¿Consideraría lo siguiente como "elementos básicos de refuerzo" para equipos y servidores de red?
¿Cuál es la protección mínima necesaria para segmentar mi red interna desde la DMZ y desde el exterior? ¿Es suficiente tener un WAF, suponiendo que se trata de aplicaciones web y que las denegaciones predeterminadas, con reglas muy limitadas, en los cortafuegos?
Los principios más básicos para hacer que una red sea segura son "defensa en profundidad", es decir, debes poner tantas cosas entre tus "joyas de la corona" y posibles atacantes como puedas, y una "área de superficie mínima", eso Es decir, se expone lo menos posible al ataque.
Para llegar allí; su lista de conceptos básicos es bastante buena para abordar la "defensa en profundidad", aunque es posible que desee la posibilidad de incluir en la lista negra o en la lista blanca de aplicaciones.
Debe tener en cuenta las áreas de superficie mínimas: desactivar los privilegios de administrador, los servicios no utilizados, poner en una lista negra cualquier aplicación que se ejecute fuera de c: \ windows, c: \ archivos de programa, etc., bloquear los archivos ejecutables en el USB, desactivar el acceso a la web en máquinas que no lo necesitan, etc.
Finalmente, la guía DSD de Australia en enlace es una muy buena "lista de verificación" para este tipo de cosa: comience en la parte superior y trabaje hacia abajo.
Lea otras preguntas en las etiquetas firewalls network hardening access-control