Checklist bảo mật cho CTO SaaS [PDF 27 trang]

Nếu đang vận hành dịch vụ web, đây là danh sách các hạng mục bảo mật cơ bản cần kiểm tra, được sắp xếp theo từng mục cùng với tài liệu tham khảo và các liên kết ví dụ

• Toàn công ty

• Bảo mật tên miền

• Thu thập dữ liệu và GDPR

• Bảo mật cho các dịch vụ bên thứ ba đang dùng nội bộ (Google Apps, Slack, WordPress, v.v.)

• Thiết lập chính sách bảo mật cho nội bộ và bên ngoài

• Vận hành chương trình bug bounty

• Xây dựng kế hoạch ứng phó sự cố bảo mật

• Tuân thủ compliance

• Bật 2FA ở mọi nơi có thể

• Checklist onboarding/offboarding

• Hạ tầng

• HTTPS

• Kiểm tra bảo mật cơ bản (HSTS, X-Frame-Options, CSP, v.v.)

• Tự động hóa cập nhật OS/Docker image

• Giới hạn truy cập IP cho các dịch vụ nội bộ

• Tập trung hóa log

• Giám sát dịch vụ

• Giám sát các bất thường dựa trên metric

• Tài liệu hóa cách cài đặt lại hạ tầng khi có thảm họa

• Mã nguồn

• Soạn và bắt buộc áp dụng checklist review mã bảo mật

• Triển khai SAST

• Quản lý secrets (mật khẩu, khóa, v.v.)

• Thực hiện các phiên kiểm thử tập trung vào bảo mật

• Thực hiện đào tạo bảo mật khi onboarding

• Ứng dụng

• Chạy bằng tài khoản không phải quản trị viên/root

• Theo dõi liên tục các thư viện bên thứ ba

• Triển khai RASP (Realtime Application Self Production)

• Thuê đội kiểm thử xâm nhập bên ngoài

• Tự động hóa bảo mật