Eventi
Creare app e agenti di intelligenza artificiale
17 mar, 21 - 21 mar, 10
Partecipa alla serie meetup per creare soluzioni di intelligenza artificiale scalabili basate su casi d'uso reali con altri sviluppatori ed esperti.
Iscriviti subitoElenco di controllo per la progettazione per la sicurezza
Questo elenco di controllo presenta un set di raccomandazioni per la sicurezza per garantire che il carico di lavoro sia sicuro e allineato al modello di Zero Trust. Se non sono state controllate le caselle seguenti e considerate i compromessi, la progettazione potrebbe essere a rischio. Considerare attentamente tutti i punti trattati nell'elenco di controllo per ottenere fiducia nella sicurezza del carico di lavoro.
| Codice | Recommendation | |
|---|---|---|
| ☐ | SE:01 | Stabilire una baseline di sicurezza allineata ai requisiti di conformità, agli standard del settore e alle raccomandazioni sulla piattaforma. Misurare regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla baseline per sostenere o migliorare il comportamento di sicurezza nel tempo. |
| ☐ |
SE:02 SE:02 |
Mantenere un ciclo di vita di sviluppo sicuro usando una catena di fornitura software avanzata, per lo più automatizzata e controllabile. Incorporare una progettazione sicura usando la modellazione delle minacce per proteggere le implementazioni di protezione contro le implementazioni di sicurezza. |
| ☐ | SE:03 | Classificare e applicare in modo coerente etichette di tipo di riservatezza e informazioni su tutti i dati e i sistemi del carico di lavoro coinvolti nell'elaborazione dei dati. Usare la classificazione per influenzare la progettazione, l'implementazione e la priorità della sicurezza del carico di lavoro. |
| ☐ | SE:04 | Creare segmentazione intenzionale e perimetro nella progettazione dell'architettura e nel footprint del carico di lavoro sulla piattaforma. La strategia di segmentazione deve includere reti, ruoli e responsabilità, identità del carico di lavoro e organizzazione delle risorse. |
| ☐ | SE:05 | Implementare una gestione di identità, condizionale e controllo rigorosa e controllabile in tutti gli utenti del carico di lavoro, i membri del team e i componenti di sistema. Limitare l'accesso esclusivamente a quanto necessario. Usare standard di settore moderni per tutte le implementazioni di autenticazione e autorizzazione. Limitare e controllare rigorosamente l'accesso non basato sull'identità. |
| ☐ | SE:06 | Isolare, filtrare e controllare il traffico di rete tra flussi in ingresso e in uscita. Applicare principi approfonditi di difesa usando i controlli di rete localizzati in tutti i limiti di rete disponibili sia nel traffico est-ovest che a nord-sud. |
| ☐ | SE:07 | Crittografare i dati usando metodi moderni e standard del settore per proteggere la riservatezza e l'integrità. Allineare l'ambito di crittografia con le classificazioni dei dati e assegnare priorità ai metodi di crittografia della piattaforma nativa. |
| ☐ | SE:08 | Proteggere tutti i componenti del carico di lavoro riducendo l'area di superficie extraneo e le configurazioni di stringing per aumentare i costi degli utenti malintenzionati. |
| ☐ | SE:09 | Proteggere i segreti dell'applicazione grazie alla protezione avanzata dell'archiviazione e limitare l'accesso e la manipolazione e controllando tali azioni. Eseguire un processo di rotazione affidabile e regolare che può improvvisare rotazioni per le emergenze. |
| ☐ | SE:10 | Implementare una strategia di monitoraggio olistica basata su meccanismi di rilevamento delle minacce moderni che possono essere integrati con la piattaforma. I meccanismi devono avvisare in modo affidabile i processi di valutazione e inviare segnali nei processi SecOps esistenti. |
| ☐ | SE:11 | Stabilire un regime di test completo che combina approcci per prevenire i problemi di sicurezza, convalidare le implementazioni di prevenzione delle minacce e testare i meccanismi di rilevamento delle minacce. |
| ☐ | SE:12 | Definire e testare procedure di risposta agli eventi imprevisti efficaci che coprono uno spettro di eventi imprevisti, da problemi localizzati al ripristino di emergenza. Definire chiaramente quale team o singolo esegue una procedura. |
È consigliabile esaminare i compromessi di sicurezza per esplorare altri concetti.
Risorse aggiuntive
Formazione
Modulo
Progettare soluzioni per la protezione delle applicazioni - Training
Si apprenderà come proteggere le applicazioni, le API e il processo di sviluppo usando tecniche come la gestione della postura, la modellazione delle minacce e l'accesso sicuro per le identità dei carichi di lavoro.
Certificazione
Microsoft Certified: Azure Security Engineer Associate - Certifications
Dimostrare di possedere le competenze necessarie per implementare i controlli di sicurezza, gestire la postura di sicurezza di un'organizzazione e identificare e correggere le vulnerabilità della sicurezza.