Liste de contrôle des recommandations pour la sécurité
Cette liste de contrôle présente un ensemble de recommandations en matière de sécurité pour vous aider à garantir la sécurité de votre charge de travail. Si vous ne révisez pas la liste de contrôle ni n’évaluez les compromis associés, vous pouvez exposer votre conception à des risques potentiels. Évaluez soigneusement tous les aspects décrits dans la liste de contrôle pour renforcer votre confiance dans la sécurité de votre charge de travail.
Liste de contrôle
| Code | Recommandation | |
|---|---|---|
| ☐ | SE:01 | Établissez une base de référence de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de la plateforme. Mesurez régulièrement l’architecture et les opérations de votre charge de travail par rapport à la base de référence pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
| ☐ | SE:02 SE:02 |
Maintenez un cycle de vie de développement sécurisé en utilisant un logiciel renforcé, principalement automatisé et vérifiable chaîne d’approvisionnement. Incorporez une conception sécurisée en utilisant la modélisation des menaces pour vous protéger contre les implémentations qui compromettent la sécurité. |
| ☐ | SE:03 | Classer et appliquer systématiquement les étiquettes Sensibilité et les types d’informations sur toutes les données de charge de travail et les systèmes impliqués dans le traitement des données. Utilisez la classification pour influencer la conception, la mise en œuvre et la priorisation de la sécurité de la charge de travail. |
| ☐ | SE:04 | Créez une segmentation et des périmètres intentionnels dans la conception de votre architecture et dans l’empreinte de la charge de travail sur la plateforme. La stratégie de segmentation doit inclure les réseaux, les rôles et responsabilités, les identités de la charge de travail et l’organisation des ressources. |
| ☐ | SE:05 | Implémentez une gestion stricte, conditionnelle et vérifiable des identités et des accès (IAM) pour tous les utilisateurs de la charge de travail, les membres de l’équipe et les composants du système. Limitez l’accès exclusivement à si nécessaire. Utilisez les normes modernes du secteur pour toutes les implémentations de l’authentification et de l’autorisation. Restreignez et auditez rigoureusement l’accès qui n’est pas basé sur l’identité. |
| ☐ | SE:06 | Chiffrez les données en utilisant des méthodes modernes et conformes aux normes du secteur pour protéger la confidentialité et l’intégrité. Alignez la portée du chiffrement sur les classifications des données et donnez la priorité aux méthodes de chiffrement natives de la plateforme. |
| ☐ | SE:07 | protéger secrets d’application en renforçant leur stockage et en limitant l’accès et la manipulation et en auditant ces actions. Exécutez un processus de rotation fiable et régulier qui permet d’improviser des rotations en cas d’urgence. |
| ☐ | SE:08 | Mettre en œuvre une stratégie de surveillance holistique qui s’appuie sur des mécanismes modernes de détection des menaces pouvant être intégrés à la plateforme. Les mécanismes doivent alerter de manière fiable pour le tri et envoyer des signaux aux processus SecOps existants. |
| ☐ | SE:09 | Établissez un programme de tests complet qui combine des approches pour prévenir les problèmes de sécurité, valider les implémentations de prévention des menaces et tester les mécanismes de détection des menaces. |
| ☐ | SE:10 | Définir et tester des procédures d’incident efficaces réponse qui couvrent un spectre d’incidents, des problèmes localisés à la reprise après sinistre. Définissez clairement quelle équipe ou personne exécute une procédure. |