Kontrolní seznam kontroly návrhu pro zabezpečení
Tento kontrolní seznam obsahuje sadu doporučení zabezpečení, která vám pomůžou zajistit, aby vaše úlohy byly zabezpečené a v souladu s modelem nulová důvěra (Zero Trust). Pokud jste nezaškrtli následující políčka a zvážili kompromisy, může být váš návrh ohrožen. Pečlivě zvažte všechny body uvedené v kontrolním seznamu, abyste získali důvěru v zabezpečení vašich úloh.
Kontrolní seznam
| Kód | Doporučení | |
|---|---|---|
| ☐ | SE:01 | Vytvořte standardní hodnoty zabezpečení , které odpovídají požadavkům na dodržování předpisů, oborovým standardům a doporučením platforem. Pravidelně měřte architekturu a provoz úloh oproti standardním hodnotám, abyste udrželi nebo vylepšili stav zabezpečení v průběhu času. |
| ☐ | SE:02 SE:02 |
Udržujte zabezpečený životní cyklus vývoje pomocí posíleného, většinou automatizovaného a auditovatelného dodavatelského řetězce softwaru. Začlenit zabezpečený návrh s využitím modelování hrozeb k ochraně před implementacemi, které mají dopad na zabezpečení. |
| ☐ | SE:03 | Klasifikovat a konzistentně používat popisky citlivosti a typů informací u všech dat úloh a systémů zapojených do zpracování dat. Pomocí klasifikace můžete ovlivnit návrh úloh, implementaci a stanovení priorit zabezpečení. |
| ☐ | SE:04 | Vytvořte záměrnou segmentaci a hranice v návrhu architektury a v závislosti na využití úloh na platformě. Strategie segmentace musí zahrnovat sítě, role a zodpovědnosti, identity úloh a organizaci prostředků. |
| ☐ | SE:05 | Implementujte striktní, podmíněnou a auditovatelnou správu identit a přístupu (IAM) pro všechny uživatele úloh, členy týmu a systémové komponenty. Podle potřeby omezte přístup výhradně na . Pro všechny implementace ověřování a autorizace používejte moderní oborové standardy. Omezte a pečlivě auditujte přístup, který není založený na identitě. |
| ☐ | SE:06 | Izolace, filtrování a řízení síťového provozu mezi příchozím i odchozím toky. Použití principů hloubkové ochrany pomocí lokalizovaných síťových ovládacích prvků na všech dostupných síťových hranicích napříč provozem východ-západ i sever-jih. |
| ☐ | SE:07 | Zašifrujte data pomocí moderních standardních metod , které chrání důvěrnost a integritu. Srovnejte rozsah šifrování s klasifikacemi dat a určete prioritu metod šifrování nativní platformy. |
| ☐ | SE:08 | Zpevnit všechny součásti úloh zmenšením nadbytečné plochy a zpřísněním konfigurací pro zvýšení nákladů útočníka. |
| ☐ | ČV:09 | Chraňte tajné kódy aplikací posílením jejich úložiště a omezením přístupu a manipulace a auditováním těchto akcí. Spusťte spolehlivý a pravidelný rotační proces, který může improvizovat rotace v nouzových situacích. |
| ☐ | SE:10 | Implementujte holistickou strategii monitorování , která spoléhá na moderní mechanismy detekce hrozeb, které lze integrovat s platformou. Mechanismy by měly spolehlivě upozorňovat na třídění a odesílat signály do stávajících procesů SecOps. |
| ☐ | SE:11 | Vytvořte komplexní testovací režim , který kombinuje přístupy k prevenci problémů se zabezpečením, ověřování implementací prevence hrozeb a testování mechanismů detekce hrozeb. |
| ☐ | SE:12 | Definujte a otestujte efektivní postupy reakce na incidenty , které pokrývají celou řadu incidentů, od lokalizovaných problémů až po zotavení po havárii. Jasně definujte, který tým nebo jednotlivec provádí proceduru. |
Další kroky
Doporučujeme, abyste si prostudovali kompromisy zabezpečení a prozkoumali další koncepty.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro