[직원들]
ㅤ→ 보안교육 하기
ㅤ→ 2FA 적용
ㅤ→ 컴퓨터 자동 잠금
ㅤ→ 계정 공유 방지
ㅤ→ 개인 컴퓨터/폰 암호화 - Jamf, Canonical Landscape
ㅤ→ 온보딩 / 오프보딩 체크리스트
ㅤ→ 암호관리자 사용 - dashlane, lastpass, onelogin
ㅤ→ 보안 코드 리뷰 체크리스트 작성 및 운영 -
ㅤ→ 계정 중앙 관리
ㅤ→ 멀웨어 & 바이러스 방지 툴 - stormshield
ㅤ→ 보안 엔지니어 채용하기
[코드]
ㅤ→ 보안 버그를 일반 버그 처럼 관리하기
ㅤ→ Secret 들을 코드에서 분리 - envkey, vault, secret-manager
ㅤ→ Cryptography 는 직접하지 말고 라이브러리 사용할 것
ㅤ→ Static Code Analysis Tool 적용
ㅤ→ 보안 중점 테스트 세션 수행
ㅤ→ 전체 소프트웨어 개발 라이프 사이클(SDLC) 에 보안 자동화
ㅤ→ 소프트웨어 엔지니어들에게 보안 트레이닝 온보딩 진행 - safecode, pagerdugy sudo
[어플리케이션]
ㅤ→ 프로덕션 제품에 대한 보안 자동화 - snyk, checkov
ㅤ→ FaaS 보안
ㅤ→ Dependency 트래킹 - snyk, dependabot
ㅤ→ root 외의 계정으로 실행하기 (unprivileged)
ㅤ→ 실시간 프로텍션 서비스(Runtime Application Self Protection, RASP)
ㅤ→ 외부 침투 테스트 팀 고용
[인프라스트럭쳐]
ㅤ→ 백업하고, 리스토어 테스트 하고, 다시 백업해보기 - tarsnap, quay
ㅤ→ 웹사이트 기본 보안 테스트 - securityheaders, ssllabs
ㅤ→ Asset들을 네트웍 레벨에서 격리시키기
ㅤ→ OS & Docker 이미지 최신으로 유지 - watchtower , spacewalkproject
ㅤ→ 컨테이너 이미지 보안 자동 스캐닝 - quay, vulerability & image scanning
ㅤ→ 모든 웹사이트 & API 에 TLS 적용
ㅤ→ 모든 로그를 중앙화 하고 아카이빙 & 의미있게 만들기 - loggly, kibana
ㅤ→ 노출된 서비스들 모니터링 - checkup
ㅤ→ DDOS 공격으로부터 보호하기 - fastly, cloudflare, cloudfront
ㅤ→ 내부 서비스 접근을 IP로 차단하기
ㅤ→ 메트릭에 이상 패턴 감지하기 - newrelec , sysdig
[회사]
ㅤ→ 수집하는 모든 데이터에 정직하고 투명하게
ㅤ→ 보안과 친숙한 문화 만들기 - Security Culture Framework
ㅤ→ 방문자와 WiFi 네트웍 공유하지 말기
ㅤ→ 모든 써디파티 주요 서비스들에 대한 보안 확인 - 구글앱스/슬랙/워드프레스등
ㅤ→ 도메인 이름에 대한 보호 확인 - 자동 갱신 및 기타 잠금 기능들
ㅤ→ 공개된 보안 정책 확인
ㅤ→ 보안을 우선하기 위한 도구들 사용
ㅤ→ 보안 scaling 준비하기
ㅤ→ Bug Bounty 프로그램 만들기 - hackerone, cobalt
ㅤ→ 회사 자산들에 대한 인벤토리 만들기
ㅤ→ 내부 보안 정책 만들기
ㅤ→ 도메인 피싱(phishing) 대비하기
[제품 사용자들]
ㅤ→ 비밀번호 정책 시행
ㅤ→ 사용자 개인정보 보호 강화 : 소셜 엔지니어링 차단
ㅤ→ 사용자에게 2FA 이용 권장. SSO 및 롤기반 계정 관리 - auth0, okta, WebAuthn
ㅤ→ 사용자의 이상 행위 감지하기 - castle
(참조: https://www.goldfiglabs.com/guide/saas-cto-security-checklist/)
'린생무상 > 커리어' 카테고리의 다른 글
[Yonikim] 미드-시니어 개발자로의 성장 (0) | 2021.07.22 |
---|---|
[커리어] Engineering Career Framework (0) | 2021.07.15 |
[커리어] 엔지니어링 매니저가 꼭 읽어야 할 도서&아티클 (0) | 2021.07.06 |
[Yonikim] Let me introduce My Self (0) | 2021.04.19 |