Manejar usuarios en entornos de staging y production

Clase 9 de 17 • Audiocurso de Fundamentos de Arquitectura de Alta Concurrencia

Juan David Cajamarca Acuña

student•

¿Cuál es la mejor manera para manejar usuarios, contraseñas y tokens tanto en entornos de Staging como en entornos de Producción? Con respecto a la autenticación de nuestros usuarios, hay muchas formas de llevarlo a cabo, y generalmente lo que se hace es almacenar esta información en un sistema externo para que nuestra aplicación sea stateless, y dicho sistema externo debe ser muy rápido ya que deseamos obtener esa información casi de manera instantánea. Casi siempre se usan servicios como Redis para poder acceder a esos datos rápidamente. En cuanto a los secretos de nuestra aplicación (usuario y contraseña de la conexión a la base de datos, por ejemplo), ya es responsabilidad del equipo de infraestructura brindarle a los desarrolladores un Backend o alguna forma de acceder a dichos secretos de una manera segura. Por lo general se crea un archivo o variables de entorno en donde se almacenan los valores y lo que debe hacer la aplicación es acceder a ese archivos o utilizar esas variables de entorno para funcionar de la manera esperada. El equipo de desarrollo debe ser muy cuidadoso con el uso de los secretos, puesto que no se desea bajo ninguna circunstancia que los valores de estos secretos queden registrados en logs o en archivos que puedan ser accedidos fácilmente.

Alexis Dorado Muñoz

student•

¡Gracias por tu aporte! 👏 Has planteado un tema fundamental para la seguridad de las aplicaciones. Me gusta especialmente la atención que pones en la responsabilidad del equipo de desarrollo en el manejo de secretos. ¡Es crucial para evitar vulnerabilidades! 💪

DAVID EDUARDO BAEZ SANCHEZ

student•

Usuarios - Contraseñas - Tokens

Sistema externo
Sistema rápido (Redis - Mencach)
BackEnd de forma segura(Encargado IT) para contraseñas de acceso a base de datos.

Juan

student•

Usar los baúles en cada proveedor de nube, nos ayuda a tener centralizados estos certificados y secretos.

Eddy Arellanes

student•

Ejemplo de donde guardar tokens, credenciales de apis, etc: https://aws.amazon.com/es/secrets-manager/

Martín Alexis Samán Arata

student•

No lo hagan como Uber lol

Airy Nieves

student•

Jerarquía / flujo de uso en la vida real

Usuarios y autenticación → App consulta Redis / Identity provider → token JWT.
Secrets / passwords → App obtiene desde Secrets Manager / Key Vault → variables de entorno o archivos temporales en contenedor.
Tokens → Se crean en login o pipelines → se almacenan en memoria/cache para uso rápido.
IaC (Terraform / CloudFormation / Azure DevOps) → provisiona servicios de identidad, secrets y cache para staging y producción.

Daniel Eduardo Rojas Pulido

student•

El manejo de usuarios es algo muy importante

José Antonio De La Paz Fonseca

student•

Recuerdo que cuando empecé a darle a los videitos de youtube creando cositas con node y mysql se usaba un archuvo .env para guardar las variables de entorno que contenían las credenciales para la base de datos, ahora sé los fundamentos gracias al curso.

Alexis Dorado Muñoz

student•

Manejo de secretos en entornos de Staging y Producción:

La gestión de usuarios, contraseñas y tokens es crucial para la seguridad de nuestras aplicaciones. 🔐 Aquí algunas ideas para abordar este desafío:

1. Almacenamiento externo para la autenticación:

Para mantener nuestras aplicaciones stateless, podemos delegar la autenticación a un sistema externo de alta velocidad como Redis. ⚡ Esto nos permite acceder a la información de usuario casi instantáneamente.

2. Gestión de secretos de la aplicación:

El equipo de infraestructura juega un papel vital al proporcionar mecanismos seguros para acceder a secretos como las credenciales de la base de datos. Esto puede ser a través de un backend dedicado o variables de entorno. ☁️

3. Precaución con los secretos:

¡Los desarrolladores debemos ser extremadamente cuidadosos! 🚨 Nunca debemos dejar rastros de secretos en logs o archivos accesibles. Un pequeño descuido puede comprometer toda la seguridad.

Recomendaciones adicionales:

Utilizar un administrador de secretos para centralizar y proteger las credenciales.
Implementar la rotación de secretos para minimizar el impacto de posibles brechas de seguridad.
Aplicar el principio de mínimo privilegio, otorgando solo los permisos necesarios a cada usuario.

Irving Juárez

student•

Los proovedores cloud nos ofrecen herramientas built-in para poder gestionar la governanza de nuestros recursos, ademas de herramientras para guardar secretos o incluso archivos de configuración completos que no esten expuestos

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Victor Hugo Vázquez Gómez

student•

GitHub tambien tiene su manera de guardar valores secretos a la hora de correr pruebas en GH Actions. https://github.blog/2011-10-21-github-secrets/