Udostępnij za pośrednictwem


Lista kontrolna przeglądu projektu dotycząca zabezpieczeń

Ta lista kontrolna przedstawia zestaw zaleceń dotyczących zabezpieczeń, które ułatwiają zapewnienie bezpieczeństwa i dopasowania obciążenia do modelu Zero Trust. Jeśli poniższe pola nie zostały zaznaczone i uznane za kompromisy, projekt może być zagrożony. Należy dokładnie wziąć pod uwagę wszystkie kwestie omówione na liście kontrolnej, aby mieć pewność, że bezpieczeństwo obciążenia.

Lista kontrolna

  Kod Zalecenie
SE:01 Ustanów punkt odniesienia zabezpieczeń zgodny z wymaganiami dotyczącymi zgodności, standardami branżowymi i zaleceniami dotyczącymi platformy. Regularnie mierz architekturę i operacje obciążenia względem punktu odniesienia w celu utrzymania lub poprawy stanu zabezpieczeń w czasie.
SE:02
SE:02
Zachowaj bezpieczny cykl życia programowania przy użyciu wzmocnionego, głównie zautomatyzowanego i poddawanego inspekcji łańcucha dostaw oprogramowania. Uwzględnij bezpieczny projekt przy użyciu modelowania zagrożeń w celu ochrony przed implementacjami zwalczania zabezpieczeń.
SE:03 Klasyfikowanie i spójne stosowanie etykiet poufności i typów informacji na wszystkich danych obciążeń i systemach zaangażowanych w przetwarzanie danych. Klasyfikacja służy do wpływania na projektowanie, implementację i priorytetyzację zabezpieczeń obciążeń.
SE:04 Twórz zamierzone segmentacje i obwody w projekcie architektury oraz w śladzie obciążenia na platformie. Strategia segmentacji musi obejmować sieci, role i obowiązki, tożsamości obciążeń i organizację zasobów.
SE:05 Implementowanie ścisłej, warunkowej i inspekcji tożsamości i zarządzania dostępem (IAM) we wszystkich użytkownikach obciążeń, członkach zespołu i składnikach systemowych. Ogranicz dostęp wyłącznie do w razie potrzeby. Używaj nowoczesnych standardów branżowych dla wszystkich implementacji uwierzytelniania i autoryzacji. Ogranicz i rygorystycznie przeprowadź inspekcję dostępu, który nie jest oparty na tożsamości.
SE:06 Izoluj, filtruj i steruj ruchem sieciowym zarówno w przepływach ruchu przychodzącego, jak i wychodzącego. Stosowanie zasad ochrony w głębi systemu przy użyciu zlokalizowanych mechanizmów kontroli sieci w ogóle dostępnych granic sieci w ruchu północno-zachodnim i północno-południowym.
SE:07 Szyfruj dane przy użyciu nowoczesnych, standardowych metod ochrony poufności i integralności. Dopasuj zakres szyfrowania do klasyfikacji danych i określ priorytety metod szyfrowania natywnych platform.
SE:08 Wzmacnianie wszystkich składników obciążenia przez zmniejszenie nadmiarowego obszaru powierzchni i zaostrzenie konfiguracji w celu zwiększenia kosztów atakujących.
SE:09 Ochrona wpisów tajnych aplikacji przez wzmacnianie ich magazynu oraz ograniczanie dostępu i manipulowania nimi oraz inspekcja tych akcji. Uruchom niezawodny i regularny proces rotacji, który może improwizować rotacje w nagłych wypadkach.
SE:10 Zaimplementuj całościową strategię monitorowania , która opiera się na nowoczesnych mechanizmach wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie powiadamiać o klasyfikacji i wysyłać sygnały do istniejących procesów SecOps.
SE:11 Ustanów kompleksowy schemat testowania , który łączy podejścia w celu zapobiegania problemom z zabezpieczeniami, weryfikowaniu implementacji zapobiegania zagrożeniom i testowaniu mechanizmów wykrywania zagrożeń.
SE:12 Zdefiniuj i przetestuj efektywne procedury reagowania na zdarzenia , które obejmują spektrum zdarzeń, od zlokalizowanych problemów po odzyskiwanie po awarię. Jasno zdefiniuj, który zespół lub osoba uruchamia procedurę.

Następne kroki

Zalecamy zapoznanie się z kompromisami dotyczącymi zabezpieczeń, aby zapoznać się z innymi pojęciami.