Lista di controllo delle raccomandazioni per la sicurezza
Questo elenco di controllo presenta una serie di consigli sulla sicurezza per aiutarti a garantire la sicurezza del tuo carico di lavoro. Se non rivedi l'elenco di controllo e non valuti i compromessi associati, potresti esporre il tuo progetto a potenziali rischi. Valuta attentamente tutti gli aspetti delineati nell'elenco di controllo per aumentare la tua fiducia nella sicurezza del tuo carico di lavoro.
Elenco di controllo
| Codice | Elemento consigliato | |
|---|---|---|
| ☐ | SE:01 | Stabilisci una linea di base di sicurezza che sia in linea con i requisiti di conformità, agli standard di settore e ai consigli sulla piattaforma. Misura regolarmente l'architettura e le operazioni del carico di lavoro rispetto alla linea di base per sostenere o migliorare il tuo livello di sicurezza nel tempo. |
| ☐ | SE:02 SE:02 |
Mantieni un ciclo di vita di sviluppo sicuro utilizzando una catena di approvvigionamento software rafforzata, per lo più automatizzata e verificabile. Incorpora una progettazione sicura utilizzando la modellazione delle minacce per proteggerti da implementazioni che compromettono la sicurezza. |
| ☐ | SE:03 | Classifica e applica in modo coerente le etichette di tipo informazioni e riservatezza su tutti i dati e i sistemi del carico di lavoro coinvolti nell'elaborazione dei dati. Utilizza la classificazione per influenzare la progettazione, l'implementazione e la definizione delle priorità di sicurezza del carico di lavoro. |
| ☐ | SE:04 | Crea segmentazione e perimetri intenzionali nella progettazione della tua architettura e nell'impronta del carico di lavoro sulla piattaforma. La strategia di segmentazione deve includere reti, ruoli e responsabilità, identità del carico di lavoro e organizzazione delle risorse. |
| ☐ | SE:05 | Implementa una gestione delle identità e degli accessi (IAM) rigorosa, condizionale e verificabile per tutti gli utenti del carico di lavoro, i membri del team e i componenti di sistema. Limita l'accesso esclusivamente a se necessario. Utilizza i moderni standard di settore per tutte le implementazioni di autenticazione e autorizzazione. Limita e controlla rigorosamente l'accesso non basato sull'identità. |
| ☐ | SE:06 | Crittografa i dati utilizzando metodi moderni e standard di settore per tutelare la riservatezza e l'integrità. Allinea l'ambito di crittografia con le classificazioni dei dati e dai priorità ai metodi di crittografia della piattaforma nativa. |
| ☐ | SE:07 | Proteggi i segreti delle applicazioni rafforzandone l'archiviazione, limitando l'accesso e la manipolazione e controllando tali azioni. Esegui un processo di rotazione affidabile e regolare in grado di improvvisare rotazioni per le emergenze. |
| ☐ | SE:08 | Implementa una strategia di monitoraggio olistico che si basi su moderni meccanismi di rilevamento delle minacce che possono essere integrati con la piattaforma. I meccanismi dovrebbero avvisare in modo affidabile per il triage e inviare segnali ai processi SecOps esistenti. |
| ☐ | SE:09 | Stabilisci un regime di test completo che combini approcci per prevenire problemi di sicurezza, convalidare le implementazioni di prevenzione delle minacce e testare i meccanismi di rilevamento delle minacce. |
| ☐ | SE:10 | Definisci e testa procedure efficaci di risposta agli incidenti che coprano uno spettro di incidenti, dai problemi localizzati al ripristino di emergenza. Definisci chiaramente quale team o individuo esegue una procedura. |