Sjekkliste før internett-eksponering

info

Denne siden er under utarbeidelse og er et samarbeid mellom utvikling og sikkerhet

For å eksponere en applikasjon som kjører på SKIP mot internett må man:

• Opprette en DNS-record som ikke er under statkart.no-domenet, f.eks. applikasjonX.kartverket.no . Det gjøres ved å opprette en ticket i PureService og be om at dette domenet skal peke mot SKIP-lastbalansereren (lb01.kartverket.no)
• Legge til det nye domenenavnet under ingresses i Skiperator-manifestet eller hostname for Routing-manifestet , slik at applikasjonen registrerer seg mot ekstern ingress gateway

Før dette kan gjøres må man gå igjennom denne sjekklisten:

• Gjør dere kjent med Overordnede føringer og spesielt Ansvarsfordeling fra Sikkerhetshåndboka

• Opprett metadata om applikasjonen i henhold til Sikkerhet i repoet . Dette gjør at applikasjonen blir knyttet opp i Utviklerportalen (fortsatt under arbeid)

• Foranalyse må være gjennomført(Kommer løype for det i ServiceNow)

• Det er gjort IP (Innledende Personvernsvurdering) og eventuelt DPIA. Lag en kopi av malen på IP, DPIA og ROS-analyse for [det som vurderes]. IKKE SKRIV INN I MALEN, men kopier sidene.

• ROS-analyse gjennomført og godkjent av risikoeier/systemeier

• Codeowners definert i koderepo CODEOWNERS

• Gjennomført initiell penetrasjonstesting (hvem og hvordan?) eller manuell avsjekk med SKIP rundt konfigurasjon

• Følgende headere blir sendt på alle kall: HTTP Strict Transport Security , Content Security Policy , X-Frame-Options , X-Content-Type-Options , Referrer Policy , Permissions Policy

• Når appen er eksponert er sikkerhetsheaders testet med https://securityheaders.com og https://observatory.mozilla.org

• Monitorering og varsling er satt opp i Grafana, og vaktlaget er onboardet disse alarmene

• Metrics with Grafana

• Logs with Loki

• Alerting with Grafana

Denne sjekklisten gjelder eksponering av tjenester som skal være tilgjengelig på internett, uavhengig av miljø (dev/prod). Hvis man ønsker og har behov for å eksponere en applikasjon eksternt i dev må man i tillegg kontakte SKIP for å sikre at alle sikkerhetskrav overholdes.

Navnekonvensjon for eksternt tilgjengelig domenenavn vil i så fall være

• <applikasjonX>.atkv3-dev.kartverket.cloud