다음을 통해 공유


보안에 대한 디자인 검토 검사 목록

이 검사 목록은 워크로드가 안전하고 제로 트러스트 모델에 맞게 조정되도록 하는 데 도움이 되는 보안 권장 사항 집합을 제공합니다. 다음 상자를 선택하지 않았고 절충을 고려한 경우 디자인이 위험할 수 있습니다. 워크로드의 보안에 대한 확신을 얻기 위해 검사 목록에 포함된 모든 사항을 신중하게 고려합니다.

검사 목록

  코드 권장
SE:01 규정 준수 요구 사항, 업계 표준 및 플랫폼 권장 사항에 부합하는 보안 기준을 설정합니다. 시간이 지남에 따라 보안 태세를 유지하거나 개선하기 위해 기준에 따라 워크로드 아키텍처 및 작업을 정기적으로 측정합니다.
SE:02
SE:02
강화되고 대부분 자동화되고 감사 가능한 소프트웨어 공급망을 사용하여 안전한 개발 수명 주기를 유지 관리합니다. 위협 모델링을 사용하여 보안 패배 구현으로부터 보호하여 보안 디자인을 통합합니다.
SE:03 데이터 처리와 관련된 모든 워크로드 데이터 및 시스템에 민감도 및 정보 유형 레이블을 분류하고 일관되게 적용합니다. 분류를 사용하여 워크로드 디자인, 구현 및 보안 우선 순위 지정에 영향을 미칩니다.
SE:04 아키텍처 디자인 및 플랫폼의 워크로드 공간에서 의도적인 세분화 및 경계를 만듭니다. 세분화 전략에는 네트워크, 역할 및 책임, 워크로드 ID 및 리소스 organization 포함되어야 합니다.
SE:05 모든 워크로드 사용자, 팀 구성원 및 시스템 구성 요소에서 엄격하고 조건부이며 감사 가능한 IAM(ID 및 액세스 관리)을 구현합니다. 필요에 따라 액세스를 로만 제한합니다. 모든 인증 및 권한 부여 구현에 최신 산업 표준을 사용합니다. ID를 기반으로 하지 않는 액세스를 제한하고 엄격하게 감사합니다.
SE:06 수신 흐름과 송신 흐름 모두에서 네트워크 트래픽을 격리, 필터링 및 제어합니다. 동서 및 남북 트래픽에 걸쳐 사용 가능한 모든 네트워크 경계에서 지역화된 네트워크 제어를 사용하여 심층 방어 원칙을 적용합니다.
SE:07 최신 업계 표준 방법을 사용하여 기밀 성과 무결성을 보호하여 데이터를 암호화합니다. 암호화 scope 데이터 분류에 맞게 조정하고 네이티브 플랫폼 암호화 방법의 우선 순위를 지정합니다.
SE:08 불필요한 노출 영역을 줄이고 구성을 강화하여 공격자 비용을 증가시켜 모든 워크로드 구성 요소를 강화합니다.
SE:09 스토리지를 강화하고 액세스 및 조작을 제한하고 해당 작업을 감사하여 애플리케이션 비밀을 보호합니다. 비상 시 회전을 즉석에서 수행할 수 있는 안정적이고 정기적인 회전 프로세스를 실행합니다.
SE:10 플랫폼과 통합할 수 있는 최신 위협 탐지 메커니즘을 사용하는 전체적인 모니터링 전략을 구현합니다. 메커니즘은 심사를 안정적으로 경고하고 기존 SecOps 프로세스로 신호를 보내야 합니다.
SE:11 보안 문제를 방지하고, 위협 방지 구현의 유효성을 검사하고, 위협 탐지 메커니즘을 테스트하는 방법을 결합하는 포괄적인 테스트 처방을 설정합니다.
SE:12 지역화된 문제에서 재해 복구에 이르기까지 다양한 인시던트 범위를 다루는 효과적인 인시던트 대응 절차를 정의하고 테스트합니다. 프로시저를 실행하는 팀 또는 개인을 명확하게 정의합니다.

다음 단계

보안 절충을 검토하여 다른 개념을 살펴보는 것이 좋습니다.