Elenco di controllo per la progettazione per la sicurezza
Questo elenco di controllo presenta un set di raccomandazioni per la sicurezza per garantire che il carico di lavoro sia sicuro e allineato al modello di Zero Trust. Se non sono state controllate le caselle seguenti e considerate i compromessi, la progettazione potrebbe essere a rischio. Considerare attentamente tutti i punti trattati nell'elenco di controllo per ottenere fiducia nella sicurezza del carico di lavoro.
Elenco di controllo
| Codice | Recommendation | |
|---|---|---|
| ☐ | SE:01 | Stabilire una baseline di sicurezza allineata ai requisiti di conformità, agli standard del settore e alle raccomandazioni sulla piattaforma. Misurare regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla baseline per sostenere o migliorare il comportamento di sicurezza nel tempo. |
| ☐ |
SE:02 SE:02 |
Mantenere un ciclo di vita di sviluppo sicuro usando una catena di fornitura software avanzata, per lo più automatizzata e controllabile. Incorporare una progettazione sicura usando la modellazione delle minacce per proteggere le implementazioni di protezione contro le implementazioni di sicurezza. |
| ☐ | SE:03 | Classificare e applicare in modo coerente etichette di tipo di riservatezza e informazioni su tutti i dati e i sistemi del carico di lavoro coinvolti nell'elaborazione dei dati. Usare la classificazione per influenzare la progettazione, l'implementazione e la priorità della sicurezza del carico di lavoro. |
| ☐ | SE:04 | Creare segmentazione intenzionale e perimetro nella progettazione dell'architettura e nel footprint del carico di lavoro sulla piattaforma. La strategia di segmentazione deve includere reti, ruoli e responsabilità, identità del carico di lavoro e organizzazione delle risorse. |
| ☐ | SE:05 | Implementare una gestione di identità, condizionale e controllo rigorosa e controllabile in tutti gli utenti del carico di lavoro, i membri del team e i componenti di sistema. Limitare l'accesso esclusivamente a quanto necessario. Usare standard di settore moderni per tutte le implementazioni di autenticazione e autorizzazione. Limitare e controllare rigorosamente l'accesso non basato sull'identità. |
| ☐ | SE:06 | Isolare, filtrare e controllare il traffico di rete tra flussi in ingresso e in uscita. Applicare principi approfonditi di difesa usando i controlli di rete localizzati in tutti i limiti di rete disponibili sia nel traffico est-ovest che a nord-sud. |
| ☐ | SE:07 | Crittografare i dati usando metodi moderni e standard del settore per proteggere la riservatezza e l'integrità. Allineare l'ambito di crittografia con le classificazioni dei dati e assegnare priorità ai metodi di crittografia della piattaforma nativa. |
| ☐ | SE:08 | Proteggere tutti i componenti del carico di lavoro riducendo l'area di superficie extraneo e le configurazioni di stringing per aumentare i costi degli utenti malintenzionati. |
| ☐ | SE:09 | Proteggere i segreti dell'applicazione grazie alla protezione avanzata dell'archiviazione e limitare l'accesso e la manipolazione e controllando tali azioni. Eseguire un processo di rotazione affidabile e regolare che può improvvisare rotazioni per le emergenze. |
| ☐ | SE:10 | Implementare una strategia di monitoraggio olistica basata su meccanismi di rilevamento delle minacce moderni che possono essere integrati con la piattaforma. I meccanismi devono avvisare in modo affidabile i processi di valutazione e inviare segnali nei processi SecOps esistenti. |
| ☐ | SE:11 | Stabilire un regime di test completo che combina approcci per prevenire i problemi di sicurezza, convalidare le implementazioni di prevenzione delle minacce e testare i meccanismi di rilevamento delle minacce. |
| ☐ | SE:12 | Definire e testare procedure di risposta agli eventi imprevisti efficaci che coprono uno spettro di eventi imprevisti, da problemi localizzati al ripristino di emergenza. Definire chiaramente quale team o singolo esegue una procedura. |
Passaggi successivi
È consigliabile esaminare i compromessi di sicurezza per esplorare altri concetti.