Krok 4. Weryfikacja
Faza weryfikacji to ostatni krok procesu modelowania zagrożeń, który często występuje przed wdrożeniem systemu. W ramach tej fazy weryfikowane są założenia oraz sprawdzany jest stopień spełnienia wymagań i gotowość do użycia mechanizmów kontroli zabezpieczeń.
Cele
- Upewnij się, że system spełnia wszystkie poprzednie i nowe wymagania dotyczące zabezpieczeń
- Skonfigurowanie dostawcy usług w chmurze, systemu operacyjnego i składników w taki sposób, aby spełnić wymagania dotyczące zabezpieczeń
- Upewnij się, że wszystkie problemy zostały rozwiązane przy użyciu odpowiednich mechanizmów kontroli zabezpieczeń
- Przejmij system przez ręczną i zautomatyzowaną weryfikację przed wdrożeniem
Ważne
Jeśli nie ukończysz tej fazy, nie będziesz w stanie sprawdzić, czy praca włożona w zabezpieczenia została pomyślnie ukończona.
Weryfikowanie wymagań i ustawianie wartości domyślnych
Zacznij od sprawdzenia, czy zostały spełnione wszystkie wymagania utworzone w pierwszej fazie.
Przykłady:
- Plany zabezpieczeń sieci
- Implementacja rozwiązania do zarządzania wpisami tajnymi
- Rejestrowanie i monitorowanie systemów
- Tożsamości i kontrola dostępu
Następnie pamiętaj, aby zmienić wszystkie domyślne ustawienia konfiguracji od dostawcy chmury, systemu operacyjnego i składników, aby spełnić wszystkie wymagania dotyczące zabezpieczeń.
Przykłady:
- Włącz funkcję Transparent Data Encryption usługi Azure SQL Database, aby chronić dane na dysku
- Przypisz uprawnienia do użytkowników, grup i aplikacji przy użyciu kontroli dostępu opartej na rolach (RBAC)
- Włącz Zaporę systemu Windows dla wszystkich profilów
Należy rozwiązać wszystkie problemy zarejestrowane w rozwiązaniu do zarządzania usterek. Sprawdź wszystkie poprawki.
Uruchamianie weryfikacji
Ostatnia część obejmuje ręczną i automatyczną weryfikację. W firmie Microsoft systemy podlegają procesowi weryfikacji przed wdrożeniem. Proces może obejmować zautomatyzowane skanery, przeglądy kodu i testy penetracyjne. Ten proces można wymusić przed każdym wdrożeniem lub w przedziałach czasowych, na przykład co 6–12 miesięcy.
Jeśli odpowiesz tak na dowolne z następujących pytań, możesz chcieć mieć krótsze cykle weryfikacji:
- Czy mój system będzie używany zewnętrznie?
- Czy są w nim obsługiwane poufne dane?
- Czy muszę zapewnić zgodność z przepisami?
- Czy moja organizacja wymaga dodatkowych procesów zabezpieczeń, takich jak implikacje dotyczące prywatności, ryzyko operacyjne lub wymagania programistyczne?