Контрольный список для проверки разработки для обеспечения безопасности
Этот контрольный список содержит набор рекомендаций по безопасности, которые помогут обеспечить безопасность рабочей нагрузки и соответствие модели "Никому не доверяй". Если вы не проверили следующие флажки и не рассмотрели компромиссы, то ваша конструкция может оказаться под угрозой. Тщательно продумайте все аспекты, описанные в контрольном списке, чтобы получить уверенность в безопасности рабочей нагрузки.
Контрольный список
| Код | Рекомендация | |
|---|---|---|
| ☐ | SE:01 | Создайте базовые показатели безопасности в соответствии с требованиями соответствия, отраслевыми стандартами и рекомендациями по платформе. Регулярно измеряйте архитектуру и операции рабочей нагрузки по базовым показателям, чтобы поддерживать или улучшать состояние безопасности с течением времени. |
| ☐ |
SE:02 SE:02 |
Поддерживайте безопасный жизненный цикл разработки с помощью защищенной, в основном автоматизированной и проверяемой цепочки поставок программного обеспечения. Используйте безопасную структуру, используя моделирование угроз для защиты от реализации системы безопасности. |
| ☐ | SE:03 | Классифицируйте и последовательно применяйте метки конфиденциальности и типа информации ко всем данным рабочей нагрузки и системам, участвующим в обработке данных. Используйте классификацию для влияния на проектирование, реализацию и определение приоритетов безопасности рабочей нагрузки. |
| ☐ | SE:04 | Создайте преднамеренную сегментацию и периметры в архитектуре и в рабочей нагрузке, занимаемой на платформе. Стратегия сегментации должна включать сети, роли и обязанности, удостоверения рабочей нагрузки и организацию ресурсов. |
| ☐ | SE:05 | Реализуйте строгое, условное и проверяемое управление удостоверениями и доступом (IAM) для всех пользователей рабочей нагрузки, участников команды и системных компонентов. При необходимости ограничьте доступ только до . Используйте современные отраслевые стандарты для всех реализаций проверки подлинности и авторизации. Ограничение и строгий аудит доступа, который не основан на удостоверении. |
| ☐ | SE:06 | Изолируйте, фильтруйте и управляйте сетевым трафиком в потоках входящего и исходящего трафика. Применяйте принципы глубокой защиты, используя локализованные элементы управления сетью на всех доступных сетевых границах трафика между востоком и западом и севером и югом. |
| ☐ | SE:07 | Шифрование данных с помощью современных стандартных отраслевых методов для защиты конфиденциальности и целостности. Согласование область шифрования с классификациями данных и определение приоритетов собственных методов шифрования платформы. |
| ☐ | SE:08 | Усиление защиты всех компонентов рабочей нагрузки путем уменьшения посторонней контактной зоны и ужесточения конфигураций для увеличения затрат на злоумышленников. |
| ☐ | SE:09 | Защита секретов приложений путем усиления защиты их хранилища, ограничения доступа и манипуляций, а также путем аудита этих действий. Запустите надежный и регулярный процесс ротации, который может импровизировать ротацию для чрезвычайных ситуаций. |
| ☐ | SE:10 | Реализуйте целостную стратегию мониторинга , основанную на современных механизмах обнаружения угроз, которые можно интегрировать с платформой. Механизмы должны надежно оповещать о рассмотрении и отправлять сигналы в существующие процессы SecOps. |
| ☐ | SE:11 | Создайте комплексный режим тестирования , который сочетает в себе подходы к предотвращению проблем безопасности, проверке реализаций защиты от угроз и тестированию механизмов обнаружения угроз. |
| ☐ | SE:12 | Определите и протестируйте эффективные процедуры реагирования на инциденты , охватывающие широкий спектр инцидентов, от локализованных проблем до аварийного восстановления. Четко определите, какая команда или отдельный пользователь выполняет процедуру. |
Дальнейшие действия
Мы рекомендуем ознакомиться с компромиссами в области безопасности, чтобы изучить другие понятия.