Ver.2 2020
https://www.sqreen.com/resources/saas-cto-security-checklist
웹 서비스를 운영한다면 기본적으로 확인해야 할 보안 사항들을 항목별로 리스트하고, 참고할 문서 및 예제 링크들을 정리
* 회사 전반
- 도메인 보안
- 데이터 수집 및 GDPR
- 사내에서 사용중인 3rd 파티 서비스 보안(구글앱스,슬랙,워드프레스 등)
- 사외/사내용 보안 정책 수립
- 버그바운티 프로그램 운영
- 보안 사고 대응계획 수립
- 컴플라이언스 준수
- 가능한 모든 곳에 2FA
- 온보딩/오프로딩 체크리스트
* 인프라
- HTTPS
- 기본 보안 체크 (HSTS, X-Frame-Options, CSP 등)
- OS/Docker 이미지 업데이트 자동화
- 내부 서비스의 IP 접속 제한
- 로그의 중앙집중화
- 서비스 모니터링
- 메트릭에 기반한 특이사항 모니터링
- 재난시 인프라 재설치 방법 정리
* 코드
- 보안 코드 리뷰 체크리스트 작성 및 강제
- SAST 도입
- Secrets (암호,키 등) 관리
- 보안 중점 테스트 세션 수행
- 온보드시 보안 교육 수행
* 어플리케이션
- 관리자/루트가 아닌 계정으로 실행
- 써드파티 라이브러리에 대한 지속적인 트래킹
- RASP (Realtime Application Self Production) 도입
- 외부의 침투 테스트 팀 고용
- 보안 자동화
https://assets.sqreen.com/whitepapers/saas-cto-security-checklist-v2.pdf
Ver.3 2021
https://www.goldfiglabs.com/guide/saas-cto-security-checklist/
- CTO가 챙겨야 하는 보안 필수 사항들을 항목별로 설명
ㅤ→ 관련해서 읽어볼 링크, 추천 도구, 팁 등
- 직원들
ㅤ→ 보안교육 하기
ㅤ→ 2FA 적용
ㅤ→ 컴퓨터 자동 잠금
ㅤ→ 계정 공유 방지
ㅤ→ 개인 컴퓨터/폰 암호화 - Jamf, Canonical Landscape
ㅤ→ 온보딩 / 오프보딩 체크리스트
ㅤ→ 암호관리자 사용 - dashlane, lastpass, onelogin
ㅤ→ 보안 코드 리뷰 체크리스트 작성 및 운영 -
ㅤ→ 계정 중앙 관리
ㅤ→ 멀웨어 & 바이러스 방지 툴 - stormshield
ㅤ→ 보안 엔지니어 채용하기
- 코드
ㅤ→ 보안 버그를 일반 버그 처럼 관리하기
ㅤ→ Secret 들을 코드에서 분리 - envkey, vault, secret-manager
ㅤ→ Cryptography 는 직접하지 말고 라이브러리 사용할 것
ㅤ→ Static Code Analysis Tool 적용
ㅤ→ 보안 중점 테스트 세션 수행
ㅤ→ 전체 소프트웨어 개발 라이프 사이클(SDLC) 에 보안 자동화
ㅤ→ 소프트웨어 엔지니어들에게 보안 트레이닝 온보딩 진행 - safecode, pagerdugy sudo
- 어플리케이션
ㅤ→ 프로덕션 제품에 대한 보안 자동화 - snyk, checkov
ㅤ→ FaaS 보안
ㅤ→ Dependency 트래킹 - snyk, dependabot
ㅤ→ root 외의 계정으로 실행하기 (unprivileged)
ㅤ→ 실시간 프로텍션 서비스(Runtime Application Self Protection, RASP)
ㅤ→ 외부 침투 테스트 팀 고용
- 인프라스트럭쳐
ㅤ→ 백업하고, 리스토어 테스트 하고, 다시 백업해보기 - tarsnap, quay
ㅤ→ 웹사이트 기본 보안 테스트 - securityheaders, ssllabs
ㅤ→ Asset들을 네트웍 레벨에서 격리시키기
ㅤ→ OS & Docker 이미지 최신으로 유지 - watchtower , spacewalkproject
ㅤ→ 컨테이너 이미지 보안 자동 스캐닝 - quay, vulerability & image scanning
ㅤ→ 모든 웹사이트 & API 에 TLS 적용
ㅤ→ 모든 로그를 중앙화 하고 아카이빙 & 의미있게 만들기 - loggly, kibana
ㅤ→ 노출된 서비스들 모니터링 - checkup
ㅤ→ DDOS 공격으로부터 보호하기 - fastly, cloudflare, cloudfront
ㅤ→ 내부 서비스 접근을 IP로 차단하기
ㅤ→ 메트릭에 이상 패턴 감지하기 - newrelec , sysdig
- 회사
ㅤ→ 수집하는 모든 데이터에 정직하고 투명하게
ㅤ→ 보안과 친숙한 문화 만들기 - Security Culture Framework
ㅤ→ 방문자와 WiFi 네트웍 공유하지 말기
ㅤ→ 모든 써디파티 주요 서비스들에 대한 보안 확인 - 구글앱스/슬랙/워드프레스등
ㅤ→ 도메인 이름에 대한 보호 확인 - 자동 갱신 및 기타 잠금 기능들
ㅤ→ 공개된 보안 정책 확인
ㅤ→ 보안을 우선하기 위한 도구들 사용
ㅤ→ 보안 scaling 준비하기
ㅤ→ Bug Bounty 프로그램 만들기 - hackerone, cobalt
ㅤ→ 회사 자산들에 대한 인벤토리 만들기
ㅤ→ 내부 보안 정책 만들기
ㅤ→ 도메인 피싱(phishing) 대비하기
- 제품 사용자들
ㅤ→ 비밀번호 정책 시행
ㅤ→ 사용자 개인정보 보호 강화 : 소셜 엔지니어링 차단
ㅤ→ 사용자에게 2FA 이용 권장. SSO 및 롤기반 계정 관리 - auth0, okta, WebAuthn
ㅤ→ 사용자의 이상 행위 감지하기 - castle
출처 : news.hada.io
댓글