# Implantação segura

## Introdução

A prática de Implantação Segura se concentra em automatizar o processo de implantação e garantir a proteção de dados sensíveis, como segredos de produção, durante a operação das aplicações em ambientes de produção. Isso é alcançado por meio de verificações de segurança integradas, gerenciamento adequado de segredos e detecção de segredos desprotegidos no ambiente.

## Modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th>Fluxo de implantação</th><th>Fluxo de gerenciamento de segredos</th></tr></thead><tbody><tr><td>1</td><td>Os processos de implantação são totalmente documentados.</td><td>Formalize o processo de implantação e proteja as ferramentas e processos utilizados.</td><td>Introduza medidas básicas de proteção para limitar o acesso às suas informações sigilosas de produção.</td></tr><tr><td>2</td><td>Os processos de implantação incluem marcos de verificação de segurança.</td><td>Automatize o processo de implantação em todas as etapas e introduza testes sensíveis de verificação de segurança.</td><td>Injete segredos dinamicamente durante o processo de implantação a partir de armazenamentos protegidos e audite todo o acesso humano a eles.</td></tr><tr><td>3</td><td>O processo de implantação é totalmente automatizado e incorpora a verificação automatizada de todos os marcos críticos.</td><td>Verifique automaticamente a integridade de todo o software implantado, independentemente se ele foi desenvolvido internamente ou externamente.</td><td>Melhore o ciclo de vida dos segredos da aplicação gerando-os regularmente e garantindo o uso adequado dos mesmos.</td></tr></tbody></table>

## Como implementar?

1. **Documente formalmente o processo de implantação:**
   * Crie um documento que descreva detalhadamente o processo de implantação, incluindo todos os passos e requisitos necessários.
   * Certifique-se de que o documento esteja atualizado e acessível a todas as partes envolvidas no processo de implantação.
2. **Segurança das ferramentas e processos utilizados:**
   * Avalie e selecione cuidadosamente as ferramentas e tecnologias utilizadas no processo de implantação, garantindo que sejam seguras e confiáveis.
   * Implemente medidas de segurança, como autenticação e controle de acesso, para proteger as ferramentas e processos utilizados durante a implantação.
3. **Automação do processo de implantação:**
   * Automatize o processo de implantação, buscando minimizar erros humanos e garantir consistência.
   * Utilize ferramentas e tecnologias de automação, como scripts de implantação e ferramentas de orquestração, para automatizar as etapas de implantação.
4. **Verificações de segurança durante a implantação:**
   * Introduza marcos de verificação de segurança ao longo do processo de implantação para garantir que as melhores práticas de segurança sejam seguidas.
   * Realize testes de verificação de segurança, como varreduras de vulnerabilidade e análise de configuração, para identificar possíveis falhas de segurança antes da implantação.
5. **Verificação automática da integridade do software implantado:**
   * Implemente mecanismos automatizados para verificar a integridade do software implantado, independentemente de ser desenvolvido internamente ou por terceiros.
   * Utilize ferramentas e técnicas de verificação de integridade para garantir que o software não tenha sido comprometido ou modificado durante o processo de implantação.
6. **Proteção adequada dos segredos de produção:**
   * Implemente medidas de proteção para limitar o acesso aos segredos de produção, como senhas, tokens e chaves criptográficas.
   * Armazene os segredos em cofres digitais seguros e aplique controles de acesso rigorosos, permitindo apenas acesso autorizado aos segredos.
7. **Injeção dinâmica de segredos durante o processo de implantação:**
   * Configure o processo de implantação para injetar dinamicamente os segredos necessários durante a implantação.
   * Armazene os segredos em locais seguros e audite todos os acessos humanos aos segredos para garantir a conformidade e detectar atividades suspeitas.
8. **Gerenciamento adequado dos segredos da aplicação:**
   * Melhore o ciclo de vida dos segredos da aplicação, gerando-os regularmente e garantindo o uso adequado dos mesmos.
   * Implemente políticas e processos para revisar e atualizar periodicamente os segredos, garantindo a segurança contínua da aplicação.
Nível de maturidade	Descrição	Fluxo de implantação	Fluxo de gerenciamento de segredos
1	Os processos de implantação são totalmente documentados.	Formalize o processo de implantação e proteja as ferramentas e processos utilizados.	Introduza medidas básicas de proteção para limitar o acesso às suas informações sigilosas de produção.
2	Os processos de implantação incluem marcos de verificação de segurança.	Automatize o processo de implantação em todas as etapas e introduza testes sensíveis de verificação de segurança.	Injete segredos dinamicamente durante o processo de implantação a partir de armazenamentos protegidos e audite todo o acesso humano a eles.
3	O processo de implantação é totalmente automatizado e incorpora a verificação automatizada de todos os marcos críticos.	Verifique automaticamente a integridade de todo o software implantado, independentemente se ele foi desenvolvido internamente ou externamente.	Melhore o ciclo de vida dos segredos da aplicação gerando-os regularmente e garantindo o uso adequado dos mesmos.