คำถามติดแท็ก security

ฉันต้องการใช้ Terraform MySQL Providerเพื่อเก็บรายชื่อผู้ใช้ mysql และให้ประโยชน์ในการสร้างสภาพแวดล้อมการทดสอบใหม่ .tfและ.tfstateไฟล์ทั้งสองดูเหมือนจะต้องการที่จะเก็บรหัสผ่าน MySQL ในเท็กซ์ เกี่ยวกับ. tf: ฉันเข้าใจว่า.tfไฟล์อยู่ในการควบคุมการแก้ไขและดูแลโดยทีม การปฏิบัตินั้นแตกต่างกันอย่างไรเมื่อความลับอยู่ใน.tf? เป็นไปได้หรือไม่ที่จะเข้ารหัสค่าเหล่านี้เลย? เกี่ยวกับ. รัฐ: ฉันสามารถจัดเก็บ.tfstateอย่างปลอดภัยที่ไหนสักแห่งหลังจากรัน Terraform ใช้ แต่มันจะดีกว่าสำหรับกรณีการใช้งานนี้จะไม่เก็บไว้เลย?

46 terraform  security 

ในที่สุดคุณก็หลงรัก Docker มากที่คุณต้องการย้ายระบบการผลิตที่สำคัญทางธุรกิจออนไลน์พร้อมข้อมูลลูกค้าที่สำคัญไปยัง Docker Swarm บางคนอาจทำไปแล้ว องค์กรอื่นไม่สามารถจ่ายได้โดยนโยบายห้ามกระบวนการผลิตที่ทำงานในโหมดรูท รายการตรวจสอบของ Building Block ที่ต้องพิจารณาสำหรับสภาพแวดล้อมการผลิต Docker คืออะไร หนึ่งไม่ต้องการทั้งหมดของพวกเขา แต่ทุกคนควรมีความสำคัญที่จะได้รับการประเมิน คำเตือน: ฉันรู้ว่ามีนโยบาย SE เพื่อหลีกเลี่ยง "รายการที่ไม่มีที่สิ้นสุดขนาดใหญ่" แต่ฉันคิดว่ารายการตรวจสอบนี้ไม่สามารถใหญ่มาก ... และไม่มีที่สิ้นสุดในตอนนี้ ตึกตึกเหล่านี้คืออะไร? หากยังไม่ได้ปรับใช้ให้ลองใช้ระบบโฮสต์ Linux ที่มีการตั้งค่าความปลอดภัยขั้นสูง - เคอร์เนลที่มีความแข็ง, SELinux เป็นต้น ลองใช้ภาพฐานขนาดเล็กของ Docker เช่นอัลไพน์ busybox หรือเริ่มต้นเช่นเริ่มต้นด้วยภาพฐานเปล่า ใช้การตั้งค่า USER นอกเหนือจากรูท ประเมินอย่างรอบคอบเพื่อลดชุดของความสามารถเคอร์เนลที่หดตัวไปแล้วให้กับคอนเทนเนอร์ พิจารณามีไบนารีที่ปฏิบัติการได้เพียงหนึ่งรายการต่อคอนเทนเนอร์เพื่อเริ่มกระบวนการของคุณเชื่อมโยงแบบคงที่ ผู้ที่ต้องการทำลายระบบของคุณเพื่อรับสิทธิ์การเข้าถึงเชลล์อาจสงสัยว่าพวกเขาพบว่าคอนเทนเนอร์ของคุณปิดการใช้งานเชลล์หรือไม่ เมานต์โวลุ่มอ่านอย่างเดียวที่ทำได้เท่านั้น คำถาม: มีอะไรอีกบ้าง?

42 docker  security  devsecops  a2d 

เราวางแผนที่จะใช้ตู้เซฟนิรภัยในโครงการของเราเพื่อป้องกันการรั่วไหลของรหัสผ่านหรือกุญแจในคอมไพล์ แนวคิดคือการใส่ข้อมูลที่ละเอียดอ่อนทั้งหมดของเราลงในไฟล์ธรรมดาจากนั้นเข้ารหัสไฟล์นี้ด้วย ansible-vault โดยใช้รหัสผ่านก่อนที่จะพุชเข้าคอมไพล์ ในการถอดรหัสไฟล์เราจะต้องส่งรหัสผ่านห้องนิรภัยไปยัง Ansible ฉันคิดว่ามีความเป็นไปได้ 3 อย่าง: เก็บไว้ในตัวแปรสภาพแวดล้อมของเซิร์ฟเวอร์ ส่งเป็นตัวเลือกไปยังคำสั่ง ansible-playbook เก็บไว้ในไฟล์ที่ไม่ใช่เวอร์ชัน มีตัวเลือกอื่น ๆ หรือไม่ซึ่งเป็นวิธีที่ดีที่สุด (และปลอดภัย) ในการจัดเก็บรหัสผ่าน ansible-vault เอกสารประกอบวิธีปฏิบัติที่ดีที่สุดของ ansible ไม่ได้พูดอะไรเกี่ยวกับเรื่องนี้

24 ansible  git  security  practices  ansible-vault 

ครั้งแรกเมื่อฉันได้ยินคำว่า SecOps ฉันคิดว่ามันเป็นวิธีการจัดการที่มีจุดมุ่งหมายเพื่อเชื่อมต่อทีมรักษาความปลอดภัยและการดำเนินงานในลักษณะเดียวกับที่ DevOps รวบรวมนักพัฒนาและทีมปฏิบัติการไว้ด้วยกัน แต่ความปลอดภัยไม่ใช่แค่ส่วนหนึ่งของปริศนา DevOps ใช่ไหม DevOps มีกระบวนการต่างๆเช่นการตรวจสอบส่วนประกอบการจัดการเวอร์ชันการเปรียบเทียบการตรวจสอบโค้ดการตรวจสอบอย่างต่อเนื่อง .. SecOps อื่น ๆ สามารถเพิ่มอะไรให้กับทีม DevOps หรืออาจเป็นอีกคำหนึ่งที่ฉวัดเฉวียน

20 terminology  culture  security 

ฉันต้องการส่งมอบแอพของฉันให้กับลูกค้าในรูปของนักเทียบท่ารูปภาพ แต่สิ่งสำคัญคือต้องมั่นใจว่าผู้ใช้ปลายทางจะไม่เปลี่ยนแปลงสิ่งใด ๆ ในภาชนะ ผู้ใช้ควรสามารถเรียกใช้ / หยุดคอนเทนเนอร์และโต้ตอบกับคอนเทนเนอร์ผ่านเครือข่ายเท่านั้น เป็นไปได้หรือไม่ที่จะห้ามการเข้าถึงที่เก็บของภายใน? เป็นไปได้หรือไม่ที่จะตรวจสอบความสมบูรณ์ของภาพที่ทำจากตู้คอนเทนเนอร์?

14 docker  security 

ทุกคนบอกว่าการเก็บข้อมูลประจำตัวในการควบคุมเวอร์ชัน (git) เป็นสิ่งที่ไม่ดี ดังนั้นจะต้องมีวิธีอื่นในการจัดเก็บข้อมูลรับรองซึ่งดีกว่ามาก แอปพลิเคชันต้องได้รับข้อมูลรับรองจากที่อื่นเพื่อใช้บริการที่ขึ้นอยู่กับ โดยปกติข้อมูลรับรองเหล่านี้จะถูกเก็บไว้ในไฟล์กำหนดค่า การป้อนแต่ละเซิร์ฟเวอร์ด้วยตนเองเพื่อสร้างไฟล์นั้นไม่เป็นที่ต้องการเนื่องจากเซิร์ฟเวอร์มาและไปโดยไม่มีการแทรกแซงจากมนุษย์ วิธีจัดการข้อมูลประจำตัวของแอปพลิเคชัน

13 deployment  security 

ด้วย serverless.com วิธีที่ง่ายที่สุดในการเปิดเผยความลับต่อฟังก์ชั่น AWS Lambda คือเก็บไว้ในserverless.ymlไฟล์ (เข้ารหัสด้วย KMS เป็นต้น) แต่การยอมรับความลับที่เข้ารหัสไปยัง Git นั้นไม่ใช่สิ่งที่ดีที่สุดในโลก ต้องมีการเปลี่ยนแปลงรหัสเมื่อมีการเปลี่ยนแปลงความลับสำหรับสิ่งหนึ่ง แต่ในแง่ของความปลอดภัยเพียงอย่างเดียวทางเลือกที่ดีกว่าคืออะไร? เช่นความลับอาจถูกเก็บไว้ใน S3 (เข้ารหัส) โดยที่ Lambda ให้การเข้าถึงตำแหน่งนั้นและคีย์ KMS แต่จริง ๆ แล้วดีกว่าในทางที่มีความหมาย?

12 security  aws-lambda  serverless  encryption 

ดูเหมือนว่าตามค่าเริ่มต้นตัวโหลดบาลานซ์ของ Google Cloud จะเปิดเผยพอร์ตจำนวนหนึ่งโดยไม่จำเป็น ฉันไม่พบวิธีที่จะเปิดเผยเพียง 80/443 และทุกครั้งที่ฉันทำหนึ่งใน balancer โหลดของพวกเขาพอร์ตต่อไปนี้จะเห็นใน nmap: PORT STATE SERVICE 25/tcp open smtp 80/tcp open http 110/tcp open pop3 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 1720/tcp open H.323/Q.931 8080/tcp open http-proxy มีวิธีบล็อก 25, 465, 587, …

12 security  load-balance  google-cloud-platform 

ฉันใช้ปลั๊กอินเผยแพร่ผ่าน SSHเพื่อปรับใช้แอพของฉันจากJenkinsสภาพแวดล้อมที่แตกต่างกัน งานปรับใช้บางอย่างทำหน้าที่เตรียมสภาพแวดล้อมและสิ่งต่าง ๆ เช่นหยุดและเริ่มบริการระบบเซิร์ฟเวอร์ของแอพใหม่ sudoบางส่วนของคำสั่งดังกล่าวจำเป็นต้องมี ฉันแค่อยากรู้ว่ามันอาจเป็นวิธีปฏิบัติด้านความปลอดภัยที่ไม่ดีหรือไม่ที่ต้องใช้ sudo ในการเผยแพร่ทางไกล เราควรเปลี่ยนนโยบายความปลอดภัยของโฮสต์เป้าหมายเพื่อให้สามารถใช้ฟังก์ชั่นที่ต้องการโดยไม่ต้อง sudo ได้หรือไม่?

11 jenkins  security