Home > Architettura > Log Sicuro Firmato - S3Log > Architettura del Servizio S3Log

Architettura del Servizio S3Log

La raccolta degli eventi viene effettuata da un insieme di sensori distribuiti, che sono operativi sulla rete del cliente finale, e da uno o più collettori periferici, S3Log Collector. I sensori distribuiti possono interagire direttamente con il processo S3LogL, o generare log in base allo standard 'syslog' indirizzati a uno o più processi 'syslogd' operanti sulla rete (collettori).

Un collettore è un server 'syslogd', su piattaforma Unix-like, che opera in accoppiamento con un plugin specifico, S3Log Plugin: il demone 'syslogd' raccoglie gli eventi dai sensori distribuiti, e li passa al plugin che provvede a marcarli con l'identificativo del sensore (in base all'indirizzo IP) e a trasmetterli al processo S3LogL del server S3Log per la registrazione. Nel caso di non raggiungibilità o non disponibilità del server S3Log (interruzioni di rete o temporanea sospensione del servizio), il collettore S3Log Collector provvede a mantenere traccia degli eventi trasmessi, e a riattivare la trasmissione quando il server S3Log è nuovamente raggiungibile/disponibile.

La comunicazione tra il plugin del S3Log Collector e il server S3Log viene protetta utilizzando una coppia di processi STunnel, che realizzano un canale SSL gestito con i certificati X.509 propri del S3Log Collector e del server S3Log.

Gli operatori del servizio S3Log possono accedere da remoto al processo S3LogS per attivare o disattivare il servizio, o per ricevere gli eventi relativi (firma delle sequenze, errori di firma, errori di sistema, rotazione del file di log).

L'accesso degli operatori viene effettuato mediante un protocollo dedicato trasportato su un canale SSL gestito con appositi certificati X.509 di navigazione client e un certificato X.509 server. Le operazioni di maintenance del server S3Log possono essere effettuate solo dalla console locale di sistema.

La figura seguente illustra lo schema implementativo del sistema. In tale schema si identificano quattro livelli di rete:

1. i sensori applicativi e/o esterni, che sentono gli eventi e li inviano a un S3Log Collector;
2. il S3Log Collector che raccoglie gli eventi, li marca con l'identificazione di origine e li inoltra, mediante un canale sicuro, al server S3Log;
3. il S3LogL che riceve gli stream di eventi dai S3Log Collector, li registra localmente firmandoli digitalmente con il certificato X.509 e relativa chiave privata di firma del servizio;
4. gli operatori del server S3Log che tramite un programma client possono, dalle rispettive postazioni, attivare, disattivare e monitorare il servizio S3Log.

» Sicurezza e valore legale della Firma dei Log

Simple Signing System è un prodotto software di
Clizio Merli Consulente