Controlelijst voor ontwerpbeoordeling voor beveiliging

  • Artikel

Deze controlelijst bevat een reeks beveiligingsaanbevelingsaanbevelingen om ervoor te zorgen dat uw workload veilig is en is afgestemd op het Zero Trust-model. Als u de volgende selectievakjes niet hebt ingeschakeld en de afwegingen niet hebt overwogen, loopt uw ontwerp mogelijk risico. Overweeg zorgvuldig alle punten die in de controlelijst worden behandeld om vertrouwen te krijgen in de beveiliging van uw workload.

Controlelijst

  Code Aanbeveling
SE:01 Stel een beveiligingsbasislijn op die is afgestemd op nalevingsvereisten, industriestandaarden en platformaanbeveling. Meet regelmatig uw workloadarchitectuur en -bewerkingen op basis van de basislijn om uw beveiligingspostuur in de loop van de tijd te behouden of te verbeteren.
SE:02
SE:02		 Een veilige ontwikkelingslevenscyclus onderhouden met behulp van een beveiligde, meestal geautomatiseerde en controleerbare softwareleveringsketen. Neem een veilig ontwerp op door bedreigingsmodellering te gebruiken om te beschermen tegen implementaties die de beveiliging verslaan.
SE:03 Vertrouwelijkheids- en informatietypelabels classificeren en consistent toepassen op alle workloadgegevens en systemen die betrokken zijn bij gegevensverwerking. Gebruik classificatie om het ontwerp, de implementatie en de prioriteitstelling van de beveiliging te beïnvloeden.
SE:04 Maak opzettelijke segmentatie en perimeters in uw architectuurontwerp en in de footprint van de workload op het platform. De segmentatiestrategie moet netwerken, rollen en verantwoordelijkheden, workloadidentiteiten en resourceorganisatie omvatten.
SE:05 Implementeer strikte, voorwaardelijke en controleerbare identiteits- en toegangsbeheer (IAM) voor alle workloadgebruikers, teamleden en systeemonderdelen. Beperk de toegang uitsluitend tot waar nodig. Gebruik moderne industriestandaarden voor alle verificatie- en autorisatie-implementaties. Beperk en controleer de toegang die niet is gebaseerd op identiteit.
SE:06 Netwerkverkeer isoleren, filteren en beheren voor zowel inkomend als uitgaand verkeer. Pas diepgaande verdedigingsprincipes toe met behulp van gelokaliseerde netwerkbesturingselementen op alle beschikbare netwerkgrenzen voor zowel oost-west- als noord-zuidverkeer.
SE:07 Versleutel gegevens met behulp van moderne, industriestandaard methoden om vertrouwelijkheid en integriteit te beschermen. Stem het versleutelingsbereik uit met gegevensclassificaties en geef prioriteit aan systeemeigen platformversleutelingsmethoden.
SE:08 Behard alle workloadonderdelen door overbodige oppervlakten te verminderen en configuraties aan te scherpen om de kosten van aanvallers te verhogen.
SE:09 Beveilig toepassingsgeheimen door hun opslag te beveiligen, toegang en manipulatie te beperken en door deze acties te controleren. Voer een betrouwbaar en regelmatig rotatieproces uit waarmee rotaties in noodgevallen kunnen worden geïmproviseerd.
SE:10 Implementeer een holistische bewakingsstrategie die afhankelijk is van moderne mechanismen voor bedreigingsdetectie die kunnen worden geïntegreerd met het platform. Mechanismen moeten betrouwbaar waarschuwen voor het sorteren en verzenden van signalen naar bestaande SecOps-processen.
SE:11 Stel een uitgebreid testschema in dat benaderingen combineert om beveiligingsproblemen te voorkomen, implementaties voor preventie van bedreigingen te valideren en mechanismen voor het detecteren van bedreigingen te testen.
SE:12 Definieer en test effectieve procedures voor het reageren op incidenten die betrekking hebben op een spectrum van incidenten, van gelokaliseerde problemen tot herstel na noodgevallen. Definieer duidelijk welk team of persoon een procedure uitvoert.

Volgende stappen

We raden u aan de afwegingen voor beveiliging te bekijken om andere concepten te verkennen.

Veiligheid afwegingen