docs: add Pilar 6 for network micro-segmentation to seguranca_deploy_user

This commit is contained in:
Rui
2026-05-17 09:17:53 +02:00
parent 9699f59d42
commit abb92ad7a0
+25
View File
@@ -191,3 +191,28 @@ fi
```
**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.
---
## 🛡️ Pilar 6: Micro-segmentação de Rede e Firewall Restritivo (SecOps)
Para evitar a movimentação lateral caso qualquer VPS de staging (como a VPS 4) seja comprometida, a **VPS 3 (Cérebro)** possui uma política rígida de firewall (UFW) baseada no **Princípio do Menor Privilégio a Nível de Rede**.
### Configuração do Firewall da VPS 3 (`wg0`):
1. **Acesso Total para o Administrador**:
O notebook do administrador (`10.99.0.10`) possui acesso irrestrito a todas as portas sobre a VPN:
```bash
sudo ufw allow in on wg0 from 10.99.0.10 to any
```
2. **Acesso Restrito para Servidores do Swarm**:
A VPS 1 (`10.99.0.1`) e a VPS 4 (`10.99.0.4`) possuem acesso permitido **exclusivamente** às portas TCP necessárias para a operação:
* **Porta 22** (Gitea SSH / Terminal SSH)
* **Porta 3000** (Gitea HTTP Web Interface)
* **Porta 5000** (Swarm Dispatcher Webhook Listener)
* **Porta 5432** (PostgreSQL Database Port)
* **Porta 6379** (Redis/Dragonfly Key-Value Queue)
3. **default-deny Policy**:
Todas as demais conexões de qualquer outra origem da subrede VPN (ex: uma VPS de CRM vulnerável) são **bloqueadas sumariamente por padrão**, blindando o cérebro do enxame contra vazamentos e invasões.