Ouf! Par où commencer ... Cela dépend de la «sécurité» dont vous avez besoin. C'est-à-dire une différence entre un blog personnel et un grand projet pour une grande entreprise/département du gouvernement. etc ...
Dans aucun ordre particulier
- Sécurisez vos fichiers de configuration en les chiffrant.
- Assurez-vous que votre base de données est derrière une sorte de zone démilitarisée et non pas sur une adresse IP
- accessible au public Obtenez une entreprise de sécurité pour donner à votre site une révision de vulneribilities potentiels (Injection Cross Site Scripting/Sql)
- SSL
- fermer tout port sage sur le serveur, sauf pour 80 HTTP & 443 HTTPS, sauf si absolument nécessaire
- Assurez-vous que vos connexions de bureau/VNC à distance à la boîte sont sécurisés
- Si vos mots de passe stocker dans la base de données, hachage & saler et ne pas stocker le texte brut
- Publish votre code, et ne pas laisser le code source sur le serveur
- Construisez votre code basé sur les normes connues, à savoir ne pas écrire vos propres algorithmes Crypto
- Si les connexions sécurisées entre Site-> DB ou Site-MSMQ sont disponibles, utilisez-les
Microsoft a un bon article sur la sécurisation des applications ASP.NET que je vais creuser.
Modifier
Et comme Syed juste écrit dans sa réponse, (+1 un crédit lui)
Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication
L'une des principales menaces, bien réelles mais souvent négligées, est une violation de la sécurité au sein de l'organisation. Les employés mécontents ou mal intentionnés ont souvent plus à gagner et ont plus d'accès en termes de sécurité. C'est une des raisons pour lesquelles, bien que cela puisse paraître contre-intuitif, certaines entreprises choisissent d'utiliser un tiers pour héberger leurs données. – BobbyShaftoe