Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica)
Il metodo di installazione boot WAN supporta diversi livelli di sicurezza. È possibile usare una combinazione delle funzioni di sicurezza supportate dal metodo boot WAN per adattarle all'esigenze della rete in uso. Le configurazioni più sicure hanno maggiori esigenze di amministrazione ma proteggono anche in modo più efficace il sistema. Per i sistemi più critici o per quelli che vengono installati usando una rete pubblica, è possibile scegliere la configurazione indicata in Configurazione sicura per l'installazione boot WAN. Per i sistemi di importanza minore, o i sistemi in reti semi-private, si può optare per la configurazione descritta in Configurazione non sicura per l'installazione boot WAN.
Questa sezione descrive le diverse configurazioni utilizzabili per impostare il livello di sicurezza per l'installazione boot WAN. Vengono presentati inoltre i meccanismi di sicurezza richiesti da tali configurazioni.
Configurazione sicura per l'installazione boot WAN
Questa configurazione protegge l'integrità dei dati scambiati tra server e client e contribuisce a tutelare la riservatezza dei contenuti degli scambi. Questa configurazione usa un collegamento HTTPS e l'algoritmo 3DES o AES per la cifratura dei file di configurazione dei client. Questa configurazione richiede anche che il server esegua la propria autenticazione presso il client durante l'installazione. Un'installazione di boot da WAN sicura richiede le seguenti funzioni di sicurezza:
-
HTTPS attivato sul server boot WAN e sul server di installazione
-
Chiave di hashing HMAC SHA1 sul server di boot WAN e sul client
-
Chiave di cifratura 3DES o AES per il server di boot WAN e il client
-
Certificato digitale di un'autorità di certificazione per il server boot WAN
Qualora sia inoltre richiesta l'autenticazione del client durante l'installazione, occorre usare anche le seguenti funzioni di sicurezza:
-
Chiave privata per il server di boot WAN
-
Certificato digitale per il client
Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere la Tabella 12–1.
Configurazione non sicura per l'installazione boot WAN
Questa configurazione di sicurezza richiede attività minime di amministrazione, ma fornisce il livello minore di sicurezza per il trasferimento dei dati dal server Web al client, Non è necessario creare una chiave di hashing, una chiave di cifratura o certificati digitali. Non è necessario configurare il server Web per l'uso di HTTPS. Tuttavia, questa configurazione trasferisce i dati e i file di installazione su un collegamento HTTP, che lascia l'installazione vulnerabile all'intercettazione in rete.
Per fare in modo che il client controlli l'integrità dei dati trasmessi, è possibile utilizzare questa configurazione assieme a una chiave di hashing HMAC SHA1. Tuttavia, l'archivio Solaris Flash non è protetto dalla chiave di hashing. L'archivio viene trasferito in modo non sicuro tra il server e il client durante l'installazione.
Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere la Tabella 12–2.
- © 2010, Oracle Corporation and/or its affiliates