Adición de atributos de seguridad a aplicaciones y aplicación de políticas ZPR
Descubre cómo agregar atributos de seguridad a las aplicaciones y cómo aplicar políticas de enrutamiento de paquetes de confianza cero (ZPR) con OCI Functions.
El uso del enrutamiento de paquetes de confianza cero (ZPR) con OCI Functions le permite implantar un control de acceso detallado y con el mínimo privilegio sobre las interacciones entre funciones y otros recursos de OCI. ZPR es especialmente útil en entornos donde los datos confidenciales u operaciones críticas se distribuyen en varios recursos de OCI, y se requiere una separación y un control estrictos del acceso a los recursos. El uso de ZPR le ayuda a mitigar los riesgos asociados con el acceso no autorizado y a garantizar que solo se permitan explícitamente flujos de tráfico entre recursos protegidos, lo que respalda tanto las necesidades de cumplimiento como las políticas de seguridad organizativas.
Puede utilizar Zero Trust Packet Routing (ZPR) junto con grupos de seguridad de red o en lugar de ellos para gestionar el acceso de red a los recursos de OCI. Para ello, defina las políticas de ZPR que rigen la forma en que los recursos se comunican entre sí y, a continuación, agregue atributos de seguridad a esos recursos. Para obtener más información, consulte Zero Trust Packet Routing.
Si un punto final tiene un atributo de seguridad de enrutamiento de paquetes de confianza cero (ZPR), el tráfico al punto final debe cumplir las políticas de ZPR y también todas las reglas de NSG y lista de seguridad. Por ejemplo, si ya está utilizando NSG y agrega un atributo de seguridad a un punto final, todo el tráfico al punto final se bloquea. A partir de ese momento, una política ZPR debe permitir explícitamente el tráfico al punto final.
Para utilizar ZPR con OCI Functions, agregue atributos de seguridad a una aplicación en un arrendamiento activado para ZPR. Después de agregar un atributo de seguridad a una aplicación, las funciones de la aplicación solo pueden acceder a otros recursos de OCI si una política de ZPR permite el acceso.
Los atributos de seguridad se definen en un espacio de nombres de atributo de seguridad. Para agregar un atributo de seguridad a una aplicación, una política de IAM debe otorgar acceso al grupo al que pertenece al espacio de nombres en el que se define el atributo de seguridad. Para obtener más información, consulte Política de IAM necesaria para agregar atributos de seguridad a las aplicaciones.
Para activar funciones en una aplicación a la que ha agregado un atributo de seguridad para acceder a otros recursos de OCI, debe existir una política ZPR adecuada. Si dicha política ZPR no existe, debe crear una. Si los atributos de seguridad también se han agregado a otros recursos, puede crear una política ZPR que permita explícitamente que las funciones accedan a los recursos con esos atributos de seguridad. Si los atributos de seguridad no se han agregado a los otros recursos a los que desea que accedan las funciones, puede utilizar 'osn-services-ip-addresses' como punto final para crear una política ZPR más permisiva. Sin una política ZPR adecuada, el acceso de las funciones a otros recursos se bloquea en el nivel de red y pueden producirse errores de conexión dentro del código de función. Para obtener más información, consulte Política ZPR necesaria para permitir que las aplicaciones (y funciones) accedan a otros recursos.
Para llamar correctamente a las funciones de una aplicación a la que ha agregado un atributo de seguridad, debe existir una política ZPR adecuada para permitir el acceso a los repositorios de Oracle Cloud Infrastructure Registry que contienen las imágenes en las que se basan las funciones. Si no existe una política ZPR adecuada, no se pueden llamar correctamente a las funciones porque no se pueden extraer imágenes de los repositorios.
Para obtener más información sobre la política ZPR que se va a crear, consulte Política ZPR necesaria para permitir que las imágenes de función se extraigan de Oracle Cloud Infrastructure Registry.
Tenga en cuenta los siguientes puntos:
- Para ver las aplicaciones a las que se han agregado atributos de seguridad, utilice la página Consola de ZPR (consulte Listing Protected Resources en la documentación de ZPR). La página Consola de ZPR también muestra las VNIC creadas por OCI Functions, con el nombre mostrado de cada VNIC definido en el OCID de la aplicación propietaria.
- Una vez agregados los atributos de seguridad a una aplicación, puede utilizar Network Path Analyzer para ayudar a depurar cualquier problema de conectividad de red que encuentren las funciones de la aplicación.
- Actualmente no está soportado el uso de atributos de seguridad y políticas ZPR para restringir el acceso a los recursos de OCI Functions desde otros servicios de OCI en el nivel de red.
- Si ha agregado un atributo de seguridad a una aplicación y la consola, la CLI o la API de ZPR se utilizan posteriormente para suprimir el atributo de seguridad del espacio de nombres de atributo de seguridad, debe eliminar manualmente el atributo de seguridad de la aplicación. Si no elimina el atributo de seguridad suprimido de la aplicación, se devuelven 502 errores cuando se llaman a las funciones de la aplicación.
Puede agregar o eliminar atributos de seguridad a aplicaciones o desde ellas mediante la consola, la CLI de OCI y la API.
Política de IAM necesaria para agregar atributos de seguridad a las aplicaciones
Para poder agregar un atributo de seguridad a una aplicación, una política de IAM debe otorgar al grupo al que pertenece permiso para utilizar el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad.
Por ejemplo:
Allow group acme-functions-developers to use security-attribute-namespaces in tenancyPara obtener más información, consulte Declaración de política para proporcionar a los usuarios de OCI Functions acceso a los espacios de nombres de atributos de seguridad.
Tenga en cuenta que si no existe una política de IAM adecuada para utilizar el espacio de nombres de atributo de seguridad, no puede agregar el atributo de seguridad a la aplicación. El atributo de seguridad no se muestra en la consola y los intentos de agregar el atributo de seguridad mediante la CLI de OCI o la API devuelven un mensaje de error 404 - Not Found.
Política de ZPR necesaria para permitir que las aplicaciones (y funciones) accedan a otros recursos
Al agregar un atributo de seguridad a una aplicación de OCI Functions, las funciones de esa aplicación solo pueden acceder a otros recursos si una política de ZPR otorga a la aplicación acceso a esos recursos.
Si aún no existe una política ZPR adecuada, debe crear una. Por ejemplo, con la siguiente sintaxis:
in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpointsdonde:
<vcn-security-attribute>es un atributo (y un valor) de seguridad que se ha agregado a la VCN en la que reside la subred de la aplicación. Por ejemplo,VCN-Network:myVCN.<application-security-attribute>es el atributo de seguridad (y el valor) que ha agregado a la aplicación. Por ejemplo,functions-app:myFuncAppA<destination-security-attribute>es un atributo de seguridad (y valor) que se ha agregado al recurso al que desea que accedan las funciones de la aplicación. Por ejemplo,DB-Server:App1
Por ejemplo:
in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to DB-Server:App1 endpointsPara obtener más información sobre las políticas, la sintaxis y los ejemplos de ZPR, consulte Zero Trust Packet Routing Policy en la documentación de ZPR.
Política ZPR necesaria para permitir la extracción de imágenes de función de Oracle Cloud Infrastructure Registry
Para llamar correctamente a las funciones de una aplicación a la que ha agregado un atributo de seguridad, debe existir una política ZPR para permitir el acceso a los repositorios de Oracle Cloud Infrastructure Registry que contienen las imágenes en las que se basan las funciones.
Si aún no existe una política ZPR adecuada, debe crear una política ZPR con la siguiente sintaxis:
in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to 'osn-services-ip-addresses'donde:
<vcn-security-attribute>es un atributo (y un valor) de seguridad que se ha agregado a la VCN en la que reside la subred de la aplicación. Por ejemplo,VCN-Network:myVCN<application-security-attribute>es el atributo de seguridad (y el valor) que ha agregado a la aplicación. Por ejemplo,functions-app:myFuncAppA
Por ejemplo:
in VCN-Network:myVCN VCN allow functions-app:myFuncAppA endpoints to connect to 'osn-services-ip-addresses'Si no existe una política ZPR adecuada, cuando se llama a una función, OCI Functions no puede extraer la imagen de Oracle Cloud Infrastructure Registry y devuelve el siguiente mensaje de error:
Fn: Error invoking function. status: 502 message: Failed to pull function imagePara obtener más información sobre las políticas, la sintaxis y los ejemplos de ZPR, consulte Zero Trust Packet Routing Policy en la documentación de ZPR.
Para agregar o eliminar atributos de seguridad a o desde una aplicación de OCI Functions existente mediante la consola:
- En la página de lista Aplicaciones, seleccione la aplicación a la que desea agregar o eliminar atributos de seguridad. Si necesita ayuda para buscar la página de lista o la aplicación, consulte Listado de aplicaciones.
El separador Seguridad muestra los atributos de seguridad que ya se han agregado a la aplicación (si los hay).
-
Para agregar un atributo de seguridad a la aplicación:
- En el separador Seguridad, seleccione Agregar y en el cuadro de diálogo Agregar atributos de seguridad:
- Seleccione el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad.
- Seleccione el atributos de seguridad.
- Introduzca el valor del atributo seguridad.
- Si desea agregar varios atributos de seguridad a la aplicación, seleccione Agregar atributo de seguridad y seleccione atributos de seguridad adicionales (hasta un máximo de tres).
- Seleccione Agregar Atributos de Seguridad.
- En el separador Seguridad, seleccione Agregar y en el cuadro de diálogo Agregar atributos de seguridad:
-
Para eliminar un atributo de seguridad de la aplicación:
- En el separador Seguridad, seleccione Suprimir en el menú junto al atributo de seguridad que desea suprimir.
- Confirme que desea suprimir el atributo de seguridad.
Los atributos de seguridad que se muestran en el separador Seguridad de la aplicación ahora se aplican a la aplicación.
- En la página de lista Aplicaciones, seleccione la aplicación a la que desea agregar o eliminar atributos de seguridad. Si necesita ayuda para buscar la página de lista o la aplicación, consulte Listado de aplicaciones.
Utilice el comando oci fn application create y los parámetros necesarios para crear una aplicación:
oci fn application create --compartment-id <compartment-ocid> --display-name <app-name> --subnet-ids <subnet-ocids> [OPTIONS]Utilice el comando oci fn application update y los parámetros necesarios para actualizar una aplicación:
oci fn application update --application-id <application-ocid> [OPTIONS]Para obtener una lista completa de los indicadores y de las opciones de las variables para el comando de OCI CLI, consulte la Referencia de línea de comando.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Utilice estas operaciones de API para agregar o eliminar atributos de seguridad a o desde una aplicación: