SaaS CTO 보안 체크리스트 [27p PDF]
(sqreen.com)웹 서비스를 운영한다면 기본적으로 확인해야 할 보안 사항들을 항목별로 리스트하고, 참고할 문서 및 예제 링크들을 정리
* 회사 전반
- 도메인 보안
- 데이터 수집 및 GDPR
- 사내에서 사용중인 3rd 파티 서비스 보안(구글앱스,슬랙,워드프레스 등)
- 사외/사내용 보안 정책 수립
- 버그바운티 프로그램 운영
- 보안 사고 대응계획 수립
- 컴플라이언스 준수
- 가능한 모든 곳에 2FA
- 온보딩/오프로딩 체크리스트
* 인프라
- HTTPS
- 기본 보안 체크 (HSTS, X-Frame-Options, CSP 등)
- OS/Docker 이미지 업데이트 자동화
- 내부 서비스의 IP 접속 제한
- 로그의 중앙집중화
- 서비스 모니터링
- 메트릭에 기반한 특이사항 모니터링
- 재난시 인프라 재설치 방법 정리
* 코드
- 보안 코드 리뷰 체크리스트 작성 및 강제
- SAST 도입
- Secrets (암호,키 등) 관리
- 보안 중점 테스트 세션 수행
- 온보드시 보안 교육 수행
* 어플리케이션
- 관리자/루트가 아닌 계정으로 실행
- 써드파티 라이브러리에 대한 지속적인 트래킹
- RASP (Realtime Application Self Production) 도입
- 외부의 침투 테스트 팀 고용
- 보안 자동화
Sqreen 이라는 보안도구를 만드는 회사가 만든 체크리스트라서 홍보성 내용을 포함하긴 합니다만
전체 리스트를 보고 이를 통해서 각자 회사에 맞게 적용하면 될 것 같습니다.