Sicurezza & Integrazione Keychain

Benvenuti alla guida di sicurezza di HarborDB. Questa risorsa completa spiega come HarborDB sfrutta le funzionalità di sicurezza macOS—specialmente Keychain—per mantenere al sicuro le tue credenziali e dati del database. Che tu stia lavorando con database di sviluppo locali o server di produzione, comprendere queste funzionalità di sicurezza è essenziale per proteggere le informazioni sensibili.

Perché la Sicurezza è Importante

Le connessioni al database spesso contengono informazioni sensibili:

• Nomi utente e password per server PostgreSQL
• Dettagli di connessione inclusi hostname e porte
• Risultati query che possono contenere dati confidenziali
• File esportati con informazioni critiche per il business

HarborDB è progettato con la sicurezza come principio fondamentale, utilizzando tecnologie macOS native per fornire protezione di livello enterprise senza compromettere l'usabilità.

macOS Keychain: La Tua Cassaforte Digitale

Cos'è Keychain?

Keychain è il sistema integrato di gestione password di macOS. Pensalo come una cassaforte digitale dove macOS memorizza:

• Password per applicazioni e siti web
• Chiavi di crittografia per comunicazioni sicure
• Certificati per verifica dell'identità
• Note sicure per informazioni sensibili

Come Keychain Protegge i Tuoi Dati

1. Crittografia a Riposo: Tutti i dati Keychain sono crittografati usando crittografia AES-256
2. Controlli di Accesso: Ogni applicazione deve richiedere il permesso per accedere agli elementi Keychain
3. Isolamento Utente: Gli elementi Keychain sono legati al tuo account utente
4. Blocco Automatico: Keychain si blocca quando il tuo Mac si sospende o si blocca

HarborDB e Integrazione Keychain

Memorizzazione Automatica Password

Quando salvi una connessione in HarborDB:

1. La password viene estratta dalle impostazioni di connessione
2. Viene crittografata e memorizzata nel Keychain del tuo utente
3. Il file di connessione salva solo informazioni non sensibili
4. Alla prossima connessione, HarborDB recupera la password da Keychain

Cosa Viene Memorizzato e Dove

| Posizione Memorizzazione | Cosa Viene Memorizzato | Livello di Sicurezza | | ------------------------ | ------------------------------------ | ----------------------------- | | macOS Keychain | Solo password | 🔒 Massimo (AES-256) | | File di Connessione | Host, porta, database, nome utente | 🔐 Medio (Permessi file) | | Memoria Applicazione | Password decrittate durante sessione | 🔐 Alto (Crittografia RAM) | | Cache Disco | Risultati query, file temporanei | 🔐 Medio (FileVault) |

Struttura Elemento Keychain

Ogni connessione HarborDB crea un elemento Keychain con:

• Nome Servizio: HarborDB
• Nome Account: connessione:[nome_connessione]
• Password: La tua password PostgreSQL crittografata
• Gruppo di Accesso: Limitato all'applicazione HarborDB

Best Practice di Sicurezza

1. Gestione Password

Da Fare:

• ✅ Usa password forti e uniche per ogni database
• ✅ Cambia password periodicamente (ogni 90 giorni)
• ✅ Usa gestori password per sicurezza aggiuntiva
• ✅ Abilita autenticazione a due fattori dove possibile

Da Non Fare:

• ❌ Riutilizzare password su server diversi
• ❌ Memorizzare password in file di testo normale
• ❌ Condividere password Keychain con altri
• ❌ Usare password semplici o predefinite

2. Sicurezza Connessioni

Database Locali:

Host: localhost o 127.0.0.1
SSL: Opzionale (loopback è sicuro)
Keychain: Consigliato

Server di Sviluppo:

Host: dev-db.internal
SSL: Prefer o Require
Keychain: Richiesto
Firewall: Limita alla rete interna

Server di Produzione:

Host: prod-db.example.com
SSL: Require o Verify-Full
Keychain: Richiesto
VPN: Consigliato per l'accesso

3. Sicurezza File

1. Memorizza file di connessione in posizioni sicure
2. Usa FileVault per crittografia disco completo
3. Backup regolare di Keychain (tramite Time Machine)
4. Proteggi cartelle di esportazione con permessi appropriati

Touch ID e Integrazione Biometrica

Usare Touch ID con HarborDB

Se il tuo Mac ha Touch ID (o Face ID sui modelli più recenti), puoi migliorare la sicurezza:

1. Abilita Touch ID per Keychain in Impostazioni Sistema
2. HarborDB richiederà l'impronta digitale quando accede alle password
3. Fallback a password se la biometrica fallisce

Configurazione Autenticazione Biometrica

1. Apri Impostazioni Sistema → Touch ID & Password
2. Aggiungi le tue impronte digitali (fino a 3)
3. Seleziona "Keychain" nell'elenco degli usi
4. Riavvia HarborDB per applicare le modifiche

Vantaggi dell'Integrazione Biometrica

• Convenienza: Non devi digitare la password master
• Sicurezza: Unica per te (non può essere condivisa)
• Velocità: Più veloce dell'inserimento password
• Traccia di audit: Ogni accesso è identificato univocamente

FileVault e Crittografia Disco

Cos'è FileVault?

FileVault è la funzionalità di crittografia disco completo di macOS:

• Crittografa l'intero disco di avvio
• Protegge i dati a riposo
• Trasparente per le applicazioni
• Richiesto per alcuni standard di conformità

Abilitazione FileVault

1. Apri Impostazioni Sistema → Privacy & Sicurezza
2. Clicca FileVault
3. Clicca Attiva
4. Scegli metodo di recupero (iCloud o chiave di recupero)
5. Attendi il completamento della crittografia (processo in background)

Come FileVault Protegge i Dati HarborDB

Con FileVault abilitato:

• File di connessione sono crittografati sul disco
• File esportati sono protetti
• File temporanei non possono essere recuperati
• File di cache sono sicuri anche se il Mac viene rubato

Sicurezza di Rete (SSL/TLS)

Comprendere SSL/TLS

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) crittografano i dati in transito:

HarborDB (macOS) → Tunnel Crittografato → Server PostgreSQL

Modalità SSL in HarborDB

| Modalità | Livello Sicurezza | Caso d'Uso | | --------------- | ----------------- | ---------------------------- | | Disable | ❌ Nessuno | Solo sviluppo locale | | Allow | ⚠️ Basso | Preferisce non crittografato | | Prefer | ✅ Medio | Default per la maggior parte dei casi | | Require | ✅ Alto | Server remoti | | Verify-CA | ✅✅ Alto | Verifica autorità certificato | | Verify-Full | ✅✅✅ Massimo | Validazione certificato completa |

Configurazione SSL in HarborDB

1. Modifica connessione in HarborDB
2. Seleziona Modalità SSL dal menu a discesa
3. Importa certificati se usi Verify-Full
4. Testa connessione per verificare handshake SSL

Gestione Certificati

Per ambienti enterprise:

• Importa certificati CA in Accesso Keychain
• Usa certificati client per TLS mutuo
• Imposta alert scadenza certificati
• Aggiorna regolarmente certificati revocati

Risoluzione Problemi Comuni

Problemi di Accesso Keychain

"HarborDB non può accedere a Keychain"

1. Controlla permessi:

   # Apri Accesso Keychain
   open /Applications/Utilities/Keychain\ Access.app
   

2. Ripristina permessi HarborDB:

   • Elimina e riaggiungi la connessione
   • Concedi il permesso quando richiesto

3. Ripara Keychain:

   • Apri Accesso Keychain
   • Seleziona keychain "Login"
   • File → "Keychain First Aid"

"Password non trovata in Keychain"

1. Verifica che il nome connessione non sia cambiato
2. Controlla keychain multiple (Login, System, iCloud)
3. Ricostruisci indice Keychain:

   security delete-keychain ~/Library/Keychains/login.keychain-db
   # Ricreerà al prossimo login
   

Problemi Connessione SSL

"Handshake SSL Fallito"

1. Controlla configurazione SSL PostgreSQL:

   # In postgresql.conf
   ssl = on
   ssl_cert_file = 'server.crt'
   ssl_key_file = 'server.key'
   

2. Verifica validità certificato:

   openssl x509 -in server.crt -text -noout
   

3. Prova modalità SSL diversa (Require → Prefer)

Problemi di Sicurezza Generali

Errori "Permesso Negato"

1. Controlla permessi file:

   ls -la ~/Library/Application\ Support/HarborDB/
   

2. Ripristina permessi HarborDB:

   • Sposta il file delle preferenze
   • Riavvia HarborDB

3. Verifica permessi disco:

   diskutil verifyVolume /
   

Funzionalità di Sicurezza Avanzate

Configurazione Keychain Personalizzata

Per utenti avanzati:

1. Crea Keychain dedicato per HarborDB:

   security create-keychain -P harbor.keychain
   security set-keychain-settings harbor.keychain
   

2. Imposta timeout più breve per connessioni sensibili:

   security set-keychain-settings -t 300 harbor.keychain
   

3. Blocca Keychain quando non in uso:

   security lock-keychain harbor.keychain
   

Audit e Monitoraggio

1. Abilita registrazione connessioni in Preferenze

2. Rivedi log accesso Keychain:

   log show --predicate 'subsystem == "com.apple.security"'
   

3. Configura alert per connessioni fallite

4. Rivedi regolarmente log accesso file esportati

Considerazioni di Conformità

Conformità GDPR/CCPA:

• Crittografia dati personali a riposo e in transito
• Registrazione accessi e tracce di audit
• Politiche di conservazione dati per le esportazioni

Conformità HIPAA:

• Crittografia disco completo (FileVault)
• Timeout sessione per connessioni inattive
• Cancellazione sicura file temporanei

Conformità PCI DSS:

• Non memorizzare mai numeri di carta di credito nelle query
• Maschera dati sensibili nelle esportazioni
• Valutazioni di sicurezza regolari

Checklist di Sicurezza

Pratiche Giornaliere

• [ ] Blocca Mac quando ti allontani
• [ ] Verifica sicurezza connessione prima dell'uso
• [ ] Controlla aggiornamenti sicurezza macOS
• [ ] Rivedi tentativi di connessione recenti

Pratiche Settimanali

• [ ] Rivedi posizioni file esportati
• [ ] Controlla Keychain per voci obsolete
• [ ] Verifica che FileVault sia attivo
• [ ] Backup configurazioni di sicurezza

Pratiche Mensili

• [ ] Ruota password database
• [ ] Rivedi certificati SSL
• [ ] Verifica permessi connessioni
• [ ] Testa procedure di disaster recovery

Ottenere Aiuto

Incidenti di Sicurezza

Se sospetti un problema di sicurezza:

1. Azioni immediate:

   • Cambia password database interessate
   • Revoca certificati compromessi
   • Abilita registrazione aggiuntiva

2. Contatta il supporto con:

   • Periodo temporale dell'incidente
   • Connessioni interessate
   • Eventuali messaggi di errore
   • Passi già intrapresi

Consultazione Sicurezza

Per necessità di sicurezza enterprise:

• Valutazioni di sicurezza personalizzate
• Guida alla conformità (GDPR, HIPAA, PCI DSS)
• Integrazione con sistemi di sicurezza aziendali
• Formazione per membri del team

Risorse Aggiuntive

• Guida alla Sicurezza Piattaforma Apple
• Documentazione Sicurezza PostgreSQL
• Guida al Supporto HarborDB
• Funzionalità Sicurezza macOS

---

La sicurezza è una responsabilità condivisa. Comprendendo e utilizzando correttamente le funzionalità di sicurezza macOS con HarborDB, crei una difesa robusta contro violazioni dati e accessi non autorizzati. Ricorda: le buone pratiche di sicurezza diventano abitudini che proteggono i tuoi dati ogni giorno.

Ultimo aggiornamento: {{current_date}}