Para perguntas relacionadas à segurança de TI, segurança da informação ou DevSecOps.
Eu gostaria de usar o Terraform MySQL Provider para manter uma lista de usuários mysql e concessões úteis para criar novos ambientes de teste. Os arquivos .tfe .tfstateparecem querer armazenar as senhas do MySQL em texto sem formatação. Em relação a .tf: Entendo que os .tfarquivos vivem no...
Por fim, você é tão apaixonado pelo Docker que deseja mover seus sistemas de produção críticos para os negócios on-line com dados confidenciais do cliente para um Docker Swarm. Alguns podem até já o ter feito. A outra organização não pode pagar por uma política que proíbe os processos de produção...
Planejamos usar o cofre ansible em nosso projeto para evitar o vazamento de senhas ou chaves no git. A idéia é colocar todos os nossos dados confidenciais em um arquivo simples e depois criptografá-lo com o ansible-vault usando uma senha antes de enviar para o git. Para descriptografar o...
Primeiro, quando ouvi a palavra SecOps, pensei nela como uma abordagem de gerenciamento que visa conectar equipes de segurança e operações, da mesma maneira que o DevOps unifica desenvolvedores e equipe de operações. Mas a segurança não é apenas uma peça do quebra-cabeça do DevOps? O DevOps já...
Desejo entregar meu aplicativo aos clientes em forma de imagem do Docker. Mas é crucial garantir que o usuário final não altere nada dentro do contêiner. O usuário só deve poder executar / parar o contêiner e interagir com o contêiner via rede. É possível proibir o acesso a partes internas do...
Todo mundo está dizendo que armazenar credenciais no controle de versão (git) é uma coisa ruim. Portanto, deve haver outras maneiras de armazenar credenciais muito melhores. Um aplicativo deve receber credenciais de algum lugar para usar os serviços dos quais depende. Essas credenciais são...
Com o serverless.com, a maneira mais fácil de expor um segredo a uma função do AWS Lambda é armazená-lo no serverless.ymlarquivo (criptografado com o KMS, por exemplo). Mas comprometer segredos criptografados com o Git não é a melhor coisa do mundo. Requer alterações de código quando o segredo...
Parece que, por padrão, os balanceadores de carga do Google Cloud expõem várias portas desnecessariamente. Não encontrei uma maneira de expor apenas 80/443 e toda vez que faço um de seus balanceadores de carga, as seguintes portas são vistas em um nmap: PORT STATE SERVICE 25/tcp open smtp 80/tcp...
Eu uso o plug - in Publish Over SSH para implantar meus aplicativos Jenkinsem ambientes diferentes. Algumas tarefas de implantação realizam a preparação do ambiente e coisas como parar e reiniciar o serviço do sistema do servidor de aplicativos. Alguns desses comandos exigem sudo. Estou curioso...
Devo admitir que nunca perguntei, ou me perguntaram, se é possível ter um Módulo de Segurança de Hardware em uma nuvem pública, com o que quero dizer Google, Amazon ou Azure. Alguém encontrou alguma técnica para permitir que as organizações usem HSMs que eles gerenciam totalmente? Parece-me que os...
Temos várias instâncias do EC2 que hospedam nossos microsserviços. O grupo de servidores de dimensionamento automático possui um ELB. Todo o tráfego é roteado pelo AWS API Gateway. O problema é que o ELB tem sua porta HTTPS aberta ao mundo. Como proteger nossos servidores, para que o tráfego só...
O trabalho em ambientes altamente regulamentados é classificado de diferentes maneiras, dependendo da sensibilidade. Em alguns casos, isso é legalmente imposto e deve ser tratado de maneira diferente. Exemplos de uma política de classificação de dados são: Dados altamente restritos , como...
Recentemente, comecei a brincar com o Ansible e parece muito bom. Não tenho muita experiência em coisas de DevOps e nunca precisei lidar com cenários complexos. Comecei a criar meu manual do Ansible para substituir minha ferramenta de implantação atual - o Deployer PHP. Infelizmente, estou preso na...