Zabezpečení komunikace

• Pomáhá před útoky typu man-in-the-middle a jinými odposlouchávacími typu útoků.
• Checklist pomáhá s ověřením nastavení bezpečné komunikace (SSL/TLS), jeho architekturou apod.

Architektura

• Ověřte, zda aplikace šifruje komunikaci mezi komponentami, zejména pokud jsou v různých kontejnerech, systémech, lokalitách nebo cloudech.
• Ověřte, zda součásti aplikace ověřují pravost každé strany komunikačního spojení, aby se zabránilo útokům typu man-in-the-middle.
  • Ověřování TLS certifikátu.

Obecný checklist

• Týká se konfigurace TLS, HTTPS a dalších protokolů nebo služeb.

• Ověřte použití TLS pro všechna klientská připojení.

• Ověřte použití silných algoritmů, šifer a protokolů například pomocí online nástrojů.

• Ověřte zakázání starých verzí SSL a TLS protokolů, algoritmů a šifer.

  • Např. TLS 1.0 / 1.1., SSLv2(3)
  • Upřednostňujte nejnovější TLS verzi.

• Ověřte použití důvěryhodného TLS certifikátu pro připojení k a ze serveru.

  • Ověřte konfiguraci certifikátu, aby důvěřoval jen určitým autoritám, pokud je to vyžadováno.

• Ověřte použití šifrování pro příchozí a odchozí komunikaci (např. TLS).

• Ověřte, zda jsou všechna připojení k externím systémům šifrovaná.

• Ověřte povolení a konfiguraci odvolání (revoke) certifikátu (např. OSCP).

• Ověřte logování selhání TLS spojení na backendu.

Kam dál

Zranitelnosti

• Kryptografická selhání

Cheat sheety

• Zabezpečení transportní vrstvy
• HSTS
• Zabezpečte svá data všude