Poprzednie

Następne

Krok 4. Weryfikacja

Ukończone

Faza weryfikacji to ostatni krok procesu modelowania zagrożeń, który często występuje przed wdrożeniem systemu. W ramach tej fazy weryfikowane są założenia oraz sprawdzany jest stopień spełnienia wymagań i gotowość do użycia mechanizmów kontroli zabezpieczeń.

Cele

• Upewnij się, że system spełnia wszystkie poprzednie i nowe wymagania dotyczące zabezpieczeń
• Skonfigurowanie dostawcy usług w chmurze, systemu operacyjnego i składników w taki sposób, aby spełnić wymagania dotyczące zabezpieczeń
• Upewnij się, że wszystkie problemy zostały rozwiązane przy użyciu odpowiednich mechanizmów kontroli zabezpieczeń
• Przejmij system przez ręczną i zautomatyzowaną weryfikację przed wdrożeniem

Ważne

Jeśli nie ukończysz tej fazy, nie będziesz w stanie sprawdzić, czy praca włożona w zabezpieczenia została pomyślnie ukończona.

Weryfikowanie wymagań i ustawianie wartości domyślnych

Zacznij od sprawdzenia, czy zostały spełnione wszystkie wymagania utworzone w pierwszej fazie.

Przykłady:

• Plany zabezpieczeń sieci
• Implementacja rozwiązania do zarządzania wpisami tajnymi
• Rejestrowanie i monitorowanie systemów
• Tożsamości i kontrola dostępu

Następnie pamiętaj, aby zmienić wszystkie domyślne ustawienia konfiguracji od dostawcy chmury, systemu operacyjnego i składników, aby spełnić wszystkie wymagania dotyczące zabezpieczeń.

Przykłady:

• Włącz funkcję Transparent Data Encryption usługi Azure SQL Database, aby chronić dane na dysku
• Przypisz uprawnienia do użytkowników, grup i aplikacji przy użyciu kontroli dostępu opartej na rolach (RBAC)
• Włącz Zaporę systemu Windows dla wszystkich profilów

Należy rozwiązać wszystkie problemy zarejestrowane w rozwiązaniu do zarządzania usterek. Sprawdź wszystkie poprawki.

Uruchamianie weryfikacji

Ostatnia część obejmuje ręczną i automatyczną weryfikację. W firmie Microsoft systemy podlegają procesowi weryfikacji przed wdrożeniem. Proces może obejmować zautomatyzowane skanery, przeglądy kodu i testy penetracyjne. Ten proces można wymusić przed każdym wdrożeniem lub w przedziałach czasowych, na przykład co 6–12 miesięcy.

Jeśli odpowiesz tak na dowolne z następujących pytań, możesz chcieć mieć krótsze cykle weryfikacji:

• Czy mój system będzie używany zewnętrznie?
• Czy są w nim obsługiwane poufne dane?
• Czy muszę zapewnić zgodność z przepisami?
• Czy moja organizacja wymaga dodatkowych procesów zabezpieczeń, takich jak implikacje dotyczące prywatności, ryzyko operacyjne lub wymagania programistyczne?

Sprawdź swoją wiedzę

1.

Co się dzieje w fazie weryfikacji?

Implementujesz listę odpowiednich mechanizmów kontroli zabezpieczeń, które zmniejszają lub eliminują ryzyko.

Kod jest sprawdzany ręcznie przed wypchnięciem do gałęzi przemieszczania w celu jego wdrożenia.

System jest weryfikowany ręcznie lub automatycznie pod kątem wcześniej wygenerowanych zagrożeń w celu sprawdzenia, czy mechanizmy kontroli zabezpieczeń zmniejszyły lub wyeliminowały ryzyko.

Sprawdź swoje odpowiedzi

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.

Kontynuuj