SaaS CTO 보안 체크리스트 Ver.3
(goldfiglabs.com)- CTO가 챙겨야 하는 보안 필수 사항들을 항목별로 설명
ㅤ→ 관련해서 읽어볼 링크, 추천 도구, 팁 등
- 직원들
ㅤ→ 보안교육 하기
ㅤ→ 2FA 적용
ㅤ→ 컴퓨터 자동 잠금
ㅤ→ 계정 공유 방지
ㅤ→ 개인 컴퓨터/폰 암호화 - Jamf, Canonical Landscape
ㅤ→ 온보딩 / 오프보딩 체크리스트
ㅤ→ 암호관리자 사용 - dashlane, lastpass, onelogin
ㅤ→ 보안 코드 리뷰 체크리스트 작성 및 운영 -
ㅤ→ 계정 중앙 관리
ㅤ→ 멀웨어 & 바이러스 방지 툴 - stormshield
ㅤ→ 보안 엔지니어 채용하기
- 코드
ㅤ→ 보안 버그를 일반 버그 처럼 관리하기
ㅤ→ Secret 들을 코드에서 분리 - envkey, vault, secret-manager
ㅤ→ Cryptography 는 직접하지 말고 라이브러리 사용할 것
ㅤ→ Static Code Analysis Tool 적용
ㅤ→ 보안 중점 테스트 세션 수행
ㅤ→ 전체 소프트웨어 개발 라이프 사이클(SDLC) 에 보안 자동화
ㅤ→ 소프트웨어 엔지니어들에게 보안 트레이닝 온보딩 진행 - safecode, pagerdugy sudo
- 어플리케이션
ㅤ→ 프로덕션 제품에 대한 보안 자동화 - snyk, checkov
ㅤ→ FaaS 보안
ㅤ→ Dependency 트래킹 - snyk, dependabot
ㅤ→ root 외의 계정으로 실행하기 (unprivileged)
ㅤ→ 실시간 프로텍션 서비스(Runtime Application Self Protection, RASP)
ㅤ→ 외부 침투 테스트 팀 고용
- 인프라스트럭쳐
ㅤ→ 백업하고, 리스토어 테스트 하고, 다시 백업해보기 - tarsnap, quay
ㅤ→ 웹사이트 기본 보안 테스트 - securityheaders, ssllabs
ㅤ→ Asset들을 네트웍 레벨에서 격리시키기
ㅤ→ OS & Docker 이미지 최신으로 유지 - watchtower , spacewalkproject
ㅤ→ 컨테이너 이미지 보안 자동 스캐닝 - quay, vulerability & image scanning
ㅤ→ 모든 웹사이트 & API 에 TLS 적용
ㅤ→ 모든 로그를 중앙화 하고 아카이빙 & 의미있게 만들기 - loggly, kibana
ㅤ→ 노출된 서비스들 모니터링 - checkup
ㅤ→ DDOS 공격으로부터 보호하기 - fastly, cloudflare, cloudfront
ㅤ→ 내부 서비스 접근을 IP로 차단하기
ㅤ→ 메트릭에 이상 패턴 감지하기 - newrelec , sysdig
- 회사
ㅤ→ 수집하는 모든 데이터에 정직하고 투명하게
ㅤ→ 보안과 친숙한 문화 만들기 - Security Culture Framework
ㅤ→ 방문자와 WiFi 네트웍 공유하지 말기
ㅤ→ 모든 써디파티 주요 서비스들에 대한 보안 확인 - 구글앱스/슬랙/워드프레스등
ㅤ→ 도메인 이름에 대한 보호 확인 - 자동 갱신 및 기타 잠금 기능들
ㅤ→ 공개된 보안 정책 확인
ㅤ→ 보안을 우선하기 위한 도구들 사용
ㅤ→ 보안 scaling 준비하기
ㅤ→ Bug Bounty 프로그램 만들기 - hackerone, cobalt
ㅤ→ 회사 자산들에 대한 인벤토리 만들기
ㅤ→ 내부 보안 정책 만들기
ㅤ→ 도메인 피싱(phishing) 대비하기
- 제품 사용자들
ㅤ→ 비밀번호 정책 시행
ㅤ→ 사용자 개인정보 보호 강화 : 소셜 엔지니어링 차단
ㅤ→ 사용자에게 2FA 이용 권장. SSO 및 롤기반 계정 관리 - auth0, okta, WebAuthn
ㅤ→ 사용자의 이상 행위 감지하기 - castle
- SaaS CTO 보안 체크리스트 [27p PDF] https://news.hada.io/topic?id=2509
일년전에 sqreen 팀이 공개한 문서를 가지고 추가 수정한 버전이네요. (CC-SA 라이센스)
sqreen 은 Datadog에 인수가 되어서 언제 문서가 사라질지 모르니 이걸 보시면 되겠습니다. ^^;