Oracle Cloud Infrastructureドキュメント

Managing Security Attributes for Private Endpoints (PE)s

生成AIプライベート・エンドポイントのZero Trust Packet Routing (ZPR)セキュリティ属性を追加、リストおよび更新する方法について学習します。セキュリティ属性は、リソースを識別し、ZPRポリシーを強制するために Zero Trust Packet Routing (ZPR)で使用されるラベルです。

情報

生成AIプライベート・エンドポイントをZPRで保護するには、エンドポイントにセキュリティ属性を割り当て、承認されたトラフィックを明示的に許可するZPRポリシーを定義します。

ZPRは、ルーティングおよび従来のネットワーク制御に加えて評価されます。プライベート・エンドポイントに到達するには、次のすべてのコントロールでトラフィックが許可されている必要があります:

  • エンドポイント・サブネットへの有効なルート
  • ネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リスト・ルール
  • 適用可能なZPRポリシー
注意

ZPRセキュリティ属性をプライベート・エンドポイントに追加すると、ZPRポリシーで明示的に許可されないかぎり、エンドポイントへのトラフィックはブロックされます。意図しない停止を回避するために、セキュリティ属性を割り当てる前(または直後に)にZPRポリシー・ルールを作成および検証します。

重要な用語

  • セキュリティ属性:サポートされるリソースへのアクセスを制御するためにZPRポリシーで参照されるラベル。
  • セキュリティ属性ネームスペース:セキュリティ属性のコンテナ。
  • ZPRポリシー言語(ZPL):セキュリティ属性に基づいてネットワーク・トラフィックを許可または拒否するZPRルールの記述に使用するポリシー構文。
  • ZPRポリシー: ZPRポリシー言語(ZPL)で記述された許可/拒否ルールのセットで、セキュリティ属性ネームスペース/キー/値ラベルを照合して、どのリソースが通信できるかを制御します。

セットアップ

  1. ZPRサービスで、セキュリティ属性ネームスペースおよびセキュリティ属性を作成し、ZPRポリシーを記述します(ZPRポリシーはIAMポリシーではありません)。
  2. 生成AIサービスで、プライベート・エンドポイントに最大3つのセキュリティ属性を追加します。
  3. エンドポイントへのトラフィックが次の方法で許可されていることを確認します。
    • ルーティング
    • NSG/セキュリティ・リスト・ルール
    • ZPRのポリシー

Zero Trust Packet Routingのドキュメントを参照してください。

前提条件

セキュリティ属性をプライベート・エンドポイントに割り当てる前に、ZPRサービスの次のタスクを完了します。

  1. IAMアクセスの検証:管理者またはユーザーに、ZPRリソース(ネームスペース、属性およびZPRポリシー)を管理する権限があることを確認します。ZPR IAMポリシーを参照してください。

  2. ネームスペースおよび属性の作成:セキュリティ属性ネームスペースを作成し、設計用に最大3つのセキュリティ属性を作成します。

  3. ZPRポリシーの書込み: ZPRポリシー言語(ZPL)を使用して、プライベート・エンドポイントへの必要なトラフィックを明示的に許可します。ZPR PoliciesおよびPolicy Syntaxを参照してください。

    注意:トラフィックは、ルーティング、NSGおよびセキュリティ・リストでも許可される必要があります。

  4. エンドポイント・ラベルの計画:プライベート・エンドポイントに適用するネームスペース/キー/値を決定し、ZPRポリシーがその属性セットへのトラフィックを許可することを確認します。

ZPRポリシーの例:

in <namespace>.<label-1>:42 
VCN allow <namespace>.<label-1>:42 endpoints 
to connect to <namespace>.<label-1>:42 endpoints
in <label-1>:42 VCN allow all-endpoints 
to connect to <label-1>:42 
endpoints with protocol = 'tcp/443'
ヒント

ZPRについて学習

コンソールで、ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。Zero Trust Packet Routingで、「概要」を選択します。このページのサービスに関するビデオおよびガイダンスを参照してください。

PEを作成するときのZPRの追加🔗

  1. プライベート・エンドポイントの作成のステップに従います。
  2. 作成フローで、「セキュリティ属性の表示」を展開し、セキュリティ属性に対して表示される「タグ」オプションを展開します。
  3. 「セキュリティ属性の追加」を選択します。
  4. 次の情報を入力します。
    • セキュリティ属性ネームスペース
    • セキュリティ属性キー
    • セキュリティ属性値
  5. 属性をさらに追加するには、「セキュリティ属性の追加」を選択します(合計3まで)。
  6. 「作成」を選択します。
ノート

意図せずにアクセスをブロックしないように、本番環境でエンドポイントを使用する前に、目的のトラフィック・フローをエンドポイントに許可するようにZPRポリシーが定義されていることを確認してください。前提条件を参照してください。

既存のPEでのZPRの追加または更新 🔗

既存のエンドポイントにセキュリティ属性を追加したり、すでに適用されているネームスペース/キー/値を変更するには、次のステップに従います。

  1. 「プライベート・エンドポイント」リスト・ページで、操作するプライベート・エンドポイントを選択します。プライベート・エンドポイントのリスト・ページの検索に関するヘルプが必要な場合は、プライベート・エンドポイントのリストを参照してください。
  2. プライベート・エンドポイントの詳細ページで、「セキュリティ属性」タブを選択します。
  3. 「セキュリティ属性の追加」を選択します。
  4. 次の情報を入力します。
    • セキュリティ属性ネームスペース
    • セキュリティ属性キー
    • セキュリティ属性値
  5. 「セキュリティ属性の追加」を再度選択して、属性を追加します(合計は3まで)。
  6. 終了したら、「セキュリティ属性の追加」を選択します。
注意

セキュリティ属性を変更すると、エンドポイントに適用するZPRポリシーを変更できます。変更後、ZPRポリシーによってアクセスが許可されていること、およびルーティング・ルールとNSG/セキュリティ・リスト・ルールによってもアクセスが許可されていることを確認します。

権限ノート

セキュリティ属性を追加するには、セキュリティ属性ネームスペースを使用する権限が必要です。詳細は、Zero Trust Packet Routingのドキュメントを参照してください。

セキュリティ属性のリスト

  1. 「プライベート・エンドポイント」リスト・ページで、操作するプライベート・エンドポイントを選択します。プライベート・エンドポイントのリスト・ページの検索に関するヘルプが必要な場合は、プライベート・エンドポイントのリストを参照してください。
  2. プライベート・エンドポイントの詳細ページで、「セキュリティ属性」タブを選択します。