你为此锁定了多少努力?你已经付出了多少努力来锁定它?当你的域名服务器或DNS区域文件被未经授权更改时,你是否会收到相应警报?此外,你是否启用了DNSSEC?
就我个人而言,我建议将Namecheap作为注册服务商,并将Cloudflare用于高性能DNS。
物理访问如果我是法院的执法人员,数据中心工作人员或你的托管服务提供商,我是否可以自由的的读取你服务器的内容(全盘加密除外)?当你的磁盘退役或更换时,其中的内容是否会被擦除?如果有人将USB插入1U机架伺服器,你是否会收到警报提醒?
你有确定性的构建吗?当开发人员将构建代码推送到生产环境中时,你是否可以验证这些代码的真实意图,并且保证源码或静态链接的依赖关系未被恶意修改?
查看:Gitian
验证数字签名毫无疑问,你可能会从一些非官方站点获取或下载一些代码和软件。那么在团队成员继续构建或安装之前,你是否比较过校验和/哈希或验证了该下载的签名?
沙盒环境它是否具有AppArmor配置文件,seccomp过滤器或RBAC策略,指定它在系统调用和访问权限方面的功能?
TLS和加密配置你是否已经完全弃用那些不安全的加密套件和算法(例如MD5,SHA1,RC4)?并在兼容性和用户期望上选择最佳的加密方式,HMAC和密钥交换算法。如果可用,优先考虑使用RSA加密算法。这适用于OpenSSH,GnuPG,OpenVPN等。使用Let’s Encrypt.t即可轻松获得ssl的免费证书。
公密钥管理如果你的每个员工都拥有自己的密钥,请考虑在整个域中对其进行同步,并将密钥移出版本控制。
HTTP头安全关于HTTP头安全,这里有一个列表可供大家参考:X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, X-Download-Options, X-Permitted-Cross-Domain-Policies, Content-Security-Policy, Referrer-Policy, Strict-Transport-Security, Public-Key-Pins。这些响应头的正确配置,对安全也至关重要。
查看: securityheaders.io, Mozilla web安全指南
文件完整性监控你是否对重要文件做定期检查,已确保文件未被修改并生成被更改的警报?
入侵检测或许你已经部署了多种类型的入侵检测工具,但你是否仅仅只是按照默认的规则配置来运行它,并没有花费时间来学习相关的技术知识,以及根据自身应用情况来配置合适的规则集?
漏洞管理通过订阅邮件,我们可以获取新的漏洞报告并修复漏洞。那么,你还记得你最后一次检查CVE活动是什么时候吗?
查看:Nessus, CoreOS clair
基础系统的安全你是否真的完全信任Debian/Ubuntu,RHEL或任何公司的第三方软件存储库,可以始终为你提供非恶意的软件包?这里有一个想法:你可以托管自己的存储库,固定到特定的版本,并且仅在测试后才升级。
或者,你也可以运行基于Alpine或LinuxKit的极小操作系统,这样可以最大程度上的减少你的攻击面。
LSM(Linux安全模块)即AppArmor或SELINUX,他们最近是否为你做过任何事情?
Linux内核加固