Sjekkliste før internetteksponering

info

Denne siden er under utarbeidelse og er et samarbeid mellom utvikling og sikkerhet

For å eksponere en applikasjon som kjører på SKIP mot internett må man:

• Opprette en DNS-record som ikke er under statkart.no-domenet, f.eks. applikasjonX.kartverket.no . Det gjøres ved å opprette en ticket i PureService og be om at dette domenet skal peke mot SKIP-lastbalansereren (lb01.kartverket.no)
• Legge til det nye domenenavnet under ingresses i Skiperator-manifestet eller hostname for Routing-manifestet , slik at applikasjonen registrerer seg mot ekstern ingress gateway

Før dette kan gjøres må man gå igjennom denne sjekklisten:

• Gjør dere kjent med Overordnede føringer og spesielt Ansvarsfordeling fra Sikkerhetshåndboka

• Opprett metadata i GitHub-repoene tilknyttet applikasjonen i henhold til sikkerhet i repoet. Dette sikrer at applikasjonen blir integrert i Utviklerportalen og får tilgang til sikkerhetsmetrikker.

• Foranalyse må være gjennomført (det kommer løype for dette i PureService)

• Det er gjort IP (Innledende Personvernsvurdering) og eventuelt DPIA. Kopier malen IP, DPIA og ROS-analyse for [det som vurderes] til deres område og fyll ut informasjonen der.

• ROS-analyse gjennomført og godkjent av risikoeier/systemeier

• Codeowners definert i koderepo CODEOWNERS

• Gjennomført initiell penetrasjonstesting (hvem og hvordan?) eller manuell avsjekk med SKIP rundt konfigurasjon

• Følgende headere blir sendt på alle kall:

  • HTTP Strict Transport Security
  • Content Security Policy
  • X-Frame-Options
  • X-Content-Type-Options
  • Referrer Policy
  • Permissions Policy

• Når appen er eksponert skal sikkerhetsheaders testes med https://securityheaders.com og https://observatory.mozilla.org

• Monitorering og varsling er satt opp i Grafana, og vaktlaget er onboardet disse alarmene

  • Metrics with Grafana
  • Logs with Loki
  • Alerting with Grafana

Denne sjekklisten gjelder eksponering av tjenester som skal være tilgjengelig på internett, uavhengig av miljø (prod/dev). Hvis man har behov for å eksponere en applikasjon eksternt i dev må man i tillegg kontakte SKIP for å sikre at alle sikkerhetskrav overholdes.

Navnekonvensjon for eksternt tilgjengelig domenenavn vil i så fall være

• <applikasjonX>.atkv3-dev.kartverket.cloud