Ho bisogno di memorizzare da qualche parte la mia password DB sul mio ambiente di produzione per accedere al DB. Al momento il sistema prod viene distribuito nel cloud, così è il DB. La password, il nome utente e alcune altre informazioni sensibili sono memorizzate come variabili di ambiente in testo normale sul sistema di produzione.
Guardando un po 'in giro ho visto che la maggior parte delle soluzioni consisteva nel limitare l'accesso a questi tipi di dati sensibili (memorizzandoli su un file con accesso concesso solo all'amministratore del sistema) e all'accesso a il DB stesso (limitando l'accesso solo agli IP fissi).
Sfortunatamente nessuno di questi è possibile in questo caso per alcuni motivi: il servizio che ospita il sistema NON ci consente di avere un IP (quindi non posso impostare il DB per essere accessibile solo da un IP) e le credenziali del DB devono rimanere in una variabile di ambiente per motivi di implementazione.
D'altra parte, il DB in realtà non contiene dati sensibili e, più in generale, al momento siamo principalmente preoccupati di non avere persone interne che attraversano il DB di produzione e causano danni, piuttosto che attacchi di hacker esterni.
Quindi la mia domanda è: quale sarebbe una "soluzione abbastanza sicura" in questo caso?
Sarebbe una soluzione sicura per crittografare la password per il DB e quindi memorizzare la chiave di decrittazione su un file di configurazione caricato su GitHub crittografato con questa procedura (anche se sembra un po 'obsoleta)
Ho pensato che fosse un argomento abbastanza diretto e popolare, ma a quanto pare ho sbagliato, dal momento che sembra che non ci siano molte risposte tipo "TODO-list".