Å sette opp en ny tjeneste er noe alle gjør regelmessig. Hvilke kontroller gjør dere i denne forbindelse? Her vil jeg veldig gjerne ha tips som kan utfylle denne listen. Tanken er at dette tas inn i prosedyrer og rutiner i organisajoner.
Kontroller ved oppsett av ny tjeneste
Dette ville jeg sjekket ved oppsett av ny, eller endring av eksisterende, tjeneste:
- Er det utført risikovurdering?
- Er ikke dette utført er det bare å stoppe for å få dette på plass.
- Dokumentasjon må være på plass?
- Dokumentasjon må inneholde:
- systemeier
- hvem som skal være administrator og forvalter
- hvilke brukere som trenger tilgang
- FQDN og IP adresse for tjenesten
- Dokumentasjon må inneholde:
- Skal tjenesten settes opp i eget datasenter, eller hos en tjenesteleverandør?
- Sikre god segregering
- Er ransomware immutable backup på plass for tjenesten?
- Er tilgangskontroll integrert med Entra ID?
- Er det MFA for alle administratorer, helst med FIDO2?
- Skal tjenesten være tilgjengelig fra internett?
- Kan den settes opp i eksisterende DMZ, eller bør den settes i en egen DMZ?
- Er tjenesten innrullert i kontinuerlig sårbarhetsskanning?
- Hva skal kommunisere med tjenesten, og hva skal tjenesten kommunisere med, og på hvilken måte?
- Om dette er servere i eget datasenter, er løsningen innrullert i Intune eller tilsvarende?
- Logger løsningen til sentralt logging og eventuelt SOC?
- Består løsningen VG testen?
Leave a Reply