セキュリティの設計レビュー チェックリスト
このチェックリストでは、ワークロードがセキュリティで保護され、ゼロ トラスト モデルと整合していることを確認するのに役立つ一連のセキュリティに関する推奨事項を示します。 次のボックスをチェックし、トレードオフを検討していない場合は、設計が危険にさらされている可能性があります。 チェックリストで説明されているすべての点を慎重に検討して、ワークロードのセキュリティに自信を持ってください。
チェック リスト
| コード | 推奨 | |
|---|---|---|
| ☐ | SE:01 | コンプライアンス要件、業界標準、プラットフォームの推奨事項に合わせたセキュリティ ベースラインを確立します。 ワークロードのアーキテクチャと運用をベースラインに対して定期的に測定し、時間の経過に伴うセキュリティ体制を維持または改善します。 |
| ☐ | SE:02 SE:02 |
強化された、ほとんど自動化された監査可能なソフトウェア サプライ チェーンを使用して、安全な開発ライフサイクルを維持します。 脅威モデリングを使用してセキュリティを破る実装から保護することで、セキュリティで保護された設計を組み込みます。 |
| ☐ | SE:03 | データ処理に関連するすべてのワークロード データとシステムに対して、秘密度と情報の種類ラベルを分類し、一貫して適用します。 分類を使用して、ワークロードの設計、実装、およびセキュリティの優先順位付けに影響を与える。 |
| ☐ | SE:04 | アーキテクチャ設計とプラットフォーム上のワークロードのフットプリントで、意図的なセグメント化と境界を作成します。 セグメント化戦略には、ネットワーク、ロールと責任、ワークロード ID、リソース organizationが含まれている必要があります。 |
| ☐ | SE:05 | すべてのワークロード ユーザー、チーム メンバー、およびシステム コンポーネントに対して、厳密、条件付き、監査可能な ID およびアクセス管理 (IAM) を実装します。 必要に応じて、アクセスのみを に制限します。 すべての認証と承認の実装に最新の業界標準を使用します。 ID に基づいていないアクセスを制限し、厳密に監査します。 |
| ☐ | SE:06 | イングレス フローとエグレス フローの両方でネットワーク トラフィックを分離、フィルター処理、制御します。 東西トラフィックと南北トラフィックの両方で使用可能なすべてのネットワーク境界でローカライズされたネットワーク制御を使用して、多層防御の原則を適用します。 |
| ☐ | SE:07 | 最新の業界標準の方法を使用してデータを暗号化し、機密性と整合性を保護します。 暗号化スコープをデータ分類に合わせ、ネイティブ プラットフォームの暗号化方法に優先順位を付けます。 |
| ☐ | SE:08 | 余分な領域を削減し、構成を厳格化して攻撃者のコストを増やすことで、すべてのワークロード コンポーネントを強化します。 |
| ☐ | SE:09 | ストレージを 強化し、アクセスと操作を制限し、それらのアクションを監査することで、アプリケーション シークレットを保護します。 緊急時に回転を即興できる信頼性の高い定期的な回転プロセスを実行します。 |
| ☐ | SE:10 | プラットフォームと統合できる最新の脅威検出メカニズムに依存する包括的な監視戦略を実装します。 メカニズムでは、トリアージを確実にアラートし、既存の SecOps プロセスにシグナルを送信する必要があります。 |
| ☐ | SE:11 | セキュリティの問題を防ぎ、脅威防止の実装を検証し、脅威検出メカニズムをテストするためのアプローチを組み合わせた包括的なテストレジメンを確立します。 |
| ☐ | SE:12 | ローカライズされた問題からディザスター リカバリーまで、さまざまなインシデントに対応する効果的なインシデント対応手順を定義してテストします。 プロシージャを実行するチームまたは個人を明確に定義します。 |
次の手順
他の概念を調べるには、セキュリティのトレードオフを確認することをお勧めします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示