====== Sicurezza ======

<WRAP round info>
**Destinatari:** Security-Admin, DevOps \\
**Contenuto:** TLS, Certificati, Controllo accessi \\
**Priorita:** Critico per la produzione
</WRAP>

Configurazione di sicurezza per il funzionamento produttivo del Data Gateway.

----

===== Workflow =====

<mermaid>
flowchart LR
    subgraph TLS["TLS"]
        T1[Ottenere certificato]
        T2[Attivare HTTPS]
        T3[Cipher Suites]
    end

    subgraph ACCESS["ACCESSO"]
        A1[Firewall]
        A2[API-Keys]
        A3[IP-Whitelist]
    end

    subgraph CERTS["CERTIFICATI"]
        C1[Renewal]
        C2[Monitoring]
    end

    T1 --> T2 --> T3
    T2 --> A1
    A1 --> C1 --> C2

    style T1 fill:#e8f5e9
    style A1 fill:#fff3e0
    style C2 fill:#e3f2fd
</mermaid>

----

===== Runbook =====

^  Runbook  ^  Descrizione  ^  Durata  ^
| [[.:tls-einrichten|Configurare TLS]] | Attivare HTTPS, configurare certificati | ~15 Min |
| [[.:zertifikat-erneuern|Rinnovare certificato]] | Processo di renewal, automazione | ~10 Min |
| [[.:firewall-regeln|Regole Firewall]] | Limitazione accessi, IP-Whitelist | ~10 Min |

----

===== Checklist di Sicurezza =====

| # | Punto di verifica | Priorita | v |
|---|-----------|-----------|---|
| 1 | TLS/HTTPS attivato | Critico | ☐ |
| 2 | Nessun certificato autofirmato in Prod | Critico | ☐ |
| 3 | TLS 1.2+ obbligatorio | Alto | ☐ |
| 4 | Cipher deboli disattivati | Alto | ☐ |
| 5 | Firewall configurato | Critico | ☐ |
| 6 | Scadenza certificato monitorata | Alto | ☐ |
| 7 | Log senza password | Critico | ☐ |

----

===== Quick Wins =====

<code bash>
# Verificare stato HTTPS
curl -I https://gateway.example.com/health

# Verificare versione TLS
openssl s_client -connect gateway.example.com:443 -tls1_2
openssl s_client -connect gateway.example.com:443 -tls1_3

# Verificare scadenza certificato
echo | openssl s_client -connect gateway.example.com:443 2>/dev/null | openssl x509 -noout -dates
</code>

----

===== Documentazione Correlata =====

  * [[..:administrator:sicherheit:start|Amministratore: Sicurezza]] - Architettura
  * [[..:business:sicherheit:start|Business: Sicurezza PQ]] - Compliance
  * [[it:int:pqcrypt:szenarien:operator:start|PQ Crypto Operator]] - Post-Quantum

----

<< [[..:start|<- Manuale Operatore]] | [[.:tls-einrichten|-> Configurare TLS]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Data Gateway Professional//

{{tag>operator sicurezza tls certificati}}