Lista kontrolna przeglądu projektu dotycząca zabezpieczeń
Ta lista kontrolna przedstawia zestaw zaleceń dotyczących zabezpieczeń, które ułatwiają zapewnienie bezpieczeństwa i dopasowania obciążenia do modelu Zero Trust. Jeśli poniższe pola nie zostały zaznaczone i uznane za kompromisy, projekt może być zagrożony. Należy dokładnie wziąć pod uwagę wszystkie kwestie omówione na liście kontrolnej, aby mieć pewność, że bezpieczeństwo obciążenia.
Lista kontrolna
| Kod | Zalecenie | |
|---|---|---|
| ☐ | SE:01 | Ustanów punkt odniesienia zabezpieczeń zgodny z wymaganiami dotyczącymi zgodności, standardami branżowymi i zaleceniami dotyczącymi platformy. Regularnie mierz architekturę i operacje obciążenia względem punktu odniesienia w celu utrzymania lub poprawy stanu zabezpieczeń w czasie. |
| ☐ |
SE:02 SE:02 |
Zachowaj bezpieczny cykl życia programowania przy użyciu wzmocnionego, głównie zautomatyzowanego i poddawanego inspekcji łańcucha dostaw oprogramowania. Uwzględnij bezpieczny projekt przy użyciu modelowania zagrożeń w celu ochrony przed implementacjami zwalczania zabezpieczeń. |
| ☐ | SE:03 | Klasyfikowanie i spójne stosowanie etykiet poufności i typów informacji na wszystkich danych obciążeń i systemach zaangażowanych w przetwarzanie danych. Klasyfikacja służy do wpływania na projektowanie, implementację i priorytetyzację zabezpieczeń obciążeń. |
| ☐ | SE:04 | Twórz zamierzone segmentacje i obwody w projekcie architektury oraz w śladzie obciążenia na platformie. Strategia segmentacji musi obejmować sieci, role i obowiązki, tożsamości obciążeń i organizację zasobów. |
| ☐ | SE:05 | Implementowanie ścisłej, warunkowej i inspekcji tożsamości i zarządzania dostępem (IAM) we wszystkich użytkownikach obciążeń, członkach zespołu i składnikach systemowych. Ogranicz dostęp wyłącznie do w razie potrzeby. Używaj nowoczesnych standardów branżowych dla wszystkich implementacji uwierzytelniania i autoryzacji. Ogranicz i rygorystycznie przeprowadź inspekcję dostępu, który nie jest oparty na tożsamości. |
| ☐ | SE:06 | Izoluj, filtruj i steruj ruchem sieciowym zarówno w przepływach ruchu przychodzącego, jak i wychodzącego. Stosowanie zasad ochrony w głębi systemu przy użyciu zlokalizowanych mechanizmów kontroli sieci w ogóle dostępnych granic sieci w ruchu północno-zachodnim i północno-południowym. |
| ☐ | SE:07 | Szyfruj dane przy użyciu nowoczesnych, standardowych metod ochrony poufności i integralności. Dopasuj zakres szyfrowania do klasyfikacji danych i określ priorytety metod szyfrowania natywnych platform. |
| ☐ | SE:08 | Wzmacnianie wszystkich składników obciążenia przez zmniejszenie nadmiarowego obszaru powierzchni i zaostrzenie konfiguracji w celu zwiększenia kosztów atakujących. |
| ☐ | SE:09 | Ochrona wpisów tajnych aplikacji przez wzmacnianie ich magazynu oraz ograniczanie dostępu i manipulowania nimi oraz inspekcja tych akcji. Uruchom niezawodny i regularny proces rotacji, który może improwizować rotacje w nagłych wypadkach. |
| ☐ | SE:10 | Zaimplementuj całościową strategię monitorowania , która opiera się na nowoczesnych mechanizmach wykrywania zagrożeń, które można zintegrować z platformą. Mechanizmy powinny niezawodnie powiadamiać o klasyfikacji i wysyłać sygnały do istniejących procesów SecOps. |
| ☐ | SE:11 | Ustanów kompleksowy schemat testowania , który łączy podejścia w celu zapobiegania problemom z zabezpieczeniami, weryfikowaniu implementacji zapobiegania zagrożeniom i testowaniu mechanizmów wykrywania zagrożeń. |
| ☐ | SE:12 | Zdefiniuj i przetestuj efektywne procedury reagowania na zdarzenia , które obejmują spektrum zdarzeń, od zlokalizowanych problemów po odzyskiwanie po awarię. Jasno zdefiniuj, który zespół lub osoba uruchamia procedurę. |
Następne kroki
Zalecamy zapoznanie się z kompromisami dotyczącymi zabezpieczeń, aby zapoznać się z innymi pojęciami.