Documentación de Oracle Cloud Infrastructure

Configuración de la inspección y el descifrado del tráfico de red

Instale el certificado y la clave privada necesarios para descifrar e inspeccionar el tráfico TLS.

Los secretos del almacén se utilizan para descifrar e inspeccionar el tráfico SSL/TLS.

  • La inspección de entrada SSL descifra e inspecciona el tráfico SSL/TLS entrante de un cliente a un servidor de red de destino. Para obtener más información sobre la inspección de entrada SSL, consulte Inspección de entrada SSL.
  • El proxy de reenvío SSL descifra e inspecciona el tráfico SSL/TLS de los usuarios internos a la web. Solo se permite una clave de proxy para reenvío SSL para cada política de firewall. Para obtener más información sobre el proxy de reenvío SSL, consulte Proxy de reenvío SSL,

Después de crear una política de firewall, creará un secreto asignado para asignar el secreto de almacén a una clave SSL de entrada o de salida. A continuación, creará un perfil de cifrado para controlar cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.

Para obtener más información sobre cómo se utiliza el certificado con una política de firewall, consulte Creación y gestión de políticas de firewall.

Tarea 1: Permitir que el servicio Network Firewall acceda a secretos de Vault

Cree una política de IAM para permitir que la política de firewall acceda y utilice secretos de Vault.

Para permitir que todas las políticas de firewall accedan a los secretos del servicio Vault:
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'}
Para permitir un acceso de política de firewall a los secretos del servicio Vault: 
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}
Advertencia

Si este permiso se revoca más tarde, el firewall dejará de descifrar el tráfico porque el servicio no podrá acceder al secreto asignado.

Estas políticas sustituyen a la política en desuso para acceder a los secretos de Vault:

allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>

Tarea 2: Creación de un almacén y un clave maestra para almacenar el certificado

  1. Cree un almacén en el que almacenar el certificado.
  2. Cree una clave de cifrado maestra en el almacén.
    Importante

    La clave maestra debe ser una clave simétrica. No puede cifrar secretos con claves asimétricas.

Tarea 3: Almacenamiento del certificado

Puede utilizar un certificado autofirmado o firmado por una autoridad de certificación con OCI Network Firewall Service.

Oracle proporciona un script que puede utilizar para generar un certificado autofirmado.
Importante

  • El servicio Network Firewall valida el certificado proporcionado y lo almacena en la raíz de confianza. Para validar el certificado, proporcione toda la cadena de certificados SSL, incluidos el certificado raíz de certificados intermedios y la clave privada. Cargue certificados en formato .pem que se ajusten en la siguiente plantilla .json.

  • Si el certificado de hoja especificado en "certKeyPair" es un certificado de confianza directa, debe tener la capacidad de firma de autoridad de certificación. Defina el indicador CA en "true".

    En este ejemplo, si "LEAF_CERT_01_PEM_CONTENT" es un certificado de confianza directa, su indicador CA se debe definir en "true". 
    {
  "caCertOrderedList" : [
    "ROOT_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT02_PEM_CONTENT",
  ],
  "certKeyPair": {
    "cert" : "LEAF_CERT_01_PEM_CONTENT",
    "key":   "PRIVATE_KEY_01_PEM_CONTENT"
  }
}
Para utilizar un certificado OpenSSL autofirmado, puede utilizar un script proporcionado por Oracle para crear uno:
  1. Descargue e instale OpenSSL.
  2. Descargue e instale Perl.
  3. Descargue el script del repositorio GitHub de Oracle.
  4. Ejecute el script con el siguiente comando. Sustituya <test.test.com> por el nombre DNS del servidor web que necesita proteger: 
    ./create-certificate inbound <test.test.com>
    o bien 
    ./create-certificate forward <test.test.com>

Tarea 4: Creación de secretos en el almacén

Cree un secreto en el almacén para cada certificado que desee utilizar.

  1. Abra el menú de navegación, vaya a Identity & Security y, a continuación, seleccione Secret Management.
  2. Seleccione Create Secret.
  3. En la página Crear secreto, seleccione el compartimento en el que desea crear el secreto. (Los secretos pueden existir fuera del compartimento en el que está el almacén).
  4. Introduzca un nombre que corresponda con el tipo de certificado contenido por el secreto. Por ejemplo, "ssl-inbound-inspection-certificate".
  5. Introduzca una descripción opcional.
  6. Seleccione el almacén creado en Tarea 2: Creación de una clave maestra y un almacén para almacenar el certificado. Cambie el compartimento del almacén según sea necesario.
  7. Seleccione la clave de cifrado maestra creada en Tarea 2: Creación de un almacén y un clave maestra para almacenar el certificado. Cambie el compartimento de la clave de cifrado según sea necesario.
  8. Especifique el formato del contenido secreto como Texto sinóptico.
  9. Copie el contenido del certificado en el cuadro Contenido del secreto. (El tamaño máximo permitido para un grupo de secretos es 25 KB).
  10. Seleccione Create Secret.
Nota

Ejemplo para el contenido del secreto creado con datos enmascarados:
{
  "caCertOrderedList" : [
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
  ],
  "certKeyPair": {
    "cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "key": "-----BEGIN RSA PRIVATE KEY-----\this-is-not-the-secret\n-----END RSA PRIVATE KEY-----"
  }
}