Zabezpečení komunikace
- Pomáhá před útoky typu man-in-the-middle a jinými odposlouchávacími typu útoků.
- Checklist pomáhá s ověřením nastavení bezpečné komunikace (SSL/TLS), jeho architekturou apod.
Architektura
- Ověřte, zda aplikace šifruje komunikaci mezi komponentami, zejména pokud jsou v různých kontejnerech, systémech, lokalitách nebo cloudech.
- Ověřte, zda součásti aplikace ověřují pravost každé strany komunikačního spojení, aby se zabránilo útokům typu man-in-the-middle.
- Ověřování TLS certifikátu.
Obecný checklist
- Týká se konfigurace TLS, HTTPS a dalších protokolů nebo služeb.
- Ověřte použití TLS pro všechna klientská připojení.
- Ověřte použití silných algoritmů, šifer a protokolů například pomocí online nástrojů.
- Ověřte zakázání starých verzí SSL a TLS protokolů, algoritmů a šifer.
- Např. TLS 1.0 / 1.1., SSLv2(3)
- Upřednostňujte nejnovější TLS verzi.
- Ověřte použití důvěryhodného TLS certifikátu pro připojení k a ze serveru.
- Ověřte konfiguraci certifikátu, aby důvěřoval jen určitým autoritám, pokud je to vyžadováno.
- Ověřte použití šifrování pro příchozí a odchozí komunikaci (např. TLS).
- Ověřte, zda jsou všechna připojení k externím systémům šifrovaná.
- Ověřte povolení a konfiguraci odvolání (revoke) certifikátu (např. OSCP).
- Ověřte logování selhání TLS spojení na backendu.