====== Varnost ======

<WRAP round info>
**Ciljna skupina:** Varnostni administratorji, DevOps \\
**Vsebina:** TLS, certifikati, nadzor dostopa \\
**Prioriteta:** Kritično za produkcijo
</WRAP>

Varnostna konfiguracija za produktivno delovanje Data Gateway.

----

===== Potek dela =====

<mermaid>
flowchart LR
    subgraph TLS["TLS"]
        T1[Pridobi certifikat]
        T2[Aktiviraj HTTPS]
        T3[Cipher Suites]
    end

    subgraph ACCESS["DOSTOP"]
        A1[Požarni zid]
        A2[API-ključi]
        A3[IP-Whitelist]
    end

    subgraph CERTS["CERTIFIKATI"]
        C1[Obnova]
        C2[Nadzor]
    end

    T1 --> T2 --> T3
    T2 --> A1
    A1 --> C1 --> C2

    style T1 fill:#e8f5e9
    style A1 fill:#fff3e0
    style C2 fill:#e3f2fd
</mermaid>

----

===== Runbooks =====

^  Runbook  ^  Opis  ^  Trajanje  ^
| [[.:tls-einrichten|Nastavitev TLS]] | Aktivacija HTTPS, konfiguracija certifikatov | ~15 min |
| [[.:zertifikat-erneuern|Obnova certifikata]] | Postopek obnove, avtomatizacija | ~10 min |
| [[.:firewall-regeln|Pravila požarnega zidu]] | Omejitev dostopa, IP-Whitelist | ~10 min |

----

===== Varnostni kontrolni seznam =====

| # | Točka preverjanja | Prioriteta | V |
|---|-----------|-----------|---|
| 1 | TLS/HTTPS aktiviran | Kritično | |
| 2 | Brez samopodpisanih certifikatov v produkciji | Kritično | |
| 3 | TLS 1.2+ obvezen | Visoko | |
| 4 | Šibke šifre onemogočene | Visoko | |
| 5 | Požarni zid konfiguriran | Kritično | |
| 6 | Potek certifikata nadzorovan | Visoko | |
| 7 | Dnevniki ne vsebujejo gesel | Kritično | |

----

===== Hitri test =====

<code bash>
# Preveri HTTPS-status
curl -I https://gateway.example.com/health

# Preveri TLS-verzijo
openssl s_client -connect gateway.example.com:443 -tls1_2
openssl s_client -connect gateway.example.com:443 -tls1_3

# Preveri potek certifikata
echo | openssl s_client -connect gateway.example.com:443 2>/dev/null | openssl x509 -noout -dates
</code>

----

===== Povezana dokumentacija =====

  * [[..:administrator:sicherheit:start|Administrator: Varnost]] - Arhitektura
  * [[..:business:sicherheit:start|Business: PQ-varnost]] - Skladnost
  * [[sl:int:pqcrypt:szenarien:operator:start|PQ Crypto Operator]] - Post-Quantum

----

<< [[..:start|<- Operaterski priročnik]] | [[.:tls-einrichten|-> Nastavitev TLS]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Data Gateway Professional//

{{tag>operator sicherheit tls zertifikate}}