Lista kontrolna zaleceń dotyczących zabezpieczeń
Ta lista kontrolna przedstawia zestaw zaleceń zabezpieczeń zapewniających bezpieczeństwo obciążenia. Jeśli nie przejrzysz listy kontrolnej i nie rozważysz skojarzonych z nią transakcji, możesz udostępnić projekt potencjalnym zagrożeniom. Należy dokładnie ocenić wszystkie aspekty wymienione na liście kontrolnej, aby zwiększyć bezpieczeństwo obciążenia.
Lista kontrolna
| Kod | Rekomendacja | |
|---|---|---|
| ☐ | SE:01 | Ustanów punkt odniesienia zabezpieczeń, który jest zgodny z wymaganiami dotyczącymi zgodności, standardami branżowymi i zaleceniami dotyczącymi platformy. Regularnie sprawdzaj architekturę i operacje obciążenia w stosunku do planu bazowego, aby zapewnić obsługi lub poprawić bezpieczeństwo w czasie. |
| ☐ | SE:02 SE:02 |
Utrzymuj bezpieczny cykl życia programowania, korzystając ze wzmocnionego, w większości zautomatyzowanego i podlegającego audytowi łańcucha dostaw oprogramowania. Bezpieczne projektowanie można wykorzystać przy użyciu modelowania zagrożeń w celu zabezpieczenia przed implementacjami korzystającymi z zabezpieczeń. |
| ☐ | SE:03 | Klasyfikuj i konsekwentnie stosuj etykiety ważności i typów informacji do wszystkich danych obciążeń i systemów zaangażowanych w przetwarzanie danych. Klasyfikacja może mieć wpływ na projekt obciążenia, implementację i priorytety zabezpieczeń. |
| ☐ | SE:04 | Twórz celowe segmentacje i obwody w projekcie architektury oraz w śladzie obciążenia na platformie. Strategia segmentowania musi obejmować sieci, role i obowiązki, tożsamości w zakresie obciążenia i organizację zasobów. |
| ☐ | SE:05 | Implementuj ścisłe, warunkowe i podlegające inspekcji zarządzanie tożsamością i dostępem (IAM) dla wszystkich użytkowników, członków zespołu i składników systemu. Dostęp można ograniczyć wyłącznie do niezbędnych potrzeb. Użyj nowoczesnych standardów branżowych dla wszystkich implementacji uwierzytelniania i autoryzacji. Ogranicz i rygorystycznie badaj dostęp, który nie jest oparty na tożsamości. |
| ☐ | SE:06 | Szyfruj dane przy użyciu nowoczesnych, zgodnych ze standardami branżowymi metod ochrony poufności i integralności. Wyrównaj zakres szyfrowania z klasyfikacjami danych i priorytetyzuj macierzyste metody szyfrowania platformy. |
| ☐ | SE:07 | Chronić wpisy tajne aplikacji, wzmacniając ich pamięć masową oraz ograniczając dostęp i manipulację, a także przeprowadzając inspekcję tych akcji. Uruchom niezawodny i regularnie przetwarzany proces, który może improwizować rotacje w sytuacjach awaryjnych. |
| ☐ | SE:08 | Zaimplementuj holistyczną strategię monitorowania, która opiera się na nowoczesnych mechanizmach wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie ostrzegać przed klasyfikacją i wysyłać sygnały do istniejących procesów SecOps. |
| ☐ | SE:09 | Ustanów kompleksowy schemat testowania, który łączy podejścia do zapobiegania problemom z zabezpieczeniami, weryfikowania implementacji zapobiegania zagrożeniom i testowania mechanizmów wykrywania zagrożeń. |
| ☐ | SE:10 | Definiuj i testuj skuteczne procedury odpowiedzi na incydenty, które obejmują spektrum incydentów, od zlokalizowanych problemów po odzyskiwanie po awarii. Określ jasno, który zespół lub poszczególne osoby uruchamiają procedurę. |