docs: add Pilar 6 for network micro-segmentation to seguranca_deploy_user
This commit is contained in:
@@ -191,3 +191,28 @@ fi
|
|||||||
```
|
```
|
||||||
|
|
||||||
**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.
|
**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 🛡️ Pilar 6: Micro-segmentação de Rede e Firewall Restritivo (SecOps)
|
||||||
|
|
||||||
|
Para evitar a movimentação lateral caso qualquer VPS de staging (como a VPS 4) seja comprometida, a **VPS 3 (Cérebro)** possui uma política rígida de firewall (UFW) baseada no **Princípio do Menor Privilégio a Nível de Rede**.
|
||||||
|
|
||||||
|
### Configuração do Firewall da VPS 3 (`wg0`):
|
||||||
|
|
||||||
|
1. **Acesso Total para o Administrador**:
|
||||||
|
O notebook do administrador (`10.99.0.10`) possui acesso irrestrito a todas as portas sobre a VPN:
|
||||||
|
```bash
|
||||||
|
sudo ufw allow in on wg0 from 10.99.0.10 to any
|
||||||
|
```
|
||||||
|
|
||||||
|
2. **Acesso Restrito para Servidores do Swarm**:
|
||||||
|
A VPS 1 (`10.99.0.1`) e a VPS 4 (`10.99.0.4`) possuem acesso permitido **exclusivamente** às portas TCP necessárias para a operação:
|
||||||
|
* **Porta 22** (Gitea SSH / Terminal SSH)
|
||||||
|
* **Porta 3000** (Gitea HTTP Web Interface)
|
||||||
|
* **Porta 5000** (Swarm Dispatcher Webhook Listener)
|
||||||
|
* **Porta 5432** (PostgreSQL Database Port)
|
||||||
|
* **Porta 6379** (Redis/Dragonfly Key-Value Queue)
|
||||||
|
|
||||||
|
3. **default-deny Policy**:
|
||||||
|
Todas as demais conexões de qualquer outra origem da subrede VPN (ex: uma VPS de CRM vulnerável) são **bloqueadas sumariamente por padrão**, blindando o cérebro do enxame contra vazamentos e invasões.
|
||||||
|
|||||||
Reference in New Issue
Block a user