W ramach podnoszenia poziomu cyberbezpieczeństwa naszej infrastruktury musimy zrezygnować z praktyki przechowywania „wiecznych” i statycznych kluczy API, haseł oraz tokenów integracji w plikach konfiguracyjnych (.env, appsettings.json, config.yaml) naszych mikroserwisów. Cel biznesowy: Stworzyć jednolity, zabezpieczony punkt przechowywania danych poufnych (sekretów) z mechanizmem ich automatycznego aktualizowania (rotacji) w systemach zewnętrznych według harmonogramu. Inne nasze usługi będą żądać aktualnych tokenów „na żywo” przez API, co zminimalizuje szkody w przypadku kompromitacji któregokolwiek z komponentów systemu.Model bezpieczeństwa i szyfrowanie (Crypto Core) W bazie danych żaden sekret nie powinien być przechowywany w postaci jawnej. Podczas uruchamiania aplikacji do zmiennych środowiskowych przekazywany jest Klucz główny (Master Key). Jeśli klucz jest nieobecny lub ma nieprawidłową długość, usługa powinna zakończyć działanie na etapie inicjalizacji z zrozumiałym błędem w logach. Każdy sekret jest szyfrowany przed zapisaniem w bazie danych z użyciem tego Klucza głównego. Przy żądaniu — jest deszyfrowany w pamięci i zwracany w treści odpowiedzi.Audyt-logowanie (Audit Trail) Każda akcja z sekretami (tworzenie, odczyt przez usługę, udana lub nieudana rotacja) powinna być zapisywana w oddzielnym pliku logów audit.log (lub w oddzielnej tabeli w bazie danych). Ścisły zakaz: W audyt-logu kategorycznie zabrania się zapisywania samych wartości sekretów (ani w postaci jawnej, ani w postaci zaszyfrowanej).
Oferty ukryte
Aktualnie brak ofert
Oferty ukryte
Oferty ukryte
-
Taras K. 19 kwietnia 2021Здравствуйте ! вы имеете ввиду wallet'ы с full node ? или что то другое уточните пожалуйста
-
Taras K. 19 kwietnia 2021могу много чего предложить ;) вопрос что нужно именно вам ) с этой областью знаком с 2011 года
Aktualne zlecenia dla freelancerów w kategorii DevOps
Mamy dedykowany serwer na hetzner z witryną na dockerach (+framework laravel) Kontakt z deweloperami został utracony Potrzebne: - przywrócić i zmienić dostęp do serwera (prawdopodobnie ssh) - zalecić miejsce przechowywania i skonfigurować pełny backup serwera z prostym przywracaniem, prawdopodobnie nie na hetzner dla bezpieczeństwa - naprawić z jakiegoś powodu niewyświetlany logo (nie wiadomo dlaczego plik przestał być dostępny) Ważne - backupu witryny nie ma, prawa na błąd też. Rozważymy tylko doświadczonych specjalistów.