docs: add Pilar 6 for network micro-segmentation to seguranca_deploy_user
This commit is contained in:
@@ -191,3 +191,28 @@ fi
|
||||
```
|
||||
|
||||
**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.
|
||||
|
||||
---
|
||||
|
||||
## 🛡️ Pilar 6: Micro-segmentação de Rede e Firewall Restritivo (SecOps)
|
||||
|
||||
Para evitar a movimentação lateral caso qualquer VPS de staging (como a VPS 4) seja comprometida, a **VPS 3 (Cérebro)** possui uma política rígida de firewall (UFW) baseada no **Princípio do Menor Privilégio a Nível de Rede**.
|
||||
|
||||
### Configuração do Firewall da VPS 3 (`wg0`):
|
||||
|
||||
1. **Acesso Total para o Administrador**:
|
||||
O notebook do administrador (`10.99.0.10`) possui acesso irrestrito a todas as portas sobre a VPN:
|
||||
```bash
|
||||
sudo ufw allow in on wg0 from 10.99.0.10 to any
|
||||
```
|
||||
|
||||
2. **Acesso Restrito para Servidores do Swarm**:
|
||||
A VPS 1 (`10.99.0.1`) e a VPS 4 (`10.99.0.4`) possuem acesso permitido **exclusivamente** às portas TCP necessárias para a operação:
|
||||
* **Porta 22** (Gitea SSH / Terminal SSH)
|
||||
* **Porta 3000** (Gitea HTTP Web Interface)
|
||||
* **Porta 5000** (Swarm Dispatcher Webhook Listener)
|
||||
* **Porta 5432** (PostgreSQL Database Port)
|
||||
* **Porta 6379** (Redis/Dragonfly Key-Value Queue)
|
||||
|
||||
3. **default-deny Policy**:
|
||||
Todas as demais conexões de qualquer outra origem da subrede VPN (ex: uma VPS de CRM vulnerável) são **bloqueadas sumariamente por padrão**, blindando o cérebro do enxame contra vazamentos e invasões.
|
||||
|
||||
Reference in New Issue
Block a user