La sicurezza dei server di produzione, sviluppo e integrazione continua nonché delle workstation degli sviluppatori deve essere una priorità perché centralizzano l’accesso a una grande quantità di dati.
Valuta i tuoi rischi e adotta le misure di sicurezza appropriate
- Valuta i rischi negli strumenti e nei processi utilizzati per i tuoi sviluppi. Elenca le misure di sicurezza esistenti e definisci un piano d’azione per migliorare la copertura dei rischi. Designare una persona responsabile della sua attuazione.
- Ricordati di tenere in considerazione i rischi su tutti gli strumenti che utilizzi, in particolare i rischi legati al SaaS ( Software as a Service ) e agli strumenti di collaborazione nel cloud (come Slack , Trello , GitHub , ecc.).
Proteggi i tuoi server e le tue workstation in modo coerente e ripetibile
- Gli elenchi di raccomandazioni riguardanti la sicurezza dei server, delle postazioni di lavoro e delle reti interne sono disponibili nella guida alla sicurezza dei dati personali della CNIL.
- Scrivere un documento che riunisca queste misure e spieghi la loro configurazione per garantire un’implementazione coerente delle misure di sicurezza su server e workstation. Al fine di ridurre il carico di lavoro , è possibile utilizzare strumenti di gestione della configurazione , come Ansible , Puppet o Chef .
- Aggiorna server e workstation, se possibile automaticamente. Puoi essere un elenco di controllo che identifica le vulnerabilità più significative, come avvisi di sicurezza , avvisi di sicurezza e aggiornamenti di notizie CERT-EN.
Porre particolare attenzione alla gestione degli accessi e alla tracciabilità delle operazioni
- Ricordati di documentare la gestione delle tue chiavi SSH (utilizzo di crittografia all’avanguardia e algoritmi di lunghezza delle chiavi, protezione delle chiavi private tramite passphrase , rotazione delle chiavi). Per esempi di best practice, vedere il documento sull’uso sicuro di SSH (aperto) .
- Promuove l’ autenticazione forte sui servizi utilizzati dal team di sviluppo.
- Tieni traccia degli accessi alle tue macchine e, se possibile, imposta un’analisi automatica dei registri . Al fine di mantenere registrazioni affidabili, dovrebbe essere evitato l’uso di un account generico.
guida alla sicurezza dei dati personali della CNIL:
cnil_guide_securite_personnelle
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL