רשימת המלצות לאבטחה
רשימת בדיקה זו מציגה קבוצה של המלצות אבטחה שיעזרו לך להבטיח שעומס העבודה שלך מאובטח. אי-בדיקת רשימת הבדיקה ושקלול הפשרות הנלוות, עלול לחשוף את התכנון שלך לסיכונים פוטנציאליים. יש לבצע הערכה ביסודית של כל ההיבטים המפורטים ברשימת הבדיקה כדי לשפר את הביטחון שלך באבטחת עומס העבודה שלך.
רשימת פעולות לביצוע
| קוד | המלצה | |
|---|---|---|
| ☐ | SE:01 | יש לקבוע הגדרות בסיס לאבטחה המותאמות לדרישות התאימות, תקני התעשייה והמלצות הפלטפורמה. יש למדוד באופן קבוע את ארכיטקטורת עומס העבודה והתפעול שלך מול הגדרות הבסיס כדי לקיים או לשפר את מצב האבטחה הכללי שלך לאורך זמן. |
| ☐ | SE:02 SE:02 |
שמירה על מחזור חיים מאובטח של פיתוח על ידי שימוש בשרשרת אספקת תוכנה מוקשחת, אוטומטית ברובה וניתנת לביקורת. יש לשלב תכנון מאובטח על ידי שימוש במידול איומים כדי להגן מפני יישומים המבטלים את האבטחה. |
| ☐ | SE:03 | יש לסווג ולהחיל באופן עקבי תוויות רגישות וסוגי מידע לנתוני עומס העבודה והמערכות המעורבות בעיבוד נתונים. השתמש בסיווג כדי להשפיע על התכנון, היישום ותעדוף האבטחה של עומס העבודה. |
| ☐ | SE:04 | יש ליצור פילוח והיקפים מכוונים בתכנון הארכיטקטורה שלך ובטביעת הרגל של עומס העבודה על הפלטפורמה. אסטרטגיית הפילוח חייבת לכלול רשתות, תפקידים ואחריות, זהויות עומס עבודה וארגון משאבים. |
| ☐ | SE:05 | יש להטמיע ניהול זהויות וגישה קפדנית, מותנית וניתנת לביקורת (IAM) בכל משתמשי עומס העבודה, חברי הצוות ורכיבי המערכת. יש להגביל גישה בלעדית ללפי הצורך. יש להשתמש בתקני תעשייה מודרניים עבור כל יישומי האימות וההרשאות. יש להגביל גישה ולבקר בקפדנות גישה שאינה מבוססת על זהות. |
| ☐ | SE:06 | יש להצפין נתונים באמצעות שיטות מודרניות סטנדרטיות בתעשייה כדי לשמור על סודיות ושלמות. יש להתאים את היקף ההצפנה עם סיווגי נתונים, ולתת עדיפות לשיטות הצפנה של פלטפורמה מקורית. |
| ☐ | SE:07 | יש להגן על סודות של אפליקציות על ידי הקשחת האחסון שלהם והגבלת הגישה והמניפולציה ועל ידי ביצוע ביקורת על פעולות אלו. יש להפעיל תהליך רוטציה אמין וקבוע שיכול לאלתר רוטציות למקרי חירום. |
| ☐ | SE:08 | יש להטמיע אסטרטגיית ניטור הוליסטית המסתמכת על מנגנוני זיהוי איומים מודרניים הניתנים לשילוב עם הפלטפורמה. מנגנונים צריכים להתריע באופן מהימן על קביעת סדר עדיפויות ולשלוח אותות לתהליכי SecOps קיימים. |
| ☐ | SE:09 | קבע משטר בדיקות מקיף המשלב גישות למניעת בעיות אבטחה, אימות יישומי מניעת איומים ובדיקת מנגנוני זיהוי איומים. |
| ☐ | SE:10 | יש להגדיר ולבדוק נוהלי תגובה יעילים לאירועים מסוגים שונים, החל מבעיות מקומיות ועד התאוששות מאסון. יש להגידר בבירור איזה צוות או אדם מנהל נוהל. |
השלבים הבאים
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור