Kompromisy pro zabezpečení

  • Článek
  • 4 min ke čtení

Zabezpečení zajišťuje zajištění důvěrnosti, integrity a dostupnosti pro data a systémy organizace. Při návrhu systému můžete téměř nikdy neohrozit kontrolu zabezpečení. Když vylepšíte zabezpečení architektury, může to mít dopad na spolehlivost, efektivitu výkonu, náklady a provozní výkon. Tento článek popisuje některé z těchto důležitých informací.

Zabezpečení vs – spolehlivost

Spolehlivé aplikace jsou odolné a vysoce dostupné. Všechny faktory komponenty architektury v rámci dosahování požadavků na spolehlivost. Zabezpečení úloh je často tkané na mnoho vrstev architektury, provozu a běhových požadavků úloh. a můžou mít své vlastní důsledky na odolnost nebo dostupnost.

Například poskytovatelé identity a autorizační služby jsou důležité závislosti, které je potřeba zvážit. Patří sem služba identity (Microsoft Identity Platform) a všechny knihovny, které usnadňují používání těchto služeb. V některých místech architektury je selhání ve vrstvě identity terminál. V ostatních bodech se spolehlivost dá stále dosáhnout prostřednictvím strategií, jako je ukládání do mezipaměti, využití TTLs v přístupových tokenech a dalších. Ověřování deklarací identity OAuth2 se může vyskytnout většinou odpojit od zprostředkovatele deklarací identity. Nemůžete ale dosáhnout všech autorizací. V těchto situacích může být tato spolehlivost obchodovaná s upřednostněním úplného zabezpečení.

Mnohé úlohy můžou rychle snížit funkčnost a ztratit tak kritické bezpečnostní prvky zabezpečení. Zvažte možnost vyhodnotit u každé součásti vaší architektury, aby se tato podmínka zjistila.

Další bezpečnostní opatření, která mohou mít dopad na spolehlivost:

  • Špatné nebo ruční ověřování nebo postupy střídání klíčů. Selhání těchto úloh může vést k problémům s spolehlivostí.
  • Neplatné objekty služby. Například kanál nasazení, který používá instanční objekt, může selhat později, pokud vypršela platnost přístupového klíče k tomuto objektu zabezpečení. Použití spravovaných identit pomáhá udržet vysokou spolehlivost a zároveň udržuje alespoň oprávnění k této identitě.
  • Vysoká dostupnost se často dosahuje redundancí (aktivně nebo v obou případech) a bezpečnostní ovládací prvky musí také zarovnávat s mechanismem převzetí služeb při selhání. Například selhání při selhání z jednoho účtu úložiště na jiný může mít vliv na to, jak se zpracovává aktivní autorizační relace klienta. Použití spravované identity s integrací služby Azure AD pro přístup k úložišti může mít za následek vyšší spolehlivost, protože klient nemusí spravovat tokeny SAS při přechodu na nový účet úložiště.

Optimalizace nákladů a zabezpečení

Zvýšení zabezpečení zatížení téměř vždy vede k vyšší ceně. Existuje několik způsobů, jak optimalizovat náklady.

  • Maximální zabezpečení nemusí být vždy praktické pro všechna prostředí. Vyhodnoťte požadavky na zabezpečení v předprodukčních a produkčních prostředích. Jsou služby jako Azure DDoS Protection, Azure Sentinel, vyhrazené HSM, je potřeba, aby byl v předprodukčním prostředí Azure Defender potřebný? Je vnitřní smyčka pro ovládací prvky zabezpečení dostačující? Pokud prostředky nejsou veřejně dostupné, můžete pro úsporu nákladů využít nějaké ovládací prvky? Tyto možnosti vždy proveďte, Pokud a pouze v případě, že nižší prostředí stále splňuje požadavky firmy.

  • je možné zvýšit náklady Premium funkcí zabezpečení. K dispozici jsou oblasti, ve kterých můžete snížit náklady pomocí nativních funkcí zabezpečení. Například Neimplementujte vlastní role, pokud můžete použít předdefinované role.

  • Každé řízení zabezpečení má příležitost ovlivnit pracovní postupy a pracovní postupy, které zahrnují lidi, můžou být nákladné. Řízení zabezpečení, které zastaví práci, je nutné vyhodnotit podle potřeby nebo zbytečně redundantní. Celkové náklady na vlastnictví zahrnují provozní náklady pro vývojáře, operátory, IT SecOps a náročné protokoly zabezpečení. Dosáhnete smlouvy, kde "míň" může "dostačující", aby se optimalizoval náklady.

  • Celkové náklady na vlastnictví zahrnují úkoly, které je potřeba provést. Optimalizací tohoto času se optimalizují náklady. Používání funkcí platformy může snížit celkové náklady na vlastnictví a zvýšit stav zabezpečení. Místo školení inženýra, aby ručně zkontroloval protokoly a korelují vzory přístupu, používejte inteligentní služby, jako jsou například výstrahy Azure Defender nebo Sentinel.

Zabezpečení vs – provozní kvalita

Provozní kvalita zahrnuje porozumění chování firmy a úloh a použití vhodných objemů automatizace a jejich pozorování v těchto procesech.

  • Správa vydaných verzí

    Vaše organizace v rámci postupů bezpečného nasazení definuje své brány kvality (manuální nebo automatizovaná). Vyhodnoťte, jestli je každá brána povinná nebo volitelná, přičemž Vezměte v úvahu, jestli je potřeba provést, a to s ohledem na náklady na složitost (a čas) pro danou verzi. Přidání kontrol zabezpečení do procesu zajistí, že se v tomto okamžiku v tomto okamžiku v procesu, než jakékoli zisky (obvykle jednoduchost a čas), zajistěte, aby tyto kontroly byly na místě.

  • Zásady organizace

    Teams může často spolupracovat na spolupráci a používání vzájemně funkčních dovedností ve všech fázích životního cyklu úloh, od vývoje až po produkční prostředí. Nicméně zásady organizace nebo právní předpisy můžou zabránit takovému přístupu v širším dosahu. Vezměte v úvahu, kde je to možné, a izolujte systémy, které potřebují zesílené zásady přístupu od těch, které ne. Vyhněte se použití "jedné velikosti do celého" modelu pro všechny komponenty v systému. Je jednodušší optimalizovat operace v systémech, které umožňují více neregulovaného přístupu. U systémů, které vyžadují řízený přístup, se očekává složitost zvýšení na vyšší náklady.

  • Požadavky na podporu

    Nejvíce "provozní" architektury jsou ty, které jsou pro každého z nich transparentní, a ty často mají nejnižší počet bezpečnostních mechanismů. Přidání ovládacích prvků zabezpečení do vaší architektury, jako jsou filtrované kanály telemetrie, protokoly redigování, omezení přístupu k systému za běhu a tak dále, může mít dopad na podporu řešení. Přidávání ovládacích prvků zabezpečení často vyžaduje přidání kompenzačních nebo ohrožených řešení pro pozorování do platformy.

Vraťte se k hlavnímu článku: zabezpečení