OCI-Ressourcen zu verwalten. Definieren Sie dazu ZPR-Policys, die steuern, wie Ressourcen miteinander kommunizieren, und fügen Sie diesen Ressourcen dann Sicherheitsattribute hinzu. Weitere Informationen finden Sie unter Zero Trust Packet Routing.

Achtung

Wenn ein Endpunkt ein Zero Trust Packet Routing-(ZPR-)Sicherheitsattribut aufweist, muss der Traffic zum Endpunkt ZPR-Policys sowie alle NSG- und Sicherheitslistenregeln erfüllen. Beispiel: Wenn Sie bereits NSGs verwenden und einem Endpunkt ein Sicherheitsattribut hinzufügen, wird der gesamte Traffic zum Endpunkt blockiert. Ab diesem Zeitpunkt muss eine ZPR-Policy den Traffic zum Endpunkt explizit zulassen.

Um ZPR mit OCI Functions zu verwenden, fügen Sie einer Anwendung in einem ZPR-fähigen Mandanten Sicherheitsattribute hinzu. Nachdem Sie einer Anwendung ein Sicherheitsattribut hinzugefügt haben, können die Funktionen in der Anwendung nur dann auf andere OCI-Ressourcen zugreifen, wenn der Zugriff durch eine ZPR-Policy zulässig ist.

Sicherheitsattribute werden in einem Sicherheitsattribut-Namespace definiert. Um ein Sicherheitsattribut zu einer Anwendung hinzuzufügen, muss eine IAM-Policy der Gruppe, zu der Sie gehören, Zugriff auf den Namespace erteilen, in dem das Sicherheitsattribut definiert ist. Weitere Informationen finden Sie unter Erforderliche IAM-Policy zum Hinzufügen von Sicherheitsattributen zu Anwendungen.

Um Funktionen in einer Anwendung zu aktivieren, der Sie ein Sicherheitsattribut hinzugefügt haben, um auf andere OCI-Ressourcen zuzugreifen, muss eine geeignete ZPR-Policy vorhanden sein. Wenn eine solche ZPR-Richtlinie nicht existiert, müssen Sie eine erstellen. Wenn den anderen Ressourcen auch Sicherheitsattribute hinzugefügt wurden, können Sie eine ZPR-Policy erstellen, mit der Funktionen explizit auf Ressourcen mit diesen Sicherheitsattributen zugreifen können. Wenn den anderen Ressourcen, auf die Funktionen zugreifen sollen, keine Sicherheitsattribute hinzugefügt wurden, können Sie 'osn-services-ip-addresses' als Endpunkt verwenden, um eine zulässige ZPR-Policy zu erstellen. Ohne eine geeignete ZPR-Richtlinie wird der Zugriff der Funktionen auf andere Ressourcen auf Netzwerkebene blockiert, und es können Verbindungsfehler innerhalb des Funktionscodes auftreten. Weitere Informationen finden Sie unter Erforderliche ZPR-Policy, damit Anwendungen (und Funktionen) auf andere Ressourcen zugreifen können.

Wichtig

Um Funktionen in einer Anwendung, der Sie ein Sicherheitsattribut hinzugefügt haben, erfolgreich aufzurufen, muss eine geeignete ZPR-Policy vorhanden sein, um den Zugriff auf die Oracle Cloud Infrastructure Registry-Repositorys zu ermöglichen, in denen die Images enthalten sind, auf denen die Funktionen basieren. Wenn keine geeignete ZPR-Policy vorhanden ist, können Funktionen nicht erfolgreich aufgerufen werden, da Images nicht aus den Repositorys abgerufen werden können.

Weitere Informationen zur zu erstellenden ZPR-Policy finden Sie unter Erforderliche ZPR-Policy, damit Funktionsimages aus Oracle Cloud Infrastructure Registry abgerufen werden können.

Beachten Sie Folgendes:

  • Um die Anwendungen anzuzeigen, denen Sicherheitsattribute hinzugefügt wurden, verwenden Sie die Seite "ZPR-Konsole" (siehe Geschützte Ressourcen auflisten in der ZPR-Dokumentation). Auf der Seite "ZPR-Konsole" werden auch VNICs angezeigt, die von OCI Functions erstellt wurden. Dabei wird der Anzeigename jeder VNIC auf die OCID der Eigentümeranwendung gesetzt.
  • Nachdem Sie einer Anwendung Sicherheitsattribute hinzugefügt haben, können Sie mit Network Path Analyzer alle Netzwerkkonnektivitätsprobleme debuggen, die durch Funktionen in der Anwendung auftreten.
  • Die Verwendung von Sicherheitsattributen und ZPR-Policys zum Einschränken des Zugriffs auf OCI Functions-Ressourcen von anderen OCI-Services auf Netzwerkebene wird derzeit nicht unterstützt.
  • Wenn Sie einer Anwendung ein Sicherheitsattribut hinzugefügt haben und die ZPR-Konsole, -CLI oder -API anschließend zum Löschen des Sicherheitsattributs aus dem Sicherheitsattribut-Namespace verwendet wird, müssen Sie das Sicherheitsattribut manuell aus der Anwendung entfernen. Wenn Sie das gelöschte Sicherheitsattribut nicht aus der Anwendung entfernen, werden 502-Fehler zurückgegeben, wenn Funktionen in der Anwendung aufgerufen werden.

Mit der Konsole, der OCI-CLI und der API können Sie Sicherheitsattribute zu Anwendungen hinzufügen oder daraus entfernen.

Erforderliche IAM-Policy zum Hinzufügen von Sicherheitsattributen zu Anwendungen

Bevor Sie einer Anwendung ein Sicherheitsattribut hinzufügen können, muss eine IAM-Policy der Gruppe, zu der Sie gehören, die Berechtigung zur Verwendung des Sicherheitsattribut-Namespace erteilen, der das Sicherheitsattribut enthält.

Beispiel:

Allow group acme-functions-developers to use security-attribute-namespaces in tenancy

Weitere Informationen finden Sie unter Policy-Anweisung, um OCI Functions-Benutzern Zugriff auf Sicherheitsattribut-Namespaces zu erteilen.

Wenn keine geeignete IAM-Policy zur Verwendung des Sicherheitsattribut-Namespace vorhanden ist, können Sie das Sicherheitsattribut nicht zur Anwendung hinzufügen. Das Sicherheitsattribut wird in der Konsole nicht angezeigt, und versucht, das Sicherheitsattribut über die OCI-CLI hinzuzufügen, oder die API gibt eine Fehlermeldung 404 - Nicht gefunden zurück.

Erforderliche ZPR-Policy, damit Anwendungen (und Funktionen) auf andere Ressourcen zugreifen können

Wenn Sie einer OCI Functions-Anwendung ein Sicherheitsattribut hinzufügen, können die Funktionen in dieser Anwendung nur dann auf andere Ressourcen zugreifen, wenn eine ZPR-Policy der Anwendung Zugriff auf diese Ressourcen erteilt.

Wenn noch keine geeignete ZPR-Richtlinie vorhanden ist, müssen Sie eine erstellen. Beispiel: Verwenden Sie die folgende Syntax:

in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpoints

Hierbei gilt:

  • <vcn-security-attribute> ist ein Sicherheitsattribut (und -wert), das dem VCN hinzugefügt wurde, in dem sich das Subnetz der Anwendung befindet. Beispiel: VCN-Network:myVCN.
  • <application-security-attribute> ist das Sicherheitsattribut (und der Wert), das Sie der Anwendung hinzugefügt haben. Beispiel: functions-app:myFuncAppA
  • <destination-security-attribute> ist ein Sicherheitsattribut (und -wert), das der Ressource hinzugefügt wurde, auf die Funktionen in der Anwendung zugreifen sollen. Beispiel: DB-Server:App1

Beispiel:

in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to DB-Server:App1 endpoints

Weitere Informationen zu ZPR-Policys, -Syntax und -Beispielen finden Sie unter Zero Trust Packet Routing Policy in der ZPR-Dokumentation.

Erforderliche ZPR-Policy, damit Funktionsimages aus Oracle Cloud Infrastructure Registry abgerufen werden können

Um Funktionen in einer Anwendung, der Sie ein Sicherheitsattribut hinzugefügt haben, erfolgreich aufzurufen, muss eine ZPR-Policy vorhanden sein, um den Zugriff auf die Oracle Cloud Infrastructure Registry-Repositorys zu ermöglichen, in denen die Images enthalten sind, auf denen die Funktionen basieren.

Wenn noch keine geeignete ZPR-Policy vorhanden ist, müssen Sie eine ZPR-Policy mit der folgenden Syntax erstellen:

in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to 'osn-services-ip-addresses'

Hierbei gilt:

  • <vcn-security-attribute> ist ein Sicherheitsattribut (und -wert), das dem VCN hinzugefügt wurde, in dem sich das Subnetz der Anwendung befindet. Beispiel: VCN-Network:myVCN
  • <application-security-attribute> ist das Sicherheitsattribut (und der Wert), das Sie der Anwendung hinzugefügt haben. Beispiel: functions-app:myFuncAppA

Beispiel:

in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to 'osn-services-ip-addresses'

Wenn keine geeignete ZPR-Policy vorhanden ist und eine Funktion aufgerufen wird, kann OCI Functions das Image nicht aus Oracle Cloud Infrastructure Registry abrufen und die folgende Fehlermeldung zurückgeben: 

Fn: Error invoking function. status: 502 message: Failed to pull function image

Weitere Informationen zu ZPR-Policys, -Syntax und -Beispielen finden Sie unter Zero Trust Packet Routing Policy in der ZPR-Dokumentation.

  • So fügen Sie mit der Konsole Sicherheitsattribute zu oder entfernen sie aus einer vorhandenen OCI Functions-Anwendung:

    1. Wählen Sie auf der Listenseite Anwendungen die Anwendung aus, der Sie Sicherheitsattribute hinzufügen oder daraus entfernen möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder der Anwendung benötigen, finden Sie weitere Informationen unter Anwendungen auflisten.

      Auf der Registerkarte Sicherheit werden die Sicherheitsattribute angezeigt, die der Anwendung bereits hinzugefügt wurden (sofern vorhanden).

    2. So fügen Sie der Anwendung ein Sicherheitsattribut hinzu:

      1. Wählen Sie auf der Registerkarte Sicherheit die Option Hinzufügen und im Dialogfeld Sicherheitsattribute hinzufügen aus:
        • Wählen Sie den Sicherheitsattribut-Namespace aus, der das Sicherheitsattribut enthält.
        • Wählen Sie das Sicherheitsattribut aus.
        • Geben Sie den Wert des Sicherheitsattributs ein.
      2. Wenn Sie der Anwendung mehrere Sicherheitsattribute hinzufügen möchten, wählen Sie Sicherheitsattribut hinzufügen aus, und wählen Sie zusätzliche Sicherheitsattribute aus (maximal drei).
      3. Wählen Sie Sicherheitsattribute hinzufügen aus.

    3. So entfernen Sie ein Sicherheitsattribut aus der Anwendung:

      1. Wählen Sie auf der Registerkarte Sicherheit im Menü Aktionen (drei Punkte) neben dem zu löschenden Sicherheitsattribut die Option Löschen aus.
      2. Bestätigen Sie, dass Sie das Sicherheitsattribut löschen möchten.

    Die Sicherheitsattribute, die auf der Registerkarte Sicherheit der Anwendung angezeigt werden, gelten jetzt für die Anwendung.

  • Verwenden Sie den Befehl oci fn application create und die erforderlichen Parameter zum Erstellen einer Anwendung:

    oci fn application create --compartment-id <compartment-ocid> --display-name <app-name> --subnet-ids <subnet-ocids> [OPTIONS]

    Verwenden Sie den Befehl oci fn application update und die erforderlichen Parameter zum Aktualisieren einer Anwendung:

    oci fn application update --application-id <application-ocid> [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für OCI-CLI-Befehle finden Sie in der Befehlszeilenreferenz.

  • Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

    Mit den folgenden API-Vorgängen können Sie einer Anwendung Sicherheitsattribute hinzufügen oder daraus entfernen: