Documentazione dell'infrastruttura Oracle Cloud

Impostazione della decifrazione e dell'ispezione del traffico di rete

Installare il certificato e la chiave privata necessari per la decifrazione e il controllo del traffico TLS.

I segreti del vault vengono utilizzati per decifrare e ispezionare il traffico SSL/TLS.

  • L'ispezione SSL in entrata decifra e ispeziona il traffico SSL/TLS in entrata da un client a un server di rete di destinazione. Per ulteriori informazioni sull'ispezione SSL in ingresso, vedere Ispezione SSL in ingresso.
  • Il proxy di inoltro SSL decifra e ispeziona il traffico SSL/TLS dagli utenti interni al Web. Per ogni criterio firewall è consentito un solo segreto proxy di inoltro SSL. Per ulteriori informazioni sul proxy di inoltro SSL, vedere Proxy di inoltro SSL,

Dopo aver creato un criterio firewall, creerai un segreto mappato per mappare il segreto vault a una chiave SSL in entrata o in uscita. Quindi creerai un profilo di decifrazione per controllare il modo in cui il proxy di inoltro SSL e l'ispezione SSL in entrata eseguono controlli della modalità sessione, controlli del server e controlli degli errori.

Per ulteriori informazioni sull'uso del certificato con un criterio firewall, vedere Creazione e gestione dei criteri firewall.

Task 1: consentire al servizio Firewall di rete di accedere ai segreti del vault

Creare un criterio IAM per consentire al criterio firewall di accedere e utilizzare i segreti del vault.

Per consentire a tutti i criteri firewall di accedere ai segreti del servizio Vault, effettuare le operazioni riportate di seguito.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'}
Per consentire a un criterio firewall l'accesso ai segreti del servizio Vault: 
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}
Avvertenza

Se questa autorizzazione viene revocata in un secondo momento, il firewall interromperà la decifrazione del traffico in quanto il servizio non sarà in grado di accedere al segreto mappato.

Questi criteri sostituiscono il criterio non più valido per accedere ai segreti del vault:

allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>

Task 2: Creare un vault e una chiave master per memorizzare il certificato

  1. Creare un vault in cui memorizzare il certificato.
  2. Creare una chiave di cifratura primaria nel vault.
    Importante

    La chiave master deve essere una chiave simmetrica. Non è possibile cifrare i segreti con chiavi asimmetriche.

Task 3: Memorizza il certificato

Puoi utilizzare un certificato autofirmato o firmato dalla CA con il servizio firewall di rete OCI.

Oracle fornisce uno script che è possibile utilizzare per generare un certificato con firma automatica.
Importante

  • Il servizio Network Firewall convalida il certificato fornito e lo memorizza nella trustroot. Per convalidare il certificato, fornire l'intera catena di certificati SSL, inclusi il certificato radice dei certificati intermedi e la chiave privata. Caricare i certificati in formato .pem con wrapping nel modello .json seguente.

  • Se il certificato foglia specificato in "certKeyPair" è un certificato forward-trust, dovrebbe avere la capacità di firma dell'autorità di certificazione. Impostare il flag CA su "true".

    In questo esempio, se "LEAF_CERT_01_PEM_CONTENT" è un certificato forward-trust, il relativo flag CA deve essere impostato su "true". 
    {
  "caCertOrderedList" : [
    "ROOT_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT02_PEM_CONTENT",
  ],
  "certKeyPair": {
    "cert" : "LEAF_CERT_01_PEM_CONTENT",
    "key":   "PRIVATE_KEY_01_PEM_CONTENT"
  }
}
Per utilizzare un certificato OpenSSL con firma automatica, è possibile utilizzare uno script fornito da Oracle per crearne uno:
  1. Scaricare e installare OpenSSL.
  2. Scaricare e installare Perl.
  3. Scaricare lo script dal repository GitHub Oracle.
  4. Eseguire lo script utilizzando il comando seguente. Sostituire <test.test.com> con il nome DNS del server Web da proteggere: 
    ./create-certificate inbound <test.test.com>
    In alternativa 
    ./create-certificate forward <test.test.com>

Task 4: Creare segreti nel vault

Creare un segreto nel vault per ogni certificato che si desidera utilizzare.

  1. Aprire il menu di navigazione, andare a Identity & Security, quindi selezionare Secret Management.
  2. Selezionare Crea segreto.
  3. Nella pagina Crea segreto selezionare il compartimento in cui creare il segreto. (I segreti possono esistere al di fuori del compartimento in cui si trova il vault).
  4. Immettere un nome che corrisponda al tipo di certificato contenuto nel segreto. Ad esempio, "ssl-inbound-inspection-certificate".
  5. Immettere una descrizione (facoltativo).
  6. Selezionare il vault creato nel Task 2: creare un vault e una chiave master per memorizzare il certificato. Modificare il compartimento del vault in base alle esigenze.
  7. Selezionare la chiave di cifratura master creata in Task 2: creare un vault e una chiave master per memorizzare il certificato. Modificare il compartimento della chiave di cifratura in base alle esigenze.
  8. Specificare il formato del contenuto del segreto come Testo normale.
  9. Copiare il contenuto del certificato nella casella Contenuto segreto. La dimensione massima consentita per un bundle di segreti è 25 KB.
  10. Selezionare Crea segreto.
Nota

Esempio per il contenuto del segreto creato con dati mascherati:
{
  "caCertOrderedList" : [
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
  ],
  "certKeyPair": {
    "cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
    "key": "-----BEGIN RSA PRIVATE KEY-----\this-is-not-the-secret\n-----END RSA PRIVATE KEY-----"
  }
}