GodSpeedXI · July 21, 2021 04:45
diff --git a/gistfile1.txt b/gistfile1.txt
 Security Checklist

 Kube Security
 1. อย่า Run Docker โดย root user
 2. ควรจะใช้ package docker file ที่เราจะใช้เท่านั้น
 3. allow port สำหรับที่จะใช้เท่านั้น
 4. ควรกำหนด Network policy ให้ Pod สามารถคุยกันได้เฉพาะ ที่จะใช้เท่านั้น
 5. set policy agent pod ให้ Deployment deploy only namespace ที่ pod สามารถ deploy ได้เท่านั้น
 6. service account pod ควร สิทธิ์ เฉพาะที่ pod นั้นใช้เท่านั้น 
 7. Image ควรใช้ Private Registry
 8. Pod ตัวไหน ที่ไม่ได้ใช้ API ของ Cloud ไม่ควร access  API ของ Cloud ได้ (Metadata consealing)
 9. ห้ามเก็บ Password ที่อยู่ใน App ควรอยู่ใน Secret manager
 10. Scan image ที่เรา Build เป็นประจำ
 11. แบ่งสิทธิ์ ในการใช้ Kubectl ให้ access only namespace
 12. worker node ไม่ควรเปิด SSH ให้ผ่าน Kubectl เท่านั้น
 13. Kube cluster ควรอยู่ใน Private network เท่านั้น ให้ set ผ่าน LB เท่านั้น

 Api Security
 1. ทุก Api ควรมี AccessKeys
 2. Api ควร enable oauth2
 3. ไม่ควรนำข้อมูล เกี่ยวกับ User Profile ส่วนตัวไว้ใน JWT
 4. Api ทุกตัว ควร Enable HSTS
 5. Api ใช้ port ไหน allow port นั้น
 6. ให้ทุก API ผ่าน LB เท่านั้น เพราะ LB ใส่ firewall ได้ แล้ว ไม่ควรใช้ Port เดี่ยวกับ port API 
 7. Api แยก ENV ชัดเจน ไม่ควร test บน Production เช่น  Dev, SIT, UAT, PROD, PROD Support, Perf Test, Perf Test on cloud
 8. User ที่เข้ามาใช้งาน API ควรมี สิทธิ์ไม่เท่ากัน กำหนด By Route
 9. เช็คสิทธิ์ Api ทุกเส้น ว่า user นั้นมี สิทธิ์เข้าถึงไหม
 10. JWT ควร Encode ด้วย RSA(Asymmetric key) ทำ Secret
 11. Refresh token ควรเก็บไว้ใน DB หรือใน Redis ด้วย เพื่อที่จะสามารถ Revoke ได้
 12. Logout ออกจากระบบ ควรลบ Refresh token และ Token ออกจาก DB ด้วย
 13. Set X-Forwarded-for ที่ LB เพื่อเก็บ Log User IP ไว้ด้วย เมื่อ login
 14. ปิด Debug mode 
 15. ไม่ควรใช้ Phpmyadmin
 16. ทุก API ที่ต่อ Database ควร close session ด้วย
	Security Checklist

	Kube Security
	1. อย่า Run Docker โดย root user
	2. ควรจะใช้ package docker file ที่เราจะใช้เท่านั้น
	3. allow port สำหรับที่จะใช้เท่านั้น
	4. ควรกำหนด Network policy ให้ Pod สามารถคุยกันได้เฉพาะ ที่จะใช้เท่านั้น
	5. set policy agent pod ให้ Deployment deploy only namespace ที่ pod สามารถ deploy ได้เท่านั้น
	6. service account pod ควร สิทธิ์ เฉพาะที่ pod นั้นใช้เท่านั้น
	7. Image ควรใช้ Private Registry
	8. Pod ตัวไหน ที่ไม่ได้ใช้ API ของ Cloud ไม่ควร access API ของ Cloud ได้ (Metadata consealing)
	9. ห้ามเก็บ Password ที่อยู่ใน App ควรอยู่ใน Secret manager
	10. Scan image ที่เรา Build เป็นประจำ
	11. แบ่งสิทธิ์ ในการใช้ Kubectl ให้ access only namespace
	12. worker node ไม่ควรเปิด SSH ให้ผ่าน Kubectl เท่านั้น
	13. Kube cluster ควรอยู่ใน Private network เท่านั้น ให้ set ผ่าน LB เท่านั้น

	Api Security
	1. ทุก Api ควรมี AccessKeys
	2. Api ควร enable oauth2
	3. ไม่ควรนำข้อมูล เกี่ยวกับ User Profile ส่วนตัวไว้ใน JWT
	4. Api ทุกตัว ควร Enable HSTS
	5. Api ใช้ port ไหน allow port นั้น
	6. ให้ทุก API ผ่าน LB เท่านั้น เพราะ LB ใส่ firewall ได้ แล้ว ไม่ควรใช้ Port เดี่ยวกับ port API
	7. Api แยก ENV ชัดเจน ไม่ควร test บน Production เช่น Dev, SIT, UAT, PROD, PROD Support, Perf Test, Perf Test on cloud
	8. User ที่เข้ามาใช้งาน API ควรมี สิทธิ์ไม่เท่ากัน กำหนด By Route
	9. เช็คสิทธิ์ Api ทุกเส้น ว่า user นั้นมี สิทธิ์เข้าถึงไหม
	10. JWT ควร Encode ด้วย RSA(Asymmetric key) ทำ Secret
	11. Refresh token ควรเก็บไว้ใน DB หรือใน Redis ด้วย เพื่อที่จะสามารถ Revoke ได้
	12. Logout ออกจากระบบ ควรลบ Refresh token และ Token ออกจาก DB ด้วย
	13. Set X-Forwarded-for ที่ LB เพื่อเก็บ Log User IP ไว้ด้วย เมื่อ login
	14. ปิด Debug mode
	15. ไม่ควรใช้ Phpmyadmin
	16. ทุก API ที่ต่อ Database ควร close session ด้วย