Чек-лист безопасного развёртывания

Чек-лист

• ✓Входящий доступ к защищённым сетям не требуется
• ✓Подписанные тестовые капсулы с версионированием
• ✓Шлюз анклава проверяет подписи и политику
• ✓Развёртывание локального периферийного раннера задокументировано
• ✓Выполнение в рантайме без внешних вызовов моделей
• ✓Доступен режим хранения доказательств только локально
• ✓Очищенный исходящий трафик опционален и одобрен
• ✓Брокеринг учётных данных, совместимый с PAM
• ✓Журнал аудита для продвижения капсул и запусков
• ✓Одобрение человеком для путей исправления
• ✓Процедура импорта в изолированной (air-gapped) среде задокументирована
• ✓Регион частного облака и изоляция подтверждены
• ✓Вариант локальной (on-prem) управляющей плоскости рассмотрен
• ✓Политики редактирования для скриншотов и полей
• ✓Списки разрешённых раннеров и подпись бинарных файлов
• ✓SSO/RBAC для пользователей управляющей плоскости
• ✓Реагирование на инциденты при компрометации раннера
• ✓Диаграмма потоков данных проверена службой безопасности
• ✓Определён консервативный объём пилотного проекта
• ✓Репрезентативный сценарий регулируемого процесса задокументирован
• ✓Запрет исходящего трафика по умолчанию проверен
• ✓Частота обновлений согласована с окнами внесения изменений