web-dev-qa-db-ja.com

開発環境の内部ネットワークセキュリティポリシー

内部開発環境のネットワークセキュリティのベストプラクティスは何ですか。更新、ウイルス対策、およびファイアウォールに準拠することに加えて。

たとえば、SnortのようなIDS/IPSを使用することをお勧めしますか?発信ポートをホワイトリストに登録する必要がありますか?開発者は、特にテスト目的で、さまざまなリソースにアクセスする必要があることがよくあります。

これらのタイプの環境では、どのような種類のセキュリティ管理が見過ごされがちですか?

これは非常に幅広い質問であることを私は知っているので、ありとあらゆる答えを歓迎します。

編集:ネットワークはインターネットに接続されたLANです。

2
Alex Urcioli

はい、ISO 27002、PCI DSS、Visible OpsSecurityなどのiSMSに従ってください。

見落とされているコントロールには、 2FA 認証と に準拠する開発者リポジトリ(GitLab、Subversion、Atlassian、Perforceなど)のTLS保護が含まれます。/SSL Labs 基準、およびバグ追跡、コードド​​キュメント、コードレビュー、コラボレーションなどのツールなど、アプリケーションライフサイクル管理(ALM)の他のコンポーネント。 APIキーは常に危険にさらされています。開発者は誤ってこれらをコードや.git/.svnフォルダーなどに残します。他のすべてが失敗した場合は、注意してバックアップを作成し、バックアップ計画を立ててください。

...そして覚えておいてください、世界で最高の侵入テスターはアプリではなく開発者を攻撃します- http://www.darkreading.com/attacks-breaches/tiger-team-member-attacks -developers-not-apps/d/d-id/1129737

1
atdre