É muito comum termos que armazenar informações sensíveis em nossas aplicações, entre elas, string de conexão de bancos de dados, chaves de acesso a serviços, chaves de autenticação, mas deixar essas informações no código trás uma falha de segurança, e para evitar essa falha de segurança temos os Application Secrets.
O que são Application Secrets?
Application Secrets são serviços que armazenam e controlam “segredos”.
Esse tipo serviço está disponível em todos os principais serviços de cloud como AWS e Azure.
Esses serviços fazem a encriptação dos dados e garantem que o acesso seja feito só por usuários autenticados e com as permissões necessárias, ou seja, aumenta muito a segurança.
Exemplos de informações que devem ser colocadas nos secrets:
- Senhas
- Connection Strings
- Chaves de usuário
- Chaves de sistemas
- Qualquer informação que pode dar acesso a outro sistema
Por que usar Application Secrets?
O principal motivo para usar Application Secrets é Segurança, mas também ajuda na governança das informações.
Cada camada a mais de proteção que temos em nossas aplicações é uma dificuldade a mais pro invasor, então quanto mais camadas melhor.
Além disso, fica mais fácil de gerenciar as chaves entre várias aplicações. pois todos os segredos ficam centralizados em um mesmo lugar.
Mudando em todas as aplicações de uma vez só você poupa muito tempo, e garante que todos vão estar com os dados corretos.
Sendo assim a resposta a algum incidente fica muito mais ágil.
Como adicionar na sua Aplicação
Os principais serviços de cloud tem SDKs para as principais linguagens.
Então para conectar a aplicação com o serviço é só adicionar a SDK do serviço de cloud e seguir o passo a passo.
Confira as SDKs:
Conclusão
Adicionar application secrets nas suas aplicações é algo que pode ajudar na segurança de seus outros serviços.
Mas para projetos pessoais ou pequenos não vale tanto a pena.
Pois vai adicionar um custo ao projeto, e para aplicações menores usar variáveis de ambiente pode ser uma boa alternativa.
Caso queira mais dicas sobre desenvolvimento, confira os posts no nosso blog.