Checklist di raccomandazione per la sicurezza
Questo elenco di controllo presenta una serie di consigli sulla sicurezza per aiutarti a garantire la sicurezza del tuo carico di lavoro. Se non rivedi l'elenco di controllo e non valuti i compromessi associati, potresti esporre il tuo progetto a potenziali rischi. Valuta attentamente tutti gli aspetti delineati nell'elenco di controllo per aumentare la tua fiducia nella sicurezza del tuo carico di lavoro.
Elenco di controllo
| Codice | Elemento consigliato | |
|---|---|---|
| ☐ | SE:01 | Stabilire una linea di base di sicurezza che sia allineata ai requisiti di conformità, agli standard di settore e alle raccomandazioni della piattaforma. Misura regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla linea di base per sostenere o migliorare il tuo livello di sicurezza nel tempo. |
| ☐ | SE:02 SE:02 |
Mantenere un ciclo di sviluppo sicuro utilizzando un software consolidato, per lo più automatizzato e verificabile catena di approvvigionamento. Incorpora una progettazione sicura utilizzando la modellazione delle minacce per proteggerti da implementazioni che compromettono la sicurezza. |
| ☐ | SE:03 | Classificare e applicare in modo coerente le etichette importanza e del tipo di informazione su tutti i dati del carico di lavoro e sui sistemi coinvolti nell'elaborazione dei dati. Utilizza la classificazione per influenzare la progettazione, l'implementazione e la definizione delle priorità di sicurezza del carico di lavoro. |
| ☐ | SE:04 | Crea segmentazioni e perimetri intenzionali nella progettazione dell'architettura e nell'impatto del carico di lavoro sulla piattaforma. La strategia di segmentazione deve includere reti, ruoli e responsabilità, identità del carico di lavoro e organizzazione delle risorse. |
| ☐ | SE:05 | Implementare una gestione rigorosa, condizionale e verificabile dell'identità e degli accessi (IAM) per tutti gli utenti del carico di lavoro, i membri del team e i componenti di sistema. Limita l'accesso esclusivamente a se necessario. Utilizza i moderni standard di settore per tutte le implementazioni di autenticazione e autorizzazione. Limita e controlla rigorosamente l'accesso non basato sull'identità. |
| ☐ | SE:06 | Crittografare i dati utilizzando metodi moderni e standard del settore per salvaguardare la riservatezza e l'integrità. Allinea l'ambito di crittografia con le classificazioni dei dati e dai priorità ai metodi di crittografia della piattaforma nativa. |
| ☐ | SE:07 | proteggere segreti dell'applicazione rafforzandone l'archiviazione, limitandone l'accesso e la manipolazione e verificando tali azioni. Esegui un processo di rotazione affidabile e regolare in grado di improvvisare rotazioni per le emergenze. |
| ☐ | SE:08 | Implementare una strategia di monitoraggio olistica che si basi su moderni meccanismi di rilevamento delle minacce integrabili con la piattaforma. I meccanismi dovrebbero avvisare in modo affidabile per il triage e inviare segnali ai processi SecOps esistenti. |
| ☐ | SE:09 | Stabilire un regime di test completo che combini approcci per prevenire problemi di sicurezza, convalidare implementazioni di prevenzione delle minacce e testare meccanismi di rilevamento delle minacce. |
| ☐ | SE:10 | Definire e testare procedure efficaci per la gestione degli incidenti risposta che coprano un ampio spettro di incidenti, dai problemi localizzati al ripristino in caso di disastro. Definisci chiaramente quale team o individuo esegue una procedura. |