Configuration du déchiffrement et de l'inspection du trafic réseau
Configurez l'authentification par certificat et les clés secrètes Vault pour décrypter et inspecter le trafic réseau.
Les clés secrètes de coffre sont utilisées pour décrypter et inspecter le trafic SSL/TLS.
L'inspection entrante SSL décrypte et inspecte le trafic SSL/TLS entrant d'un client vers un serveur réseau ciblé. Pour plus d'informations sur l'inspection entrante SSL, reportez-vous à Inspection entrante SSL.
Le proxy de transfert SSL décrypte et inspecte le trafic SSL/TLS des utilisateurs internes vers le Web. Une seule clé secrète de proxy de transfert SSL est autorisée pour chaque stratégie de pare-feu. Pour plus d'informations sur le proxy de transfert SSL, reportez-vous à la section SSL Forward Proxy,
Une fois que vous avez créé une stratégie de pare-feu, vous créez une clé secrète mise en correspondance pour la mettre en correspondance avec une clé SSL entrante ou sortante. Vous allez ensuite créer un profil de décryptage afin de contrôler la façon dont le proxy de transfert SSL et l'inspection entrante SSL effectuent les vérifications du mode de session, du serveur et des échecs.
Pour plus d'informations sur l'utilisation du certificat avec une stratégie de pare-feu, reportez-vous à Création et gestion de stratégies de pare-feu.
Créez une stratégie IAM pour permettre à la stratégie de pare-feu d'accéder aux clés secrètes Vault et de les utiliser.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'} Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}Si ce droit d'accès est révoqué ultérieurement, le pare-feu arrête de décrypter le trafic car le service ne pourra pas accéder à la clé secrète mise en correspondance.
Ces stratégies remplacent la stratégie en phase d'abandon permettant d'accéder aux clés secrètes Vault :
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name> - Créez un coffre dans lequel stocker le certificat.
- Créez une clé de cryptage maître dans le coffre.Important
La clé maître doit être une clé symétrique. Vous ne pouvez pas crypter des clés secrètes avec des clés symétriques.
Vous pouvez utiliser un certificat auto-signé ou signé par une autorité de certification avec le service OCI Network Firewall.
- Le service Network Firewall valide le certificat fourni et le stocke dans la racine sécurisée. Pour valider le certificat, fournissez l'ensemble de la chaîne de certificat SSL, y compris le certificat racine et la clé privée des certificats intermédiaires. Téléchargez les certificats au format
.pemqui sont encapsulés dans le modèle.jsonsuivant. -
Si le certificat feuille spécifié dans
"certKeyPair"est un certificat de confiance, il doit disposer de la capacité de signature de l'autorité de certification. Définissez l'indicateurCAsur"true".Dans cet exemple, si"LEAF_CERT_01_PEM_CONTENT"est un certificat de confiance, son indicateurCAdoit être défini sur"true".{ "caCertOrderedList" : [ "ROOT_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT02_PEM_CONTENT", ], "certKeyPair": { "cert" : "LEAF_CERT_01_PEM_CONTENT", "key": "PRIVATE_KEY_01_PEM_CONTENT" } }
- Téléchargez et installez OpenSSL.
- Téléchargez et installez Perl.
- Téléchargez le script à partir du référentiel GitHub pour Oracle.
- Exécutez le script à l'aide de la commande suivante. Remplacez <test.test.com> par le nom DNS du serveur Web à protéger :
ou./create-certificate inbound <test.test.com>./create-certificate forward <test.test.com>
Créez une clé secrète dans le coffre pour chaque certificat à utiliser.
- Ouvrez le menu de navigation, accédez à Identité et sécurité, puis sélectionnez Coffre.
- Sous Portée de la liste, dans la liste Compartiment, sélectionnez le compartiment.
-
Sélectionnez le coffre que vous avez créé dans Tâche 2 : créer une clé maître et un coffre pour stocker le certificat.
- Sélectionnez Clés secrètes, puis Créer une clé secrète.
- Dans la boîte de dialogue Créer un secret, choisissez un compartiment de la liste Créer dans un compartiment. (Les clés secrètes peuvent exister en dehors du compartiment dans lequel se trouve le coffre.)
- Sélectionnez Nom, puis entrez un nom. Utilisez un nom qui correspond au type de certificat que contient la clé secrète. Par exemple, "certificat-inspection-entrante-ssl."
- Sélectionnez Description, puis entrez une description.
- Sélectionnez la clé d'encryptage maître que vous aurez créée dans Tâche 2 : créer un coffre et la clé maître pour stocker le certificat.
- Indiquez Texte brut pour le format du contenu de la clé secrète.
- Sélectionnez Contenu de clé secrète, puis copiez le contenu du certificat dans le champ. (La taille maximale autorisée pour un groupe de clés secrètes est de 25 ko.)
- Sélectionnez Créer une clé secrète.
Exemple pour le contenu de la clé secrète créée avec des données masquées :
{
"caCertOrderedList" : [
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
],
"certKeyPair": {
"cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
"key": "-----BEGIN RSA PRIVATE KEY-----\nnnxxxxxxxxxxx\n-----END RSA PRIVATE KEY-----"
}
}