Documentazione dell'infrastruttura Oracle Cloud

Impostazione della decifrazione e dell'ispezione del traffico di rete

Installare il certificato e la chiave privata necessari per la decifrazione e il controllo del traffico TLS.

I segreti del vault vengono utilizzati per decifrare e ispezionare il traffico SSL/TLS.

L'ispezione SSL in entrata decifra e ispeziona il traffico SSL/TLS in entrata da un client a un server di rete di destinazione. Per ulteriori informazioni sull'ispezione SSL in entrata, vedere Ispezione SSL in entrata.

Il proxy di inoltro SSL decifra e ispeziona il traffico SSL/TLS dagli utenti interni al Web. Per ogni criterio firewall è consentito un solo segreto proxy di inoltro SSL. Per ulteriori informazioni sul proxy di inoltro SSL, vedere Proxy di inoltro SSL.

Dopo aver creato un criterio firewall, creerai un segreto mappato per mappare il segreto vault a una chiave SSL in entrata o in uscita. Quindi creerai un profilo di decifrazione per controllare il modo in cui il proxy di inoltro SSL e l'ispezione SSL in entrata eseguono controlli della modalità sessione, controlli del server e controlli degli errori.

Per ulteriori informazioni sulle modalità di utilizzo del certificato con un criterio firewall, vedere Creazione e gestione dei criteri firewall.

Task 1: consentire al servizio Network Firewall di accedere ai segreti di Vault

Creare un criterio IAM per consentire al criterio firewall di accedere e utilizzare i segreti del vault.

Per consentire a tutti i criteri firewall di accedere ai segreti del servizio Vault, effettuare le operazioni riportate di seguito.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'}
Per consentire a un criterio firewall l'accesso ai segreti del servizio Vault: 
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}
Avvertenza

Se questa autorizzazione viene revocata in un secondo momento, il firewall interromperà la decifrazione del traffico in quanto il servizio non sarà in grado di accedere al segreto mappato.

Questi criteri sostituiscono il criterio non più valido per accedere ai segreti del vault:

allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>
Task 2: creare un vault e una chiave master per memorizzare il certificato
  1. Creare un vault in cui memorizzare il certificato.
  2. Creare una chiave di cifratura primaria nel vault.
    Importante

    La chiave master deve essere una chiave simmetrica. Non è possibile cifrare i segreti con chiavi asimmetriche.
Task 3: Memorizza il certificato

È possibile utilizzare un certificato con firma automatica o con firma ca con OCI Network Firewall Service.

Oracle fornisce uno script che è possibile utilizzare per generare un certificato con firma automatica.
Importante

  • Il servizio Network Firewall convalida il certificato fornito e lo memorizza nella trustroot. Per convalidare il certificato, fornire l'intera catena di certificati SSL, inclusi il certificato radice dei certificati intermedi e la chiave privata. Caricare i certificati in formato .pem con wrapping nel modello .json seguente.

  • Se il certificato foglia specificato in "certKeyPair" è un certificato forward-trust, dovrebbe avere la capacità di firma dell'autorità di certificazione. Impostare il flag CA su "true".

    In questo esempio, se "LEAF_CERT_01_PEM_CONTENT" è un certificato forward-trust, il relativo flag CA deve essere impostato su "true". 
    {
  "caCertOrderedList" : [
    "ROOT_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT02_PEM_CONTENT",
  ],
  "certKeyPair": {
    "cert" : "LEAF_CERT_01_PEM_CONTENT",
    "key":   "PRIVATE_KEY_01_PEM_CONTENT"
  }
}
Per utilizzare un certificato OpenSSL con firma automatica, è possibile utilizzare uno script fornito da Oracle per crearne uno:
  1. Scaricare e installare OpenSSL.
  2. Scaricare e installare Perl.
  3. Scaricare lo script dal repository GitHub Oracle.
  4. Eseguire lo script utilizzando il comando seguente. Sostituire <test.test.com> con il nome DNS del server Web da proteggere: 
    ./create-certificate inbound <test.test.com>
    In alternativa 
    ./create-certificate forward <test.test.com>
Task 4: Creare segreti nel vault

Creare un segreto nel vault per ogni certificato che si desidera utilizzare.

  1. Aprire il menu di navigazione, andare a Identità e sicurezza, quindi selezionare Vault.
  2. In Ambito lista, nella lista Compartimento selezionare il compartimento.

  3. Selezionare il vault creato nel Task 2: creare un vault e una chiave master per memorizzare il certificato.

  4. Selezionare Secret, quindi selezionare Crea segreto.
  5. Nella finestra di dialogo Crea segreto selezionare un compartimento dalla lista Crea nel compartimento. (I segreti possono esistere al di fuori del compartimento in cui si trova il vault).
  6. Selezionare Nome, quindi immettere un nome. Utilizzare un nome che corrisponda al tipo di certificato contenuto nel segreto. Ad esempio, "ssl-inbound-inspection-certificate".
  7. Selezionare Descrizione, quindi immettere una descrizione.
  8. Selezionare la chiave di cifratura master creata in Task 2: creare un vault e una chiave master per memorizzare il certificato.
  9. Specificare il formato del contenuto del segreto come Testo normale.
  10. Selezionare Sommario segreto, quindi copiare il contenuto del certificato nel campo. La dimensione massima consentita per un bundle segreto è 25 KB.
  11. Selezionare Crea segreto.
Nota

Esempio per il contenuto del segreto creato con dati mascherati:
{
  "caCertOrderedList" : [
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
  ],
  "certKeyPair": {
    "cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "key": "-----BEGIN RSA PRIVATE KEY-----\this-is-not-the-secret\n-----END RSA PRIVATE KEY-----"
  }
}