Compartilhar via


Lista de verificação de revisão de design para Segurança

Esta lista de verificação apresenta um conjunto de recomendações de segurança para ajudá-lo a garantir que sua carga de trabalho esteja segura e alinhada com o modelo de Confiança Zero. Se você não tiver marcado as caixas a seguir e considerado as compensações, seu design poderá estar em risco. Considere cuidadosamente todos os pontos abordados na lista de verificação para ganhar confiança na segurança da carga de trabalho.

Lista de verificação

  Código Recomendação
SE:01 Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Meça regularmente sua arquitetura e operações de carga de trabalho em relação à linha de base para sustentar ou melhorar sua postura de segurança ao longo do tempo.
SE:02
SE:02
Mantenha um ciclo de vida de desenvolvimento seguro usando uma cadeia de fornecimento de software protegida, principalmente automatizada e auditável. Incorpore um design seguro usando a modelagem de ameaças para proteger contra implementações que derrotam a segurança.
SE:03 Classifique e aplique consistentemente rótulos de tipo de confidencialidade e informações em todos os dados de carga de trabalho e sistemas envolvidos no processamento de dados. Use a classificação para influenciar o design, a implementação e a priorização de segurança da carga de trabalho.
SE:04 Crie segmentação intencional e perímetros em seu design de arquitetura e no volume da carga de trabalho na plataforma. A estratégia de segmentação deve incluir redes, funções e responsabilidades, identidades de carga de trabalho e organização de recursos.
SE:05 Implemente o IAM (gerenciamento de identidade e acesso) estrito, condicional e auditável em todos os usuários de carga de trabalho, membros da equipe e componentes do sistema. Limite o acesso exclusivamente a conforme necessário. Use padrões modernos do setor para todas as implementações de autenticação e autorização. Restrinja e audite rigorosamente o acesso que não se baseia na identidade.
SE:06 Isole, filtre e controle o tráfego de rede entre fluxos de entrada e saída. Aplique princípios de defesa em profundidade usando controles de rede localizados em todos os limites de rede disponíveis no tráfego leste-oeste e norte-sul.
SE:07 Criptografar dados usando métodos modernos e padrão do setor para proteger a confidencialidade e a integridade. Alinhe o escopo de criptografia com as classificações de dados e priorize os métodos de criptografia da plataforma nativa.
SE:08 Proteja todos os componentes da carga de trabalho reduzindo a área de superfície desnecessária e reforçando as configurações para aumentar o custo do invasor.
SE:09 Proteja os segredos do aplicativo protegendo seu armazenamento e restringindo o acesso e a manipulação e auditando essas ações. Execute um processo de rotação confiável e regular que possa improvisar rotações para emergências.
SE:10 Implemente uma estratégia de monitoramento holística que se baseia em mecanismos modernos de detecção de ameaças que podem ser integrados à plataforma. Os mecanismos devem alertar de forma confiável para triagem e enviar sinais para processos de SecOps existentes.
SE:11 Estabeleça um regime de teste abrangente que combine abordagens para evitar problemas de segurança, validar implementações de prevenção contra ameaças e testar mecanismos de detecção de ameaças.
SE:12 Defina e teste procedimentos eficazes de resposta a incidentes que abrangem um espectro de incidentes, desde problemas localizados até recuperação de desastre. Defina claramente qual equipe ou indivíduo executa um procedimento.

Próximas etapas

Recomendamos que você examine as compensações de segurança para explorar outros conceitos.