Sto conducendo una piccola squadra in una start-up e sto affrontando un problema con password di alto valore.
Sono l'unico del team che conosce tutte le password chiave per server di produzione, database ... ecc. Se vengo investito da un autobus, il resto del team non ha modo di tornare a tutti questi elementi essenziali Servizi.
Quali standard esistono per i processi nel decidere chi dovrebbe avere accesso a password di alto valore e come viene comunicato e memorizzato? Come hai affrontato questo problema sui precedenti team / start-up.
L'applicazione su cui stiamo lavorando memorizza i dati finanziari, quindi il mio interesse per gli "standard".
Aggiornamento:
Per rispondere ad alcune delle domande nei commenti:
- Tutti i server sono RedHat Enterprise Linux
- App Server è tomcat
- Il database è postgres
- Datacenter è certificato SSA16
- Server dedicati
- Ogni server ha tre reti fisiche distinte di cui fa parte, il traffico di produzione in una nicchia, i backup su un'altra nicchia e la gestione del server su un'altra nicchia.
- Password ad alto valore per proteggere password server Linux, certificati SSL, password per file JKS, password per l'infrastruttura di sviluppo e l'infrastruttura di distribuzione come SendGrid, stripe, Jira, controllo sorgente, ecc.
Aggiornamento 2:
Finora le risposte suggeriscono tutti i modi per risolvere il problema, ma ci sono standard supportati da alcuni enti normativi su come farlo? Terrò questa domanda aperta nella speranza che qualcuno possa nominare standard specifici.