Checkliste¶
Bitte gehe diese Checkliste sorgfältig durch, bevor du eine Testumgebung in den produktiven Betrieb übernimmst. So stellst du sicher, dass alle wichtigen Sicherheits-Best-Practices umgesetzt sind.
Du verwendest eigene SSL-Zertifikate für die Verbindungen.
Die Option legacy ist zwar ein schneller Weg, eine Testumgebung aufzubauen, bietet aber nur rudimentären Schutz für deine SSL-Verbindungen. Erzeuge daher für jede Installation eigene Zertifikate oder lasse dir gültige Zertifikate zentral von deiner Firma ausstellen.
Du hast Passwörter und Secrets in der Konfiguration geschützt.
Passwörter und Client-Secrets dürfen niemals im Klartext in Konfigurationsdateien stehen. Gerade in Testumgebungen kann es passieren, dass Konfigurationen versehentlich geteilt oder offengelegt werden. Jeder zusätzliche Schutz hilft, den Schaden im Ernstfall zu begrenzen.
Du hast den IP-Bereich eingehender Verbindungen eingeschränkt.
Anwendungen, die das Secret-System nutzen, ermöglichen dir, den IP-Bereich eingehender Verbindungen gezielt zu beschränken. Nutze diese Möglichkeit unbedingt, um die Angriffsfläche zu reduzieren und nur autorisierte Systeme zuzulassen.
Mehr zum Wert authorizedNetworks in der Secret-Konfiguration →
Du hast unbenötigte Diagnose- und Test-Funktionen deaktiviert.
Schalte Diagnose-Logs, Test-Endpunkte oder Entwicklungsmodi konsequent ab, bevor du in Produktion gehst. Diese Funktionen können Angreifern unbeabsichtigt Einblick oder Zugriff ermöglichen. Entferne dazu unbedingt alle Diagnosebezeichner aus der Log-Konfiguration.
Du hast Zugriffe und Logins nachvollziehbar protokolliert.
Stelle sicher, dass sicherheitsrelevante Ereignisse wie Logins, fehlgeschlagene Verbindungsversuche oder Konfigurationsänderungen im Log auftauchen. So kannst du im Ernstfall schnell reagieren.
