Configuración de la inspección y el descifrado del tráfico de red
Configure la autenticación de certificados y los secretos de Vault para descifrar e inspeccionar el tráfico de red.
Los secretos del almacén se utilizan para descifrar e inspeccionar el tráfico SSL/TLS.
La inspección de entrada SSL descifra e inspecciona el tráfico SSL/TLS de entrada de un cliente a un servidor de red de destino. Para obtener más información sobre la inspección de entrada SSL, consulte Inspección de entrada SSL.
El proxy de reenvío SSL descifra e inspecciona el tráfico SSL/TLS de usuarios internos a la web. Solo se permite un secreto de proxy de reenvío SSL para cada política de firewall. Para obtener más información sobre el proxy de reenvío SSL, consulte Proxy de reenvío SSL.
Después de crear una política de firewall, creará un secreto asignado para asignar el secreto de almacén a una clave SSL de entrada o de salida. A continuación, creará un perfil de cifrado para controlar cómo el proxy de reenvío SSL y la inspección de entrada SSL realizan comprobaciones de modo de sesión, de servidor y de fallos.
Para obtener más información sobre cómo se utiliza el certificado con una política de firewall, consulte Creación y gestión de políticas de firewall.
Cree una política de IAM para permitir que la política de firewall acceda y utilice secretos de Vault.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'} Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}Si este permiso se revoca más tarde, el firewall dejará de descifrar el tráfico porque el servicio no podrá acceder al secreto asignado.
Estas políticas sustituyen a la política en desuso para acceder a los secretos de Vault:
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name> - Cree un almacén en el que almacenar el certificado.
- Cree una clave de cifrado maestra en el almacén.Importante
La clave maestra debe ser una clave simétrica. No puede cifrar secretos con claves asimétricas.
Puede utilizar un certificado autofirmado o firmado por la autoridad de certificación con el servicio OCI Network Firewall.
- El servicio Network Firewall valida el certificado proporcionado y lo almacena en la raíz de confianza. Para validar el certificado, proporcione toda la cadena de certificados SSL, incluidos el certificado raíz de certificados intermedios y la clave privada. Cargue certificados en formato
.pemque se ajusten en la siguiente plantilla.json. -
Si el certificado de hoja especificado en
"certKeyPair"es un certificado de confianza directa, debe tener la capacidad de firma de autoridad de certificación. Defina el indicadorCAen"true".En este ejemplo, si"LEAF_CERT_01_PEM_CONTENT"es un certificado de confianza directa, su indicadorCAse debe definir en"true".{ "caCertOrderedList" : [ "ROOT_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT02_PEM_CONTENT", ], "certKeyPair": { "cert" : "LEAF_CERT_01_PEM_CONTENT", "key": "PRIVATE_KEY_01_PEM_CONTENT" } }
- Descargue e instale OpenSSL.
- Descargue e instale Perl.
- Descargue el script del repositorio GitHub de Oracle.
- Ejecute el script con el siguiente comando. Sustituya <test.test.com> por el nombre DNS del servidor web que necesita proteger:
o bien./create-certificate inbound <test.test.com>./create-certificate forward <test.test.com>
Cree un secreto en el almacén para cada certificado que desee utilizar.
- Abra el menú de navegación, vaya a Identity & Security y, a continuación, seleccione Vault.
- En Alcance de lista, en la lista Compartimento, seleccione el compartimento.
-
Seleccione el almacén creado en la Tarea 2: Creación de un almacén y una clave maestra para almacenar el certificado.
- Seleccione Secretos y, a continuación, seleccione Crear secreto.
- En el cuadro de diálogo Create Secret, seleccione un compartimento en la lista Create in Compartment. (Los secretos pueden existir fuera del compartimento en el que está el almacén).
- Seleccione Nombre y, a continuación, introduzca un nombre. Utilice un nombre que se corresponda con el tipo de certificado que contiene el secreto. Por ejemplo, "ssl-inbound-inspection-certificate."
- Seleccione Descripción y, a continuación, introduzca una descripción.
- Seleccione la clave de cifrado maestra creada en la Tarea 2: Creación de un almacén y una clave maestra para almacenar el certificado.
- Especifique el formato del contenido secreto como Texto sinóptico.
- Seleccione Secret Contents y, a continuación, copie el contenido del certificado en el campo. (El tamaño máximo permitido para un grupo de secretos es 25 KB).
- Seleccione Create Secret.