16.8
IG2 IG3

Pisahkan Sistem Produksi dan Non-Produksi

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi
Jenis Aset: Aplikasi
Fungsi Keamanan: Lindungi

Deskripsi

Pelihara lingkungan terpisah untuk sistem produksi dan non-produksi.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat
VMware Workspace ONE Gartner MQ Leader, UEM 2024

Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint

Broadcom (VMware) · Langganan per perangkat
Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

Platform firewall generasi baru dengan kebijakan sadar aplikasi, pencegahan ancaman, penyaringan URL, dan SD-WAN

Palo Alto Networks · Perangkat + langganan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kebocoran Data Uji dari Basis Data Pengembangan di Jaringan Produksi

Confidentiality

Penyerang mengkompromikan basis data pengembangan yang berisi salinan data pelanggan produksi karena sistem pengembangan dan produksi berbagi segmen jaringan dan kontrol keamanan yang sama.

Kode Pengembangan yang Tidak Stabil Membuat Sistem Produksi Crash

Availability

Developer secara tidak sengaja men-deploy kode eksperimental ke server produksi karena lingkungan pengembangan dan produksi tidak terpisah, menyebabkan outage produksi.

Penyerang Berpindah dari Lingkungan Pengembangan ke Produksi

Confidentiality

Penyerang mengkompromikan server pengembangan yang keamanannya lemah dan menggunakannya sebagai titik pivot untuk mengakses sistem produksi karena kedua lingkungan berbagi infrastruktur dan kredensial.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pemisahan Antara Lingkungan Produksi dan Non-Produksi

Tanpa pemisahan lingkungan, sistem pengembangan, staging, dan produksi berbagi jaringan, kredensial, atau infrastruktur, memungkinkan masalah atau kompromi di non-produksi berdampak langsung pada produksi.

Kredensial dan Akses Bersama Antar Lingkungan

Lingkungan yang tercampur sering berbagi kredensial basis data, kunci API, dan akun layanan, yang berarti kompromi lingkungan pengembangan yang keamanannya lebih rendah mengekspos rahasia produksi.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman
Control 16
Kebijakan Keamanan Aplikasi
Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman
16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak
16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan
16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga
16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya
16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi
16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi
16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman
16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode
16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi
16.12 Terapkan Pemeriksaan Integritas Tingkat Kode
16.13 Lakukan Pengujian Penetrasi Aplikasi
16.14 Lakukan Pemodelan Ancaman
16.7 16.9