Tildeling og brug af privilegerede adgangsrettigheder skal begrænses og administreres.
Vi vedligeholder en omfattende liste over brugere med deres offentlige SSH-nøgler, der administreres via LinuxAid og Puppet for effektiv adgangskontrol. Dette sikrer, at kun autoriserede SRE'er og administratorer har privilegeret adgang, alt konfigureret via GitOps for gennemsigtighed og automatisering.
Adgang til vores Kubernetes-klynger styres af en RBAC-mekanisme, der giver os mulighed for at tildele specifikke tilladelser til brugere baseret på deres roller på tværs af forskellige miljøer (test/QA, produktion, udvikling). Vi bruger Teleport, Netbird til at få adgang til disse k8s-klynger og Linux-servere.
Alle andre tjenester kræver godkendelse via Keycloak, der udnytter en standard bruger-adgangskodekombination sammen med 2FA ved hjælp af YubiKeys. Dette tilføjer et ekstra lag af beskyttelse til følsomme data.
Følsomme legitimationsoplysninger i vores selvhostede Gitea opbevares sikkert ved hjælp af Password store. Kun brugere, hvis GPG-nøgler er autoriserede, kan dekryptere disse legitimationsoplysninger, hvilket minimerer risikoen for lækage og forbedrer den samlede sikkerhed.