Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica)

Il metodo di boot da WAN supporta diversi livelli di sicurezza. Si può utilizzare una combinazione delle funzioni di sicurezza supportate nel boot da WAN per soddisfare le necessità della propria rete. Una configurazione più sicura richiede più interventi di amministrazione, ma protegge anche in misura maggiore i dati del sistema. Per i sistemi di importanza critica o i sistemi da installare su una rete pubblica, occorre scegliere la configurazione presentata nella sezione Configurazione sicura per l'installazione boot WAN. Per i sistemi di importanza minore, o i sistemi in reti semi-private, si può optare per la configurazione descritta nella sezione Configurazione non sicura per l'installazione boot WAN.

Questa sezione descrive le diverse configurazioni utilizzabili per impostare il livello di sicurezza per l'installazione boot WAN. Vengono presentati inoltre i meccanismi di sicurezza richiesti da tali configurazioni.

Configurazione sicura per l'installazione boot WAN

Questa configurazione protegge l'integrità dei dati scambiati tra server e client, e contribuisce a tutelare la riservatezza dei contenuti degli scambi. Questa configurazione usa un collegamento HTTPS e l'algoritmo 3DES o AES per la cifratura dei file di configurazione dei client. Questa configurazione richiede anche che il server esegua la propria autenticazione presso il client durante l'installazione. Un'installazione di boot da WAN sicura richiede le seguenti funzioni di sicurezza:

• HTTPS attivato sul server boot WAN e sul server di installazione

• Chiave di hashing HMAC SHA1 sul server di boot WAN e sul client

• Chiave di cifratura 3DES o AES per il server di boot WAN e il client

• Certificato digitale di un'autorità di certificazione per il server boot WAN

Qualora sia inoltre richiesta l'autenticazione del client durante l'installazione, occorre usare anche le seguenti funzioni di sicurezza:

• Chiave privata per il server di boot WAN

• Certificato digitale per il client

Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere la Tabella 40–1.

Configurazione non sicura per l'installazione boot WAN

Questa configurazione di sicurezza richiede attività minime di amministrazione, ma fornisce il livello minore di sicurezza per il trasferimento dei dati dal server web al client, né creare una chiave di hashing, una chiave di cifratura o certificati digitali. Non è necessario configurare il server web per l'uso di HTTPS. Tuttavia, questa configurazione trasferisce i dati e i file di installazione su un collegamento HTTP, che lascia l'installazione vulnerabile all'intercettazione in rete.

Per fare in modo che il client controlli l'integrità dei dati trasmessi, è possibile utilizzare questa configurazione assieme a una chiave di hashing HMAC SHA1. Tuttavia, l'archivio Solaris Flash non è protetto dalla chiave di hashing. L'archivio viene trasferito in modo non sicuro tra il server e il client durante l'installazione.

Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere Tabella 40–1.