Kompromisy v oblasti zabezpečení

  • Článek

Zabezpečení zajišťuje důvěrnost, integritu a dostupnost systému úlohy a dat uživatelů. Bezpečnostní prvky jsou nutné pro úlohu a pro vývoj softwaru a provozní součásti systému. Když týmy navrhují a provozují úlohu, téměř nikdy nemůžou ohrozit bezpečnostní prvky.

Během fáze návrhu úlohy je důležité zvážit, jak můžou rozhodnutí na základě principů návrhu a doporučení v kontrolním seznamu kontroly návrhu pro zabezpečení ovlivnit cíle a optimalizace ostatních pilířů. Některá bezpečnostní rozhodnutí mohou být přínosná pro některé pilíře, ale představují kompromisy pro jiné. Tento článek popisuje příklady kompromisů, se kterými se tým úloh může setkat při vytváření záruk zabezpečení.

Kompromisy zabezpečení se spolehlivostí

Kompromis: Zvýšená složitost. Pilíř Spolehlivost upřednostňuje jednoduchost a doporučuje minimalizovat body selhání.

  • Některé bezpečnostní prvky můžou zvýšit riziko chybné konfigurace, což může vést k přerušení služby. Mezi příklady kontrolních mechanismů zabezpečení, které můžou zavádět chybnou konfiguraci, patří pravidla síťového provozu, zprostředkovatelé identit, vyloučení kontroly virů a přiřazení řízení přístupu na základě rolí nebo atributů.

  • Zvýšená segmentace obvykle vede ke složitějšímu prostředí z hlediska topologie prostředků a sítě a přístupu operátorů. Tato složitost může vést k dalším bodům selhání v procesech a při provádění úloh.

  • Nástroje pro zabezpečení úloh jsou často začleněny do mnoha vrstev požadavků na architekturu, provoz a modul runtime úlohy. Tyto nástroje můžou mít vliv na odolnost, dostupnost a plánování kapacity. Nezohlednění omezení v nástrojích může vést k události spolehlivosti, jako je vyčerpání portů SNAT v bráně firewall výchozího přenosu dat.

Kompromis: Zvýšení kritických závislostí. Pilíř Spolehlivost doporučuje minimalizovat kritické závislosti. Úloha, která minimalizuje kritické závislosti, zejména externí, má větší kontrolu nad svými body selhání.

Pilíř Zabezpečení vyžaduje úlohu, která explicitně ověřuje identity a akce. K ověření dochází prostřednictvím kritických závislostí na klíčových komponentách zabezpečení. Pokud tyto komponenty nejsou k dispozici nebo pokud nefungují správně, ověření nemusí být dokončeno. Toto selhání uvede úlohu do degradovaného stavu. Tady je několik příkladů těchto kritických závislostí, které se dají s kritickým bodem způsobujícím selhání:

  • Brány firewall pro příchozí a výchozí přenos dat.
  • Seznamy odvolaných certifikátů
  • Přesný systémový čas poskytovaný serverem PROTOKOLU NTP (Network Time Protocol).
  • Zprostředkovatelé identity, například ID Microsoft Entra.

Kompromis: Zvýšená složitost zotavení po havárii. Úloha se musí spolehlivě zotavit ze všech forem havárie.

  • Kontrolní mechanismy zabezpečení můžou mít vliv na cíle doby obnovení. Tento účinek může být způsobený dalšími kroky potřebnými k dešifrování zálohovaných dat nebo zpožděními provozního přístupu, která vznikla při posouzení spolehlivosti lokality.

  • Samotné kontrolní mechanismy zabezpečení, například trezory tajných kódů a jejich obsah nebo ochrana před útoky DDoS edge, musí být součástí plánu zotavení po havárii úlohy a musí se ověřovat prostřednictvím postupů obnovení.

  • Požadavky na zabezpečení nebo dodržování předpisů můžou omezit možnosti rezidence dat nebo omezení řízení přístupu pro zálohy, které můžou dále komplikovat obnovení segmentací dokonce i offline replik.

Kompromis: Zvýšená míra změn. Úloha, u které dochází ke změně za běhu, je vystavena většímu riziku dopadu na spolehlivost v důsledku této změny.

  • Přísnější zásady oprav a aktualizací vedou k větším změnám v produkčním prostředí úlohy. Tato změna pochází z těchto zdrojů:

    • Kód aplikace se vydává častěji kvůli aktualizacím knihoven nebo aktualizacím základních imagí kontejnerů
    • Zvýšené rutinní opravy operačních systémů
    • Udržování aktuálního stavu s aplikacemi s verzemi nebo datovými platformami
    • Použití oprav dodavatele na software v prostředí

  • Aktivity obměny klíčů, přihlašovacích údajů instančního objektu a certifikátů zvyšují riziko přechodných problémů kvůli načasování obměny a použití nové hodnoty klienty.

Kompromisy zabezpečení s optimalizací nákladů

Kompromis: Další infrastruktura. Jedním z přístupů k optimalizaci nákladů na úlohu je hledat způsoby, jak snížit rozmanitost a počet komponent a zvýšit hustotu.

Některé komponenty úloh nebo rozhodnutí o návrhu existují pouze kvůli ochraně zabezpečení (důvěrnosti, integrity a dostupnosti) systémů a dat. I když tyto komponenty zvyšují zabezpečení prostředí, zvyšují také náklady. Musí také podléhat optimalizaci nákladů. Mezi příklady zdrojů pro tyto další prostředky zaměřené na zabezpečení nebo náklady na licencování patří:

  • Výpočetní prostředky, síť a segmentace dat za účelem izolace, která někdy zahrnuje spouštění samostatných instancí, což brání společnému umístění a snižuje hustotu.
  • Specializované nástroje pozorovatelnosti, jako je SIEM, které mohou provádět agregaci a analýzu hrozeb.
  • Specializovaná síťová zařízení nebo možnosti, jako jsou brány firewall nebo distribuovaná prevence odepření služby.
  • Nástroje pro klasifikaci dat, které jsou potřeba k zachycení popisků citlivosti a informací.
  • Specializované úložiště nebo výpočetní funkce pro podporu šifrování neaktivních uložených uložených dat a přenášených dat, jako je HSM nebo funkce důvěrných výpočetních prostředků.
  • Vyhrazená testovací prostředí a testovací nástroje k ověření fungování bezpečnostních prvků a k odhalení dříve neodhalených mezer v pokrytí.

Výše uvedené položky se často nacházejí také mimo produkční prostředí, v předprodukčních prostředcích a prostředcích pro zotavení po havárii.

Kompromis: Zvýšená poptávka po infrastruktuře. Pilíř Optimalizace nákladů upřednostňuje snížení poptávky po prostředcích, aby bylo možné využívat levnější skladové položky, méně instancí nebo nižší spotřebu.

  • Cenové úrovně Premium: Některá bezpečnostní opatření v cloudových a dodavatelových službách, která můžou být přínosná z hlediska zabezpečení úlohy, se můžou nacházet jenom v dražších skladových posadkách nebo úrovních.

  • Úložiště protokolů: Vysoce věrné monitorování zabezpečení a auditování dat, která poskytují široké pokrytí, zvyšují náklady na úložiště. Data o pozorovatelnosti zabezpečení se také často ukládají po delší dobu, než je obvykle potřeba pro přehledy provozu.

  • Vyšší spotřeba prostředků: Procesní a hostitelské bezpečnostní prvky můžou zvyšovat poptávku po prostředcích. Šifrování neaktivních uložených dat a přenášených dat může také zvýšit poptávku. Oba scénáře můžou vyžadovat vyšší počet instancí nebo větší skladové položky.

Kompromis: Zvýšení procesních a provozních nákladů. Náklady na personální procesy jsou součástí celkových nákladů na vlastnictví a jsou zohledněny do návratnosti investic úlohy. Optimalizace těchto nákladů je doporučením pilíře Optimalizace nákladů.

  • Komplexnější a přísnější režim správy oprav vede k nárůstu času a peněz vynaložených na tyto rutinní úkoly. Toto zvýšení je často spojeno s očekáváním investice do připravenosti na ad hoc opravy pro zneužití nultého dne.

  • Přísnější řízení přístupu za účelem snížení rizika neoprávněného přístupu může vést ke složitější správě uživatelů a provoznímu přístupu.

  • Školení a povědomí o bezpečnostních nástrojích a procesech zabírají čas zaměstnanců a také náklady na materiály, instruktory a případně školicí prostředí.

  • Dodržování předpisů může vyžadovat další investice do auditů a generování sestav dodržování předpisů.

  • Plánování a provádění nácviků připravenosti na reakce na incidenty zabezpečení nějakou dobu trvá.

  • Čas je potřeba přidělit návrhu a provádění rutinních a ad hoc procesů, které jsou spojené se zabezpečením, jako je obměně klíčů nebo certifikátů.

  • Ověření zabezpečení SDLC obvykle vyžaduje specializované nástroje. Vaše organizace může za tyto nástroje platit. Stanovení priority a náprava problémů zjištěných během testování také nějakou dobu trvá.

  • Zaměstnání odborníků na zabezpečení třetích stran, kteří budou provádět testování white-box nebo testování, které se provádí bez znalosti interních fungování systému (někdy označovaných jako testování typu black-box), včetně testování průniku, s sebou nese náklady.

Kompromisy v oblasti zabezpečení a efektivita provozu

Kompromis: Komplikace pozorovatelnosti a provozuschopnosti. Efektivita provozu vyžaduje, aby architektury byly obsluhovatelné a pozorovatelné. Nejprůhlednější architektury jsou ty, které jsou pro všechny zúčastněné nejtransparentnější.

  • Zabezpečení těží z rozsáhlého protokolování, které poskytuje vysoce věrný přehled o úlohách pro upozorňování na odchylky od standardních hodnot a pro reakce na incidenty. Toto protokolování může generovat velký objem protokolů, což může znesnadnit poskytování přehledů zaměřených na spolehlivost nebo výkon.

  • Při dodržování předpisů pro maskování dat se kvůli ochraně důvěrnosti redigují určité segmenty protokolů nebo i velké objemy tabulkových dat. Tým musí vyhodnotit, jak tato mezera pozorovatelnosti může ovlivnit upozorňování nebo bránit reakci na incidenty.

  • Silná segmentace prostředků zvyšuje složitost pozorovatelnosti tím, že pro zachycení trasování toků vyžaduje další trasování a korelaci distribuované mezi službami. Segmentace také zvyšuje plochu výpočetních prostředků a dat pro obsluhu.

  • Některé ovládací prvky zabezpečení záměrně přístup znemožňují. Během reakce na incidenty můžou tyto ovládací prvky zpomalit nouzový přístup operátorů úloh. Proto musí plány reakce na incidenty zahrnovat větší důraz na plánování a postupy, aby bylo možné dosáhnout přijatelné účinnosti.

Kompromis: Menší agilita a zvýšená složitost. Týmy úloh měří rychlost, aby mohly zlepšit kvalitu, frekvenci a efektivitu aktivit doručování v průběhu času. Složitost úloh ovlivňuje úsilí a rizika spojená s provozem.

  • Přísnější zásady řízení a schvalování změn za účelem snížení rizika zavedení ohrožení zabezpečení můžou zpomalit vývoj a bezpečné nasazení nových funkcí. Očekávání řešení aktualizací zabezpečení a oprav však může zvýšit poptávku po častějších nasazeních. Zásady schvalování chráněné člověkem v provozních procesech navíc můžou ztěžovat automatizaci těchto procesů.

  • Výsledkem testování zabezpečení jsou zjištění, která je třeba stanovit prioritu, a potenciálně tak blokovat plánovanou práci.

  • Rutinní, ad hoc a nouzové procesy můžou kvůli splnění požadavků na dodržování předpisů vyžadovat protokolování auditu. Toto protokolování zvyšuje strnulost spouštění procesů.

  • Týmy úloh můžou zvýšit složitost aktivit správy identit s tím, jak se zvyšuje členitost definic rolí a přiřazení.

  • Zvýšený počet rutinních provozních úloh, které jsou spojené se zabezpečením, jako je správa certifikátů, zvyšuje počet procesů, které se mají automatizovat.

Kompromis: Zvýšené úsilí o koordinaci. Tým, který minimalizuje externí kontaktní a kontrolní body, může efektivněji řídit svůj provoz a časovou osu.

  • S tím, jak se zvyšují požadavky na externí dodržování předpisů z větší organizace nebo externích entit, zvyšuje se také složitost dosažení a prokazování dodržování předpisů auditory.

  • Zabezpečení vyžaduje specializované dovednosti, které týmy úloh obvykle nemají. Tyto znalosti často pocházejí od větší organizace nebo od třetích stran. V obou případech je nutné stanovit koordinaci úsilí, přístupu a odpovědnosti.

  • Dodržování předpisů nebo organizační požadavky často vyžadují udržované komunikační plány pro zodpovědné zveřejňování porušení zabezpečení. Tyto plány musí být zohledněny v úsilí o koordinaci bezpečnosti.

Kompromisy zabezpečení s efektivitou výkonu

Kompromis: Vyšší latence a režie. Výkonná úloha snižuje latenci a režii.

  • Kontrolní bezpečnostní prvky, jako jsou brány firewall a filtry obsahu, se nacházejí v tocích, které zabezpečují. Tyto toky proto podléhají dodatečnému ověření, které zvyšuje latenci požadavků.

  • Ovládací prvky identit vyžadují, aby každé vyvolání řízené komponenty bylo explicitně ověřeno. Toto ověření využívá výpočetní cykly a k autorizaci může vyžadovat síťové procházení.

  • Šifrování a dešifrování vyžaduje vyhrazené výpočetní cykly. Tyto cykly prodlužují čas a prostředky spotřebované těmito toky. Tento nárůst obvykle koreluje se složitostí algoritmu a generováním vysoce entropie a různorodých inicializačních vektorů (IV).

  • S rostoucím rozsahem protokolování se může zvýšit i dopad na systémové prostředky a šířku pásma sítě pro streamování těchto protokolů.

  • Segmentace prostředků často zavádí síťové segmenty směrování do architektury úlohy.

Kompromis: Větší pravděpodobnost chybné konfigurace. Spolehlivé plnění výkonnostních cílů závisí na předvídatelných implementacích návrhu.

Chybná konfigurace nebo nadměrné zvýšení výkonu ovládacích prvků zabezpečení může mít vliv na výkon z důvodu neefektivní konfigurace. Mezi příklady konfigurací kontrolních mechanismů zabezpečení, které můžou mít vliv na výkon, patří:

  • Řazení pravidel brány firewall, jejich složitost a množství (členitost)

  • Nedaří se vyloučit klíčové soubory z monitorování integrity souborů nebo virových skenerů. Zanedbání tohoto kroku může vést ke kolizím o uzamčení.

  • Firewally webových aplikací provádějící hloubkovou kontrolu paketů pro jazyky nebo platformy, které jsou pro chráněné komponenty irelevantní.

Prozkoumejte kompromisy pro ostatní pilíře: