diff --git a/global/seguranca_deploy_user.md b/global/seguranca_deploy_user.md index 795f2d7..966b820 100644 --- a/global/seguranca_deploy_user.md +++ b/global/seguranca_deploy_user.md @@ -191,3 +191,28 @@ fi ``` **Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados. + +--- + +## 🛡️ Pilar 6: Micro-segmentação de Rede e Firewall Restritivo (SecOps) + +Para evitar a movimentação lateral caso qualquer VPS de staging (como a VPS 4) seja comprometida, a **VPS 3 (Cérebro)** possui uma política rígida de firewall (UFW) baseada no **Princípio do Menor Privilégio a Nível de Rede**. + +### Configuração do Firewall da VPS 3 (`wg0`): + +1. **Acesso Total para o Administrador**: + O notebook do administrador (`10.99.0.10`) possui acesso irrestrito a todas as portas sobre a VPN: + ```bash + sudo ufw allow in on wg0 from 10.99.0.10 to any + ``` + +2. **Acesso Restrito para Servidores do Swarm**: + A VPS 1 (`10.99.0.1`) e a VPS 4 (`10.99.0.4`) possuem acesso permitido **exclusivamente** às portas TCP necessárias para a operação: + * **Porta 22** (Gitea SSH / Terminal SSH) + * **Porta 3000** (Gitea HTTP Web Interface) + * **Porta 5000** (Swarm Dispatcher Webhook Listener) + * **Porta 5432** (PostgreSQL Database Port) + * **Porta 6379** (Redis/Dragonfly Key-Value Queue) + +3. **default-deny Policy**: + Todas as demais conexões de qualquer outra origem da subrede VPN (ex: uma VPS de CRM vulnerável) são **bloqueadas sumariamente por padrão**, blindando o cérebro do enxame contra vazamentos e invasões.