หากคุณกำลังให้บริการเว็บเซอร์วิส นี่คือรายการด้านความปลอดภัยพื้นฐานที่ควรตรวจสอบ แยกเป็นหมวดหมู่ พร้อมรวบรวมเอกสารอ้างอิงและลิงก์ตัวอย่าง
- ภาพรวมทั้งบริษัท
-
ความปลอดภัยของโดเมน
-
การเก็บรวบรวมข้อมูลและ GDPR
-
ความปลอดภัยของบริการ 3rd party ที่ใช้ภายในบริษัท (Google Apps, Slack, WordPress เป็นต้น)
-
การกำหนดนโยบายความปลอดภัยสำหรับใช้งานภายใน/ภายนอกบริษัท
-
การดำเนินโครงการ Bug Bounty
-
การจัดทำแผนรับมือเหตุการณ์ด้านความปลอดภัย
-
การปฏิบัติตามข้อกำหนดคอมพลายแอนซ์
-
เปิดใช้ 2FA ในทุกจุดที่ทำได้
-
เช็กลิสต์สำหรับการ onboarding/offboarding
- โครงสร้างพื้นฐาน
-
HTTPS
-
การตรวจสอบความปลอดภัยพื้นฐาน (HSTS, X-Frame-Options, CSP เป็นต้น)
-
ทำระบบอัตโนมัติสำหรับอัปเดต OS/Docker image
-
จำกัดการเข้าถึงด้วย IP สำหรับบริการภายใน
-
การรวมศูนย์บันทึกล็อก
-
การมอนิเตอร์บริการ
-
การมอนิเตอร์ความผิดปกติโดยอิงจากเมตริก
-
จัดทำวิธีติดตั้งโครงสร้างพื้นฐานใหม่เมื่อเกิดภัยพิบัติ
- โค้ด
-
จัดทำและบังคับใช้เช็กลิสต์สำหรับ security code review
-
นำ SAST มาใช้
-
การจัดการ Secrets (รหัสผ่าน, คีย์ ฯลฯ)
-
ดำเนินเซสชันทดสอบที่เน้นด้านความปลอดภัย
-
จัดอบรมด้านความปลอดภัยในช่วง onboarding
- แอปพลิเคชัน
-
รันด้วยบัญชีที่ไม่ใช่ผู้ดูแลระบบ/root
-
ติดตามไลบรารี third-party อย่างต่อเนื่อง
-
นำ RASP (Realtime Application Self Production) มาใช้
-
จ้างทีมทดสอบการเจาะระบบจากภายนอก
-
ระบบอัตโนมัติด้านความปลอดภัย
2 ความคิดเห็น
ลิงก์ไฟล์ : https://assets.sqreen.com/whitepapers/…
เป็นเช็กลิสต์ที่จัดทำโดยบริษัทผู้พัฒนาเครื่องมือความปลอดภัยชื่อ Sqreen จึงมีเนื้อหาเชิงโปรโมตปนอยู่บ้าง
แต่คิดว่าน่าจะลองดูรายการทั้งหมดแล้วนำไปปรับใช้ให้เหมาะกับแต่ละบริษัทได้