Termos mais procurados:
Um exemplo da nossa API (que é EPP e não HTTP, mas também sobre TLS): exigimos certificado cliente assinado pela nossa raiz, exigimos usuário/senha, exigimos IP que bata com os IPs do cadastro para esse consumidor da API. E cada IP só pode ser de um consumidor, então é também fator de autenticação.
Sim, IP é só fator adicional.
Pessoal testei aqui..
como rodamos em multi-zona cada endpoint tem ao menos 5 IPs..
eu sou da teoria que a segurança deveria funcionar à despeito de IPs, nosso caso é complexo, temos vários servers para atingir HA. Então não existe garantia do IP do servers
sim.
o mTLS é exigência do nosso amigo Bacen 😦
Mas para mim o que segue o espírito da API é nem fechar o TLS.
estava divagando sobre isso, mas exclusivo pra esse propósito é, achei melhor
Já eu colocaria restrição de IP em adição ao mTLS. 😉
ainda não apliquei,
acho uma boa crítica ao time de infosec da GN
efim..
o mTLS foi criado para eviar este tipo de coisa
restrição de IP é ruim
Achei mais sensato, assim aplico restrição de ip e boa 😉
então acho que vai ser always ON
no nosso ambiente tbm temos máquina exclusiva
ou seja, unica e exclusiva pra comunicação com a GN
E se eu usar o certificado que eu recebi da GN?
