Lapachos Lending : Sesión de seguridad I

14 hs

Arquitectura

Juan Robles

Base datos

Juan Robles

Estrategia multicuenta:

Infraestructura

Juan Robles

Proveedor de Nube
AWS

Software
Serverless Framework 3

Typescript 5.2.2

Node 18.x

Prisma 5.5.1

ReactJS 18.2

Servicio de Usuarios y Autenticación
AWS Cognito

Servicios de Backend
AWS Lambda

AWS API Gateway

Frontend
AWS Amplify

Servicio de Datos
RDS MySql

Seguridad

Juan Robles

Link al doc.

Análisis AWS hoy:

Comentarios Federico Roitman

Federico Roitman

• Una vez que están listo para pasar a producción deberían delegar a Hevert el soporte de insfractuctura.

• Una persona sola no debería ser la que pueda mergear todo.

• La mejor forma de autenticación para ABL para la Api, Juan opina que API KEY.

• FR, que todos los accesos via la api se verifique que es el usuario el que tiene el acceso al objeto. Puede ser el API KEY, pero hay que cuidar que se mantenga el secreto. Oaut, todo pasando por cognito para que la persmisologia de las apis sean la misma.

  • Juan ABL tendría que configurar la lógica del refresh token cuando se venza. no debería ser un problema eso para FR.

• Manejo de secretos:

  • Guardado de credenciales, ejemplo de cognito, tiene que tener un secreto para verificar los acceso, se configura y no tienen que tener acceso los desarrolladores.

  • Amplify tiene manejo de variable por entorno, solo tiene acceso Juan, menos para el entorno productivo.

  • En deployed manejan secretos de github.

Test

Carlos Garay

• Pentest a la solución se puede empezar pegándole al ambiente de desarrollo.

  • Va a pasar un formulario para dimensionar el pentest.

• Ruido por las APIs expuestas, se van a revisar.

Repaso desde producto

Valeria Melchior