Zabezpečení komunikace

• Pomáhá před útoky typu man-in-the-middle a jinými odposlouchávacími typu útoků.
• Checklist pomáhá s ověřením nastavení bezpečné komunikace (SSL/TLS), jeho architekturou apod.

Architektura

• Ověřte, zda aplikace šifruje komunikaci mezi komponentami, zejména pokud jsou v různých kontejnerech, systémech, lokalitách nebo cloudech.
• Ověřte, zda součásti aplikace ověřují pravost každé strany komunikačního spojení, aby se zabránilo útokům typu man-in-the-middle.
  • Ověřování TLS certifikátu.

Obecný checklist

• Týká se konfigurace TLS, HTTPS a dalších protokolů nebo služeb.

• Ověřte použití TLS pro všechna klientská připojení.
• Ověřte použití silných algoritmů, šifer a protokolů například pomocí online nástrojů.
• Ověřte zakázání starých verzí SSL a TLS protokolů, algoritmů a šifer.
  • Např. TLS 1.0 / 1.1., SSLv2(3)
  • Upřednostňujte nejnovější TLS verzi.
• Ověřte použití důvěryhodného TLS certifikátu pro připojení k a ze serveru.
  • Ověřte konfiguraci certifikátu, aby důvěřoval jen určitým autoritám, pokud je to vyžadováno.
• Ověřte použití šifrování pro příchozí a odchozí komunikaci (např. TLS).
• Ověřte, zda jsou všechna připojení k externím systémům šifrovaná.
• Ověřte povolení a konfiguraci odvolání (revoke) certifikátu (např. OSCP).
• Ověřte logování selhání TLS spojení na backendu.

Kam dál

Zranitelnosti

• Kryptografická selhání

Cheat sheety

• Zabezpečení transportní vrstvy
• HSTS
• Zabezpečte svá data všude