# SaaS CTO 보안 체크리스트 Ver.3

> Clean Markdown view of GeekNews topic #4439. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=4439](https://news.hada.io/topic?id=4439)
- GeekNews Markdown: [https://news.hada.io/topic/4439.md](https://news.hada.io/topic/4439.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2021-06-14T09:02:01+09:00
- Updated: 2021-06-14T09:02:01+09:00
- Original source: [goldfiglabs.com](https://www.goldfiglabs.com/guide/saas-cto-security-checklist/)
- Points: 22
- Comments: 1

## Topic Body

- CTO가 챙겨야 하는 보안 필수 사항들을 항목별로 설명

ㅤ→ 관련해서 읽어볼 링크, 추천 도구, 팁 등

- 직원들

ㅤ→ 보안교육 하기

ㅤ→ 2FA 적용

ㅤ→ 컴퓨터 자동 잠금

ㅤ→ 계정 공유 방지

ㅤ→ 개인 컴퓨터/폰 암호화  - Jamf, Canonical Landscape

ㅤ→ 온보딩 / 오프보딩 체크리스트

ㅤ→ 암호관리자 사용 - dashlane, lastpass, onelogin

ㅤ→ 보안 코드 리뷰 체크리스트 작성 및 운영 -

ㅤ→ 계정 중앙 관리

ㅤ→ 멀웨어 & 바이러스 방지 툴 - stormshield

ㅤ→ 보안 엔지니어 채용하기

- 코드

ㅤ→ 보안 버그를 일반 버그 처럼 관리하기

ㅤ→ Secret 들을 코드에서 분리 - envkey, vault, secret-manager

ㅤ→ Cryptography 는 직접하지 말고 라이브러리 사용할 것

ㅤ→ Static Code Analysis Tool 적용

ㅤ→ 보안 중점 테스트 세션 수행

ㅤ→ 전체 소프트웨어 개발 라이프 사이클(SDLC) 에 보안 자동화

ㅤ→ 소프트웨어 엔지니어들에게 보안 트레이닝 온보딩 진행 - safecode, pagerdugy sudo

- 어플리케이션

ㅤ→ 프로덕션 제품에 대한 보안 자동화 - snyk, checkov

ㅤ→ FaaS 보안

ㅤ→ Dependency 트래킹 - snyk, dependabot

ㅤ→ root 외의 계정으로 실행하기 (unprivileged)

ㅤ→ 실시간 프로텍션 서비스(Runtime Application Self Protection, RASP)

ㅤ→ 외부 침투 테스트 팀 고용

- 인프라스트럭쳐

ㅤ→ 백업하고, 리스토어 테스트 하고, 다시 백업해보기 - tarsnap, quay

ㅤ→ 웹사이트 기본 보안 테스트 - securityheaders, ssllabs

ㅤ→ Asset들을 네트웍 레벨에서 격리시키기

ㅤ→ OS & Docker 이미지 최신으로 유지 - watchtower , spacewalkproject

ㅤ→ 컨테이너 이미지 보안 자동 스캐닝 - quay, vulerability & image scanning

ㅤ→ 모든 웹사이트 & API 에 TLS 적용

ㅤ→ 모든 로그를 중앙화 하고 아카이빙 & 의미있게 만들기 - loggly, kibana

ㅤ→ 노출된 서비스들 모니터링 - checkup

ㅤ→ DDOS 공격으로부터 보호하기 - fastly, cloudflare, cloudfront

ㅤ→ 내부 서비스 접근을 IP로 차단하기

ㅤ→ 메트릭에 이상 패턴 감지하기 - newrelec , sysdig

- 회사

ㅤ→ 수집하는 모든 데이터에 정직하고 투명하게

ㅤ→ 보안과 친숙한 문화 만들기 - Security Culture Framework

ㅤ→ 방문자와 WiFi 네트웍 공유하지 말기

ㅤ→ 모든 써디파티 주요 서비스들에 대한 보안 확인  - 구글앱스/슬랙/워드프레스등

ㅤ→ 도메인 이름에 대한 보호 확인 - 자동 갱신 및 기타 잠금 기능들

ㅤ→ 공개된 보안 정책 확인

ㅤ→ 보안을 우선하기 위한 도구들 사용

ㅤ→ 보안 scaling 준비하기

ㅤ→ Bug Bounty 프로그램 만들기 - hackerone, cobalt

ㅤ→ 회사 자산들에 대한 인벤토리 만들기

ㅤ→ 내부 보안 정책 만들기

ㅤ→ 도메인 피싱(phishing) 대비하기

- 제품 사용자들

ㅤ→ 비밀번호 정책 시행

ㅤ→ 사용자 개인정보 보호 강화 : 소셜 엔지니어링 차단

ㅤ→ 사용자에게 2FA 이용 권장. SSO 및 롤기반 계정 관리 - auth0, okta, WebAuthn

ㅤ→ 사용자의 이상 행위 감지하기 - castle

## Comments



### Comment 5441

- Author: xguru
- Created: 2021-06-14T09:03:01+09:00
- Points: 1

- SaaS CTO 보안 체크리스트 [27p PDF] https://news.hada.io/topic?id=2509

일년전에 sqreen 팀이 공개한 문서를 가지고 추가 수정한 버전이네요. (CC-SA 라이센스)

sqreen 은 Datadog에 인수가 되어서 언제 문서가 사라질지 모르니 이걸 보시면 되겠습니다. ^^;