Implantação segura
Introdução
A prática de Implantação Segura se concentra em automatizar o processo de implantação e garantir a proteção de dados sensíveis, como segredos de produção, durante a operação das aplicações em ambientes de produção. Isso é alcançado por meio de verificações de segurança integradas, gerenciamento adequado de segredos e detecção de segredos desprotegidos no ambiente.
Modelo
Os processos de implantação são totalmente documentados.
Formalize o processo de implantação e proteja as ferramentas e processos utilizados.
Introduza medidas básicas de proteção para limitar o acesso às suas informações sigilosas de produção.
Os processos de implantação incluem marcos de verificação de segurança.
Automatize o processo de implantação em todas as etapas e introduza testes sensíveis de verificação de segurança.
Injete segredos dinamicamente durante o processo de implantação a partir de armazenamentos protegidos e audite todo o acesso humano a eles.
O processo de implantação é totalmente automatizado e incorpora a verificação automatizada de todos os marcos críticos.
Verifique automaticamente a integridade de todo o software implantado, independentemente se ele foi desenvolvido internamente ou externamente.
Melhore o ciclo de vida dos segredos da aplicação gerando-os regularmente e garantindo o uso adequado dos mesmos.
Como implementar?
Documente formalmente o processo de implantação:
Crie um documento que descreva detalhadamente o processo de implantação, incluindo todos os passos e requisitos necessários.
Certifique-se de que o documento esteja atualizado e acessível a todas as partes envolvidas no processo de implantação.
Segurança das ferramentas e processos utilizados:
Avalie e selecione cuidadosamente as ferramentas e tecnologias utilizadas no processo de implantação, garantindo que sejam seguras e confiáveis.
Implemente medidas de segurança, como autenticação e controle de acesso, para proteger as ferramentas e processos utilizados durante a implantação.
Automação do processo de implantação:
Automatize o processo de implantação, buscando minimizar erros humanos e garantir consistência.
Utilize ferramentas e tecnologias de automação, como scripts de implantação e ferramentas de orquestração, para automatizar as etapas de implantação.
Verificações de segurança durante a implantação:
Introduza marcos de verificação de segurança ao longo do processo de implantação para garantir que as melhores práticas de segurança sejam seguidas.
Realize testes de verificação de segurança, como varreduras de vulnerabilidade e análise de configuração, para identificar possíveis falhas de segurança antes da implantação.
Verificação automática da integridade do software implantado:
Implemente mecanismos automatizados para verificar a integridade do software implantado, independentemente de ser desenvolvido internamente ou por terceiros.
Utilize ferramentas e técnicas de verificação de integridade para garantir que o software não tenha sido comprometido ou modificado durante o processo de implantação.
Proteção adequada dos segredos de produção:
Implemente medidas de proteção para limitar o acesso aos segredos de produção, como senhas, tokens e chaves criptográficas.
Armazene os segredos em cofres digitais seguros e aplique controles de acesso rigorosos, permitindo apenas acesso autorizado aos segredos.
Injeção dinâmica de segredos durante o processo de implantação:
Configure o processo de implantação para injetar dinamicamente os segredos necessários durante a implantação.
Armazene os segredos em locais seguros e audite todos os acessos humanos aos segredos para garantir a conformidade e detectar atividades suspeitas.
Gerenciamento adequado dos segredos da aplicação:
Melhore o ciclo de vida dos segredos da aplicação, gerando-os regularmente e garantindo o uso adequado dos mesmos.
Implemente políticas e processos para revisar e atualizar periodicamente os segredos, garantindo a segurança contínua da aplicação.
Last updated