Oracle Cloud Infrastructureドキュメント

Zero Trust Packet Routingの概要

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR)は、セキュリティ属性を割り当てたOCIリソース用に記述したインテントベースのセキュリティ・ポリシーを通じて、機密データを不正なアクセスから保護します。セキュリティ属性は、ZPRがOCIリソースの識別と編成に使用するラベルです。ZPRは、ネットワークアーキテクチャーの変更や構成の誤りに関係なく、アクセスが要求されるたびにネットワークレベルでポリシーを適用します。

ZPRは、既存のネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・コントロール・リスト(SCL)ルールの上に構築されます。パケットがターゲットに到達するには、すべてのNSGおよびSCLルールおよびZPRポリシーを渡す必要があります。NSG、SCLまたはZPRルールまたはポリシーでトラフィックが許可されていない場合、リクエストは削除されます。

Zero Trust Packet Routing(ZPR)を使用すると、次の3つのステップでネットワークを保護できます。

  1. セキュリティ属性ネームスペースとセキュリティ属性を作成および管理します
  2. セキュリティ属性を使用してリソースへのアクセスを制御するポリシーの記述
  3. 指定したリソースへのセキュリティ属性の適用
注意

Oracle Cloud Infrastructure Console、APIまたはCLIを使用してクラウド・リソースに説明、タグ、セキュリティ属性またはフレンドリ名を割り当てる場合、機密情報を入力しないでください。

Zero Trust Packet Routingの仕組み

Zero Trust Packet Routing (ZPR)を使用すると、セキュリティ属性ネームスペースを作成して、データベースやコンピュート・インスタンスなどの保護するリソースに割り当てるセキュリティ属性を編成できます。次に、セキュリティ属性を使用して、Zero Trust Packet Routing Policy Language (ZPL)を使用してZPRポリシーを作成し、それらのリソースにアクセスできるユーザーやデータの移動先に関するセキュリティ・インテントを表現します。ポリシー・エンジンは、ポリシー強制ポイントで適用される適切なルールにインテントをコンパイルします。

Zero Trust Packet Routing(ZPR)によるインターネットの外部からの保護

たとえば、顧客は機密データを不正アクセスや流出から保護したいと考えています。顧客は、データベースに格納されている機密データにdata:sensitiveセキュリティ属性を適用し、フロントエンド・アプリケーションにhosts:trustedセキュリティ属性を適用します。その後、お客様は、不正なアクセスからデータを保護するZPRポリシーを記述します。

in networks:internal VCN allow hosts:trusted endpoints to connect to data:sensitive endpoints

ZPRは、適切なhosts:trustedセキュリティ属性を持つクライアントのみがZPRポリシーに従ってdata:sensitiveセキュリティ属性を持つデータにアクセスできるように、ネットワーク・レベルでZPRポリシーを適用します。

クライアントがアプリケーションサーバーに対して要求を行うと、ZPRはネットワークパケットのセキュリティー属性をチェックします。パケットがネットワークを経由すると、サービスはソースと宛先の両方のセキュリティ属性をZPRポリシーと照合してチェックし、リクエストをブロックするか、ZPRポリシーに基づいてリクエストを許可します。

Zero Trust Packet Routingの概念

Zero Trust Packet Routing (ZPR)サービスを理解するには、次の概念が重要です。

セキュリティ属性
サポートされるリソースへのアクセスを制御するためにZPRポリシーで参照できるラベル。
セキュリティ属性ネームスペース
一連のセキュリティ属性のコンテナ。
ZPRポリシー
セキュリティ属性で識別される特定のエンドポイント間の通信を制御するルール。
ZPRポリシー言語(ZPL)
セキュリティ属性を評価してデータ・ソース間の認可データ・フローを定義する言語。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループコンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを行うことができるユーザーを制御します。詳細は、クラウド・アイデンティティに使用するためのドキュメントを参照してください。

管理者ではなく、会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、ユーザーが使用する1つ以上のコンパートメントを承認できます。

Zero Trust Packet Routingへのアクセス方法

Zero Trust Packet Routing (ZPR)には、コンソール(ブラウザベースのインタフェース)、コマンドライン・インタフェース(CLI)またはREST APIを使用してアクセスできます。コンソール、CLIおよびAPIに関する手順は、このガイド全体のトピックに記載されています。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Oracle Cloudコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

使用可能なSDKのリストは、SDKおよびCLIを参照してください。APIの使用に関する一般情報は、REST APIのドキュメントを参照してください。

制限

セキュリティ属性のリソースごとの制限、およびセキュリティ属性文字列でサポートされている文字について学習します。

  • テナンシ当たりのセキュリティ属性: 無制限
  • VCN当たりのセキュリティ属性: 1
  • リソース当たりのセキュリティ属性(VCNs以外): 3
  • セキュリティ属性キーの事前定義済値の数: リスト当たり100
  • ポリシー・オブジェクト当たりの文: 50
  • テナンシ当たりのデフォルト・ポリシー・オブジェクト: 100
  • テナンシ当たりのステートメント(すべてのポリシー・オブジェクト): 1000
リソース サポートされている文字 最大長
セキュリティ属性ネームスペース ピリオド(.)と空白を除く印刷可能なASCII

  • 0-9

  • A-Z

  • a-z

  • - (ダッシュ)

  • _ (アンダースコア)

 100文字

セキュリティ属性

 ピリオド(.)と空白を除く印刷可能なASCII

  • 0-9

  • A-Z

  • a-z

  • - (ダッシュ)

  • _ (アンダースコア)

 100文字

セキュリティ属性値

 有効なASCIIまたはUnicode文字。値の解決文字(ピリオドまたはスペース)がある場合は、文字を一重引用符(')で囲む必要があります 255文字

セキュリティー属性を割り当てることができるリソース

次の表に、Zero Trust Packet Routing (ZPR)セキュリティー属性をサポートするリソースの一覧を示します。セキュリティ属性サポートが他のリソースに追加されると、この表が更新されます。

サービス リソースのタイプ
Compute

インスタンス

インスタンス構成
データベース

autonomous-databases

クラウド自律型vmclusters

cloud-vmclusters

データベース

db-systems

exadb-vm-clusters
ロード・バランサ ロード・バランサ
ネットワーキング

vcns

vnic

PrivateEndpoint
ネットワーク・ロード・バランサ ネットワーク・ロード・バランサ

ZPRとIAMの違い

Zero Trust Packet Routing (ZPR)ポリシーは、既存のOCI IAMポリシーと共存し、より完全なセキュリティ体制を提供します。

ZPRポリシーとIAMポリシーは、次の点で異なります。

  • ZPRポリシーは、テナンシ内のコンピュート・インスタンスとデータベース間の接続を定義するネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リストと同様のネットワーク・レイヤー(L4)制御です。
  • IAMポリシーは、アプリケーション・レベル(L7)のポリシー言語であり、ネットワーク・レイヤー接続が確立された後に、特定の権限を使用してどのプリンシパル(グループまたはリソース・プリンシパル)がどのOCIリソースにアクセスできるかを制御します。

ZPRポリシーとIAMポリシーの最大の違いは、ZPRポリシーが接続のネットワークの側面、つまり、ソースとターゲット(コンピュートまたはデータベース)、IPアドレス、プロトコルおよびポートのセキュリティ属性に対処することです。ZPRポリシーは、プリンシパル、OCIリソース・タイプまたは権限を理解または評価しません。

たとえば、OCI認可を使用して、ユーザーがOCIコンソールにサインイン(またはCLIまたはSDKを使用)する既存のデータベース・インスタンスを削除する場合は、OCIリソース(データベース)を削除するコマンドを発行します。この時点で、OCI IAMポリシーを使用して、ユーザーにIAMポリシーに基づいてそのアクションを実行する権限があるかどうかを判断します。

IAMポリシーとZPRポリシーの両方が重要であり、両方を使用してより完全なセキュリティ体制を提供できます。

ZPRと他のセキュリティ方法の違い

セキュリティ・リストでは、セキュリティ・ルールのセットを定義して、VCNの単一のVCNまたはサブネット内のすべてのリソースに適用できます。コンピュート・インスタンスまたはその他のリソースは、接続に使用しているサブネットまたはVCNに対して設定されたルールをオプトインまたはオプトアウトできません。セキュリティ・リストの詳細は、セキュリティ・リストに関する項を参照してください。

ネットワーク・セキュリティ・グループ(NSG)では、VCN内の選択した仮想ネットワーク・インタフェース・カード(VNIC)のグループに対して一連のセキュリティ・ルールを定義および適用できます。VNICは異なるサブネットに配置でき、サブネットの一部のVNICはセキュリティ・リストのみを使用でき、その他はセキュリティ・リストとNSGの両方を使用できます。NSGでは、セキュリティ・リストと同じ構造を持つルールが使用されます。VNICは、コンソールのVNICの管理詳細ページからNSGに参加または終了するように設定できますが、コンソールのNSGの管理ページからVNICを追加または削除することはできません。NSGの詳細は、ネットワーク・セキュリティ・グループに関する項を参照してください。セキュリティ・リストとNSGの詳細な比較は、セキュリティ・リストとネットワーク・セキュリティ・グループの比較に関する項を参照してください。

ZPRポリシーでは、セキュリティ・ルールのセットを定義して、単一のVCN内のすべてのリソースであるとはかぎりません広範なリソースに適用できるため、セキュリティ・ポスチャはネットワークの構造とさらに結び付けられません。可能なルールは、より詳細で複雑になる可能性があり、NSGおよびセキュリティ・リストで使用される構造を共有しません。ZPRポリシーを使用するようにリソースを設定するには、コンソールの保護されたリソース・ページからセキュリティ属性を追加します。また、コンソールのZPRポリシーの詳細ページからリソースを追加または削除できます。

セキュリティ・メソッド への適用 有効化または無効化 制限
セキュリティ・リスト サブネットまたはVCN内のすべてのVNIC 使用できません。 サブネット当たり最大5つのセキュリティ・リスト
ネットワーク・セキュリティ・グループ VCN内の選択したVNIC VNICの詳細ページから VNIC当たり最大5つのNSG
Zero Trust Packet Routing 1つ以上のVCNs内の選択したリソース(VNICおよびその他のリソース・タイプ) リソースに適用されるセキュリティ属性 リソース当たり最大3つのZPRセキュリティ属性

ZPRポリシーを使用すると、セキュリティ属性をVNICまたは次の項目を参照するZPRポリシーを管理および定義するその他のリソースに直接適用できます。

  • セキュリティ属性
  • リクエストを行うホスト
  • リクエストが移動しているネットワーク
  • アクションが許可されているかどうか

ポリシーで許可されていないトラフィックは、ネットワーク上で移動できません。セキュリティ属性を適用したリソースは、それを参照するZPRポリシーの対象となります。リソースには最大3つのセキュリティ属性を設定できます。

ZPRではより詳細なセキュリティ要件を定義できるため、ZPRの使用をお薦めします。詳細は、If You Use Zero Trust Packet Routing with Other Security Methodsを参照してください。

NSGに対するZPRの利点

NSGに対するZPRの利点は次のとおりです。
  • A security list or NSG can't apply to more than one VCN, but a ZPR policy can apply to more than one VCN by applying the same security attribute to multiple VCNs.
  • NSGを管理するときに、NSGにリソース(エンドポイントまたはVNICを使用する)を追加することはできません。これは、ZPRポリシーを使用して行うことができます。
  • ZPRポリシーは、セキュリティ・リストまたはNSGで使用されるセキュリティ・ルールよりも複雑になる場合があります。
  • ZPRポリシーとセキュリティ属性は、ネットワーク・アーキテクチャとネットワーク・セキュリティを分離します。つまり、ネットワーク・アーキテクチャを変更する必要がある場合(たとえば、新しいアプリケーションを追加する場合)、ネットワーク・セキュリティを低下させるリスクはありません。

その他のセキュリティー方式で Zero Trust Packet Routingを使用する場合

VNICまたはエンドポイントには、通信を許可するVCNまたはサブネットのセキュリティ・リスト・ルールが必要です。NSGは、VCN内の任意の場所で、選択したリソースのセキュリティ・リスト・ルールの上にさらにルールを追加できます。ZPRポリシーは、セキュリティ・リストとNSGルールの両方の上に階層化することも、セキュリティ・リストのみにZPRポリシーを追加することもできます。

次の図は、この概念を示しています。

トラフィックがフローするには、ZPRポリシーとNSGおよびセキュリティ・リスト・ルールの両方を満たす必要があります。

NSGおよびセキュリティ・リストとともにZPRを使用する場合、特定のリソースに適用されるルールのセットには次の項目が含まれます。

  • Zero Trust Packet Routingポリシー
  • リソースのVNICが属するすべてのNSGのセキュリティ・ルール
  • セキュリティ・リスト: VCNまたはサブネット内のすべてのVNICまたはエンドポイントに関連するルール(すべてのVNICまたはエンドポイントには、少なくとも1つの関連するセキュリティ・リストがあります)