DevOps security

5

Wie kann ich Geheimnisse in .tf und .tfstate verwalten?

Ich möchte den Terraform- MySQL-Provider verwenden , um eine Liste von MySQL- Benutzern zu führen und Stipendien zum Erstellen neuer Testumgebungen zur Hand zu haben. Die .tfund .tfstate-Dateien scheinen die MySQL-Passwörter im Klartext zu speichern. In Bezug auf .tf: Ich verstehe, dass .tfDateien in der Revisionskontrolle gespeichert sind und von …

46 terraform security

6

Welche bewährten und umfassenden Vorgehensweisen sollten beim Ausführen von Docker in der Produktion beachtet werden?

Schließlich lieben Sie Docker so sehr, dass Sie Ihre geschäftskritischen Online-Produktionssysteme mit vertraulichen Kundendaten auf einen Docker-Schwarm verlagern möchten. Einige hätten es vielleicht sogar schon getan. Die andere Organisation kann es sich nicht leisten, wenn eine Richtlinie verbietet, dass Produktionsprozesse im Root-Modus ausgeführt werden. Was könnte eine Checkliste mit Bausteinen …

42 docker security devsecops a2d

4

Wo man das Passwort für ansible-vault ablegt

Wir planen, in unserem Projekt einen anonymen Tresor zu verwenden, um zu verhindern, dass Passwörter oder Schlüssel in git verloren gehen. Die Idee ist, alle unsere sensiblen Daten in eine einfache Datei zu packen und diese Datei mit einem Passwort mit ansible-vault zu verschlüsseln, bevor Sie zu git gehen. Um …

24 ansible git security practices ansible-vault

2

Was ist SecOps?

Als ich das Wort SecOps hörte, stellte ich es mir als einen Managementansatz vor, der darauf abzielt, Sicherheits- und Betriebsteams auf die gleiche Weise miteinander zu verbinden, wie DevOps Entwickler und Betriebsteams vereint. Aber ist Sicherheit nicht nur ein Teil des DevOps-Puzzles? DevOps beinhaltet bereits Prozesse wie Komponentenüberwachung, Versionsverwaltung, Benchmarking, …

20 terminology culture security

5

Wie verbiete ich den Zugriff auf Interna des Docker-Containers?

Ich möchte meine App in Form eines Docker-Images an Kunden ausliefern. Es ist jedoch unbedingt darauf zu achten, dass der Endverbraucher nichts im Inneren des Behälters verändert. Der Benutzer sollte nur in der Lage sein, den Container auszuführen / zu stoppen und über das Netzwerk mit dem Container zu interagieren. …

14 docker security

2

Wie speichere ich Anmeldeinformationen, die von einer Anwendung benötigt werden?

Jeder sagt, dass das Speichern von Anmeldeinformationen in der Versionskontrolle (git) eine schlechte Sache ist. Es muss also andere Möglichkeiten geben, Anmeldeinformationen zu speichern, die viel besser sind. Eine Anwendung muss von irgendwo Anmeldeinformationen erhalten, um die Dienste nutzen zu können, von denen sie abhängt. Diese Anmeldeinformationen werden normalerweise in …

13 deployment security

2

Wie speichere ich verschlüsselte Geheimnisse im Code für ein serverless.com-Projekt?

Mit serverless.com können Sie ein Geheimnis am einfachsten einer AWS Lambda-Funktion aussetzen, indem Sie es in der serverless.ymlDatei speichern (z. B. mit KMS verschlüsselt). Aber verschlüsselte Geheimnisse an Git zu übergeben, ist nicht das Beste auf der Welt. Erfordert zum einen Codeänderungen, wenn sich das Geheimnis ändern muss. Aber was …

12 security aws-lambda serverless encryption

4

Öffnen Sie Ports in Google Cloud Load Balancer

Es scheint, dass Google Cloud Load Balancer standardmäßig eine Reihe von Ports unnötig verfügbar machen. Ich habe keine Möglichkeit gefunden, nur 80/443 verfügbar zu machen, und jedes Mal, wenn ich einen ihrer Load Balancer erstelle, werden die folgenden Ports in einer nmap angezeigt: PORT STATE SERVICE 25/tcp open smtp 80/tcp …

12 security load-balance google-cloud-platform

2

Ist es schlecht, Sudo von Jenkins zu verwenden?

Ich verwende das Publish Over SSH-Plugin , um meine Apps Jenkinsin verschiedenen Umgebungen bereitzustellen. Einige Bereitstellungsjobs führen Umgebungsvorbereitungen durch, z. B. das Beenden und Neustarten des App Server-Systemdienstes. Einige dieser Befehle erfordern sudo. Ich bin nur neugierig, ob es eine schlechte Sicherheitspraxis sein kann, sudo für Jenkins-Jobs zur Remote-Veröffentlichung und …

11 jenkins security

3

Ausführen nicht verwalteter Hardware-Sicherheitsmodule (HSMs) in der Cloud

Ich muss zugeben, dass ich nie die Frage gestellt habe oder gestellt wurde, ob es möglich ist, ein Hardware-Sicherheitsmodul in einer öffentlichen Cloud zu haben, womit ich Google, Amazon oder Azure meine. Hat jemand Techniken gefunden, mit denen Unternehmen HSMs verwenden können, die sie vollständig verwalten? Es scheint mir, dass …

8 security cloud key-management

4

Ansible - Private Git-Repositorys - Weiterleitung von SSH-Agenten im Vergleich zum Kopieren von privaten SSH-Schlüsseln

Ich habe vor kurzem angefangen, mit Ansible herumzuspielen und es scheint sehr schön zu sein. Ich habe nicht viel Erfahrung mit DevOps und musste nie wirklich mit komplexen Szenarien umgehen. Ich habe begonnen, mein Ansible-Playbook zu erstellen, um mein aktuelles Bereitstellungstool - Deployer PHP - zu ersetzen. Ich bin leider …

7 ansible git security

2

Welche Strategien können angewendet werden, um vertrauliche Daten in Protokolldateien zu sichern?

Arbeiten in stark regulierten Umgebungen Daten werden je nach Empfindlichkeit unterschiedlich klassifiziert. In einigen Fällen ist dies gesetzlich vorgeschrieben und muss anders behandelt werden. Beispiele für eine Datenklassifizierungsrichtlinie sind: Stark eingeschränkte Daten wie Passwörter, private Schlüssel, SAML-Token und Kreditkartennummern. Eingeschränkte Daten wie Benutzernamen und Kunden-IDs. Uneingeschränkte Daten, so ziemlich alles …

7 security logging data financial-services data-protection

2

So lassen Sie nur zu, dass API-Gateway-Anforderungen unsere EC2-Instanzen erreichen

Wir haben mehrere EC2-Instanzen, die unsere Mikrodienste hosten. Die Autoscaling-Gruppe von Servern verfügt über eine ELB. Der gesamte Datenverkehr wird über das AWS API Gateway weitergeleitet. Das Problem ist, dass der HTTPS-Port der ELB für die Welt geöffnet ist. Wie schützen wir unsere Server, damit der Datenverkehr nur über das …

7 amazon-web-services security

Als «security» getaggte Fragen