安全性的設計檢閱檢查清單
此檢查清單提供一組安全性建議,可協助您確保工作負載安全且符合零信任模型。 如果您尚未核取下列方塊並考慮取捨,則您的設計可能會有風險。 仔細考慮檢查清單涵蓋的所有點,以信賴您工作負載的安全性。
檢查清單
| 程式碼 | 建議 | |
|---|---|---|
| ☐ | SE:01 | 建立符合合規性需求、業界標準和平臺建議的安全性基準。 定期根據基準測量工作負載架構和作業,以持續或改善一段時間的安全性狀態。 |
| ☐ | SE:02 SE:02 |
使用強化、大部分自動化且可稽核的軟體供應鏈,維護安全的開發生命週期。 使用威脅模型來納入安全的設計,以防止安全性破壞的實作。 |
| ☐ | SE:03 | 分類並持續套用涉及資料處理的所有工作負載資料和系統上的敏感度和資訊類型標籤 。 使用分類來影響工作負載設計、實作和安全性優先順序。 |
| ☐ | SE:04 | 在您的架構設計中,以及在平臺上工作負載的使用量中,建立刻意分割和周邊。 分割策略必須包含網路、角色和責任、工作負載身分識別和資源組織。 |
| ☐ | SE:05 | 在所有工作負載使用者、小組成員和系統元件之間實作嚴格、條件式和可稽核的身分識別和存取管理 (IAM) 。 視需要將存取限制為 。 針對所有驗證和授權實作使用新式產業標準。 限制和嚴格稽核不是以身分識別為基礎的存取。 |
| ☐ | SE:06 | 隔離、篩選和控制 輸入和輸出流程之間的網路流量。 在所有可用的網路界限上,使用當地語系化的網路控制,跨東部和北南部流量套用深度防禦原則。 |
| ☐ | SE:07 | 使用現代化業界標準方法來加密資料 ,以保護機密性和完整性。 將加密範圍與資料分類對齊,並排定原生平臺加密方法的優先順序。 |
| ☐ | SE:08 | 藉由減少多餘的介面區並強化組態來提高攻擊者成本,強化所有工作負載元件。 |
| ☐ | SE:09 | 藉由強化其儲存體並限制存取和操作,以及稽核這些動作,來保護應用程式秘密。 執行可靠且週期性輪替程式,以針對緊急狀況進行臨時輪替。 |
| ☐ | SE:10 | 實作整體監視策略 ,其依賴可與平臺整合的新式威脅偵測機制。 機制應該可靠地警示分級,並將訊號傳送至現有的 SecOps 程式。 |
| ☐ | SE:11 | 建立完整的測試原則 ,結合防止安全性問題的方法、驗證威脅防護實作,以及測試威脅偵測機制。 |
| ☐ | SE:12 | 定義及測試涵蓋各種事件的有效事件回應程式 ,從當地語系化問題到災害復原。 清楚定義哪些小組或個別執行程式。 |
下一步
建議您檢閱安全性取捨以探索其他概念。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應