Секрет - это какой то набор символов, дающий прямой или косвенный доступ к информационной системе или его компонентам. Например: api ключи, пароли, строки подключения, ключи шифрования, токны доступа и т.д.
Картиночки с резултатом работы ниже
-
Backend - код серверной части ИС (asp net web api) : https://github.com/khaydarovR/.net-c-asp-net
-
Frontend - SPA Клиент на Angular: https://github.com/khaydarovR/SCP.ClientApp
-
Nuget пакет для убобной работы с API: https://github.com/khaydarovR/BosClient
-
Расширение для браузера на JS: https://github.com/khaydarovR/SCP.GhromExt
Проблемы:
- хранение важных секретов в коде (в открытом ввиде)
- передача важных конфиденциальных данных через мессенджеры
- расползание секретов (в диаолгах мессенджеров)
- отсутвие контроля доступа людей к разным ИС
- сложный аудит ИБ
Решение:
- передача и получение секретов в шифрованном виде (ассиметричное шифрование с помощью RSA)
- хранение секретов в шифрованном ввиде на отдельном сервисе (слив БД сервиса или исходного кода ИС не несет угрозы к безопасности IT инфраструктуре)
- удобное потребление\получение секретов с помощью разработанного расширения для браузера\ nuget пакета
- Гибкое управление правами
- Подробное логирование всех действий пользователей упрощающий дальнейший аудит ИБ IT инфрастуктуры
