Lista de comprobación de revisión de diseño para seguridad
Artículo
Esta lista de comprobación presenta un conjunto de recomendaciones de seguridad que le ayudarán a garantizar que la carga de trabajo sea segura y se alinee con el modelo de Confianza cero. Si no ha activado las casillas siguientes y ha considerado los inconvenientes, el diseño podría estar en riesgo. Considere detenidamente todos los puntos descritos en la lista de comprobación para obtener confianza en la seguridad de la carga de trabajo.
Establezca una línea base de seguridad que esté alineada con los requisitos de cumplimiento, los estándares del sector y las recomendaciones de la plataforma. Mida regularmente la arquitectura y las operaciones de carga de trabajo con respecto a la línea base para mantener o mejorar la posición de seguridad con el tiempo.
Mantenga un ciclo de vida de desarrollo seguro mediante una cadena de suministro de software protegida, principalmente automatizada y auditable. Incorpore un diseño seguro mediante el modelado de amenazas para proteger contra las implementaciones de derrota de seguridad.
Clasificar y aplicar de forma coherente etiquetas de tipo de información y confidencialidad en todos los datos de carga de trabajo y sistemas implicados en el procesamiento de datos. Use la clasificación para influir en el diseño, la implementación y la priorización de seguridad de la carga de trabajo.
Cree la segmentación intencionada y los perímetros en el diseño de la arquitectura y en la superficie de la carga de trabajo en la plataforma. La estrategia de segmentación debe incluir redes, roles y responsabilidades, identidades de carga de trabajo y organización de recursos.
Implemente la administración estricta, condicional y auditable de identidades y acceso (IAM) en todos los usuarios de carga de trabajo, miembros del equipo y componentes del sistema. Limite el acceso exclusivamente a según sea necesario. Use estándares modernos del sector para todas las implementaciones de autenticación y autorización. Restrinja y audite rigurosamente el acceso que no se basa en la identidad.
Aísle, filtre y controle el tráfico de red en los flujos de entrada y salida. Aplique principios de defensa en profundidad mediante el uso de controles de red localizados en todos los límites de red disponibles en el tráfico este-oeste y norte-sur.
Cifre los datos mediante métodos modernos estándar del sector para proteger la confidencialidad y la integridad. Alinee el ámbito de cifrado con clasificaciones de datos y priorice los métodos de cifrado de plataforma nativa.
Proteja todos los componentes de carga de trabajo reduciendo el área expuesta extraña y ajustando las configuraciones para aumentar el costo del atacante.
Proteja los secretos de aplicación protegiendo su almacenamiento y restringiendo el acceso y la manipulación y auditando esas acciones. Ejecute un proceso de rotación confiable y regular que pueda improvisar rotaciones para emergencias.
Implemente una estrategia de supervisión holística que se base en mecanismos de detección de amenazas modernos que se pueden integrar con la plataforma. Los mecanismos deben alertar de forma confiable para evaluar la evaluación de prioridades y enviar señales a los procesos de SecOps existentes.
Establezca un régimen de pruebas completo que combine enfoques para evitar problemas de seguridad, validar las implementaciones de prevención de amenazas y probar los mecanismos de detección de amenazas.
Defina y pruebe los procedimientos de respuesta a incidentes eficaces que cubren un espectro de incidentes, desde problemas localizados hasta la recuperación ante desastres. Defina claramente qué equipo o individuo ejecuta un procedimiento.
Pasos siguientes
Se recomienda revisar los inconvenientes de seguridad para explorar otros conceptos.
Demuestra las aptitudes necesarias para implementar controles de seguridad, mantener una posición de seguridad de la organización e identificar y corregir los puntos vulnerables de seguridad.