Skip to main content

Sjekkliste før internetteksponering

info

Denne siden er under utarbeidelse og er et samarbeid mellom utvikling og sikkerhet

For å eksponere en applikasjon som kjører på SKIP mot internett må man:

  • Opprette en DNS-record som ikke er under statkart.no-domenet, f.eks. applikasjonX.kartverket.no . Det gjøres ved å opprette en ticket i PureService og be om at dette domenet skal ha et CNAME som peker mot SKIP-lastbalansereren (atkv3-prod.kartverket.cloud for on-prem og atgcp1-prod.kartverket.cloud for sky)
  • Legge til det nye domenenavnet under ingresses i Skiperator-manifestet eller hostname for Routing-manifestet , slik at applikasjonen registrerer seg mot ekstern ingress gateway

Før dette kan gjøres må man gå igjennom denne sjekklisten:

  • Gjør dere kjent med Overordnede føringer og spesielt Ansvarsfordeling fra Sikkerhetshåndboka

  • Opprett metadata i GitHub-repoene tilknyttet applikasjonen i henhold til sikkerhet i repoet. Dette sikrer at applikasjonen blir integrert i Utviklerportalen og får tilgang til sikkerhetsmetrikker.

  • Verdivurdering er utført.

  • Det er gjort IP (Innledende Personvernsvurdering) og eventuelt DPIA. Kopier malen IP, DPIA og ROS-analyse for [det som vurderes] til deres område og fyll ut informasjonen der.

  • ROS-analyse gjennomført og godkjent av risikoeier/systemeier

  • Systemet er registrert i systemoversikten ( Pureservice->Tilganger, sikkerhet og systemforvaltning->Registrer nytt system ).

  • Codeowners definert i koderepo CODEOWNERS

  • Gjennomfør en sikkerhetssjekk

    • Se over hvilke endepunkter som er eksponert og at debug endepunkter og liknende interne endepunkter ikke er eksponert
    • Sørg for at alle endepunkter som krever autentisering faktisk krever det
    • Vi anbefaler i tillegg å bruke OWASP ZAP for å kjøre en scan

  • Når appen er eksponert skal sikkerhetsheaders testes med https://securityheaders.com og https://observatory.mozilla.org. Gå gjennom resultatene og sørg for at relevante header-typer er på plass.

  • Monitorering og varsling er satt opp i Grafana, og vaktlaget er onboardet disse alarmene

Denne sjekklisten gjelder eksponering av tjenester som skal være tilgjengelig på internett, uavhengig av miljø (prod/dev). Hvis man har behov for å eksponere en applikasjon eksternt i dev må man i tillegg kontakte SKIP for å sikre at alle sikkerhetskrav overholdes.

Navnekonvensjon for eksternt tilgjengelig domenenavn vil i så fall være

  • <applikasjonX>.atkv3-dev.kartverket.cloud