Kompromisse bei der Sicherheit

  • Artikel

Sicherheit bietet Vertraulichkeits-, Integritäts- und Verfügbarkeitsgarantien für das System einer Workload und die Daten ihrer Benutzer. Sicherheitskontrollen sind für die Workload und für die Softwareentwicklungs- und Betriebskomponenten des Systems erforderlich. Wenn Teams eine Workload entwerfen und betreiben, können sie bei Sicherheitskontrollen fast keine Kompromisse eingehen.

Während der Entwurfsphase einer Workload ist es wichtig, zu berücksichtigen, wie Entscheidungen, die auf den Prinzipien des Sicherheitsentwurfs und den Empfehlungen in der Prüfliste für die Entwurfsüberprüfung für die Sicherheit basieren, die Ziele und Optimierungen anderer Säulen beeinflussen können. Bestimmte Sicherheitsentscheidungen können einigen Säulen zugute kommen, aber für andere sind Kompromisse. In diesem Artikel werden Beispiele für Kompromisse beschrieben, die einem Workloadteam beim Einrichten von Sicherheitsgarantien begegnen können.

Sicherheitskonflikt mit Zuverlässigkeit

Kompromiss: Erhöhte Komplexität. Die Säule Zuverlässigkeit priorisiert die Einfachheit und empfiehlt, dass Fehlerpunkte minimiert werden.

  • Einige Sicherheitskontrollen können das Risiko einer Fehlkonfiguration erhöhen, was zu Dienstunterbrechungen führen kann. Beispiele für Sicherheitskontrollen, die zu Fehlkonfigurationen führen können, sind Netzwerkdatenverkehrsregeln, Identitätsanbieter, Virenüberprüfungsausschlüsse und rollenbasierte oder attributbasierte Zugriffssteuerungszuweisungen.

  • Eine höhere Segmentierung führt in der Regel zu einer komplexeren Umgebung in Bezug auf die Ressourcen- und Netzwerktopologie und den Operatorzugriff. Diese Komplexität kann zu mehr Fehlerpunkten in Prozessen und bei der Workloadausführung führen.

  • Workloadsicherheitstools sind häufig in viele Ebenen der Architektur, Vorgänge und Laufzeitanforderungen einer Workload integriert. Diese Tools können sich auf Resilienz, Verfügbarkeit und Kapazitätsplanung auswirken. Wenn Einschränkungen in den Tools nicht berücksichtigt werden, kann dies zu einem Zuverlässigkeitsereignis führen, z. B. zu einer SNAT-Portauslastung in einer Firewall für ausgehenden Datenverkehr.

Kompromiss: Erhöhte kritische Abhängigkeiten. Die Säule Zuverlässigkeit empfiehlt die Minimierung kritischer Abhängigkeiten. Eine Workload, die kritische Abhängigkeiten, insbesondere externe, minimiert, hat mehr Kontrolle über ihre Fehlerpunkte.

Die Säule Sicherheit erfordert eine Workload, um Identitäten und Aktionen explizit zu überprüfen. Die Überprüfung erfolgt über kritische Abhängigkeiten von wichtigen Sicherheitskomponenten. Wenn diese Komponenten nicht verfügbar sind oder nicht funktionieren, wird die Überprüfung möglicherweise nicht abgeschlossen. Dieser Fehler versetzt die Workload in einen heruntergestuften Zustand. Einige Beispiele für diese kritischen Single Point of Failure-Abhängigkeiten sind:

  • Firewalls für eingehenden und ausgehenden Datenverkehr.
  • Zertifikatsperrlisten.
  • Genaue Systemzeit, die von einem NTP-Server (Network Time Protocol) bereitgestellt wird.
  • Identitätsanbieter, z. B. Microsoft Entra ID.

Kompromiss: Höhere Komplexität der Notfallwiederherstellung. Eine Workload muss nach allen Formen von Katastrophen zuverlässig wiederhergestellt werden.

  • Sicherheitskontrollen können sich auf die Wiederherstellungszeitziele auswirken. Dieser Effekt kann durch die zusätzlichen Schritte verursacht werden, die zum Entschlüsseln gesicherter Daten erforderlich sind, oder durch Verzögerungen beim Betriebszugriff, die durch die Standortzuverlässigkeits-Selektierung verursacht werden.

  • Sicherheitskontrollen selbst, z. B. geheime Tresore und deren Inhalt oder Edge-DDoS-Schutz, müssen Teil des Notfallwiederherstellungsplans der Workload sein und durch Wiederherstellungsübungen überprüft werden.

  • Sicherheits- oder Complianceanforderungen können die Optionen für die Datenresidenz oder Die Zugriffssteuerung für Sicherungen einschränken, was die Wiederherstellung möglicherweise noch erschweren kann, indem selbst Offlinereplikate segmentiert werden.

Kompromiss: Erhöhte Änderungsrate. Eine Workload, die eine Laufzeitänderung erlebt, ist aufgrund dieser Änderung einem höheren Risiko ausgesetzt, dass sich die Zuverlässigkeit auf die Zuverlässigkeit auswirkt.

  • Strengere Patch- und Updaterichtlinien führen zu mehr Änderungen in der Produktionsumgebung einer Workload. Diese Änderung stammt aus Quellen wie den folgenden:

    • Anwendungscode wird aufgrund von Updates für Bibliotheken oder Updates von Basiscontainerimages häufiger veröffentlicht.
    • Verstärktes Routinemäßiges Patchen von Betriebssystemen
    • Mit Versionsversionen von Anwendungen oder Datenplattformen auf dem neuesten Stand bleiben
    • Anwenden von Anbieterpatches auf Software in der Umgebung

  • Rotationsaktivitäten für Schlüssel, Dienstprinzipalanmeldeinformationen und Zertifikate erhöhen das Risiko vorübergehender Probleme aufgrund des Timings der Rotation und der Clients, die den neuen Wert verwenden.

Kompromisse bei der Sicherheit bei der Kostenoptimierung

Kompromiss: Zusätzliche Infrastruktur. Ein Ansatz zur Kostenoptimierung einer Workload besteht darin, nach Möglichkeiten zu suchen, um die Vielfalt und Anzahl der Komponenten zu verringern und die Dichte zu erhöhen.

Einige Workloadkomponenten oder Entwurfsentscheidungen sind nur zum Schutz der Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) von Systemen und Daten vorhanden. Diese Komponenten erhöhen zwar die Sicherheit der Umgebung, erhöhen aber auch die Kosten. Sie müssen auch selbst einer Kostenoptimierung unterliegen. Einige Beispielquellen für diese sicherheitsorientierten zusätzlichen Ressourcen oder Lizenzierungskosten sind:

  • Compute-, Netzwerk- und Datensegmentierung für die Isolation, die manchmal die Ausführung separater Instanzen umfasst, die gemeinsame Speicherorte verhindern und die Dichte verringern.
  • Spezialisierte Beobachtbarkeitstools, z. B. ein SIEM, das Aggregation und Threat Intelligence durchführen kann.
  • Spezielle Netzwerkgeräte oder -funktionen, z. B. Firewalls oder verteilte Denial-of-Service-Verhinderung.
  • Datenklassifizierungstools, die zum Erfassen von Vertraulichkeits- und Informationstypbezeichnungen erforderlich sind.
  • Spezielle Speicher- oder Computefunktionen zur Unterstützung der Verschlüsselung im Ruhezustand und während der Übertragung, z. B. hsm- oder confidential-compute-Funktionen.
  • Dedizierte Testumgebungen und Testtools, um zu überprüfen, ob Sicherheitskontrollen funktionieren, und um bisher unentdeckte Lücken in der Abdeckung aufzudecken.

Die oben genannten Elemente sind häufig auch außerhalb von Produktionsumgebungen vorhanden, in Präproduktions- und Notfallwiederherstellungsressourcen.

Kompromiss: Erhöhte Nachfrage nach Infrastruktur. Die Säule Kostenoptimierung priorisiert die Senkung der Ressourcennachfrage, um die Verwendung von kostengünstigeren SKUs, weniger Instanzen oder geringeren Verbrauch zu ermöglichen.

  • Premium-SKUs: Einige Sicherheitsmaßnahmen in Cloud- und Anbieterdiensten, die dem Sicherheitsstatus einer Workload zugute kommen können, befinden sich möglicherweise nur in teureren SKUs oder Tarifen.

  • Protokollspeicher: Hohe Genauigkeit der Sicherheitsüberwachung und Überwachungsdaten, die eine breite Abdeckung bieten, erhöhen die Speicherkosten. Daten zur Sicherheitsüberwachung werden häufig auch länger gespeichert, als normalerweise für operative Erkenntnisse erforderlich wären.

  • Erhöhter Ressourcenverbrauch: Sicherheitskontrollen auf dem Prozess und auf dem Host können zu einer zusätzlichen Ressourcennachfrage führen. Die Verschlüsselung für ruhende und übertragene Daten kann auch die Nachfrage erhöhen. Beide Szenarien können eine höhere anzahl von instance oder größere SKUs erfordern.

Kompromiss: Höhere Prozess- und Betriebskosten. Die Personalprozesskosten sind Teil der Gesamtkosten und werden in den Return on Investment einer Workload berücksichtigt. Die Optimierung dieser Kosten ist eine Empfehlung der Säule Kostenoptimierung.

  • Ein umfassenderes und striktes Patch-Management-Regime führt zu einer Erhöhung des Zeit- und Geldaufwands für diese Routineaufgaben. Dieser Anstieg ist häufig mit der Erwartung verbunden, in die Bereitschaft für Ad-hoc-Patching für Zero-Day-Exploits zu investieren.

  • Strengere Zugriffskontrollen zur Verringerung des Risikos nicht autorisierter Zugriffe können zu einer komplexeren Benutzerverwaltung und zu einem komplexeren betriebsbereiten Zugriff führen.

  • Schulungen und Sensibilisierung für Sicherheitstools und -prozesse nehmen Zeit in Anspruch und verursachen auch Kosten für Materialien, Ausbilder und möglicherweise Schulungsumgebungen.

  • Die Einhaltung von Vorschriften kann zusätzliche Investitionen für Audits und die Erstellung von Complianceberichten erfordern.

  • Die Planung und Durchführung von Drills für die Reaktion auf Sicherheitsvorfälle erfordert Zeit.

  • Für das Entwerfen und Ausführen von Routine- und Ad-hoc-Prozessen, die mit der Sicherheit verbunden sind, wie z. B. Schlüssel- oder Zertifikatrotation, muss Zeit zugewiesen werden.

  • Für die Sicherheitsüberprüfung des SDLC sind in der Regel spezielle Tools erforderlich. Möglicherweise müssen Ihre organization für diese Tools bezahlen. Das Priorisieren und Beheben von Problemen, die während des Testens gefunden wurden, dauert ebenfalls Zeit.

  • Die Einstellung von Sicherheitsexperten von Drittanbietern, die Whitebox-Tests oder Tests durchführen, die ohne Wissen über die internen Funktionsweisen eines Systems (manchmal auch als Blackbox-Tests bezeichnet) durchgeführt werden, einschließlich Penetrationstests, verursacht Kosten.

Kompromisse bei der Sicherheit mit operationaler Exzellenz

Kompromiss: Komplikationen bei der Beobachtbarkeit und Servicefähigkeit. Operational Excellence erfordert, dass Architekturen dienstbar und beobachtbar sind. Die am besten zu nutzenden Architekturen sind diejenigen, die für alle Beteiligten am transparentsten sind.

  • Die Sicherheit profitiert von einer umfangreichen Protokollierung, die einen hochgenauen Einblick in die Workload für Warnungen bei Abweichungen von Baselines und für die Reaktion auf Vorfälle bietet. Diese Protokollierung kann eine beträchtliche Menge von Protokollen generieren, was die Bereitstellung von Erkenntnissen erschweren kann, die auf Zuverlässigkeit oder Leistung ausgerichtet sind.

  • Wenn Compliancerichtlinien für die Datenmaskierung eingehalten werden, werden bestimmte Segmente von Protokollen oder sogar große Mengen von tabellarischen Daten geschwächt, um die Vertraulichkeit zu schützen. Das Team muss bewerten, wie sich diese Beobachtbarkeitslücke auf Warnungen auswirken oder die Reaktion auf Vorfälle behindern kann.

  • Eine starke Ressourcensegmentierung erhöht die Komplexität der Beobachtbarkeit, da zusätzliche dienstübergreifende verteilte Ablaufverfolgung und Korrelation für die Erfassung von Ablaufverfolgungen erforderlich sind. Durch die Segmentierung wird auch die Oberfläche von Compute- und Dienstdaten erhöht.

  • Einige Sicherheitskontrollen behindern den Zugriff entwurfsbedingt. Während der Reaktion auf Vorfälle können diese Kontrollen den Notfallzugriff von Workloadbetreibern verlangsamen. Daher müssen Pläne zur Reaktion auf Vorfälle einen größeren Schwerpunkt auf Planung und Übungen legen, um eine akzeptable Wirksamkeit zu erreichen.

Kompromiss: Verringerte Agilität und erhöhte Komplexität. Workloadteams messen ihre Geschwindigkeit, damit sie die Qualität, Häufigkeit und Effizienz von Übermittlungsaktivitäten im Laufe der Zeit verbessern können. Die Workloadkomplexität beeinflusst den Aufwand und das Risiko, das mit dem Betrieb verbunden ist.

  • Strengere Änderungskontroll- und Genehmigungsrichtlinien zur Verringerung des Risikos, dass Sicherheitsrisiken eingeführt werden, können die Entwicklung und sichere Bereitstellung neuer Features verlangsamen. Die Erwartung, Sicherheitsupdates und Patches zu behandeln, kann jedoch die Nachfrage nach häufigeren Bereitstellungen erhöhen. Darüber hinaus können von Menschen abgegrenzte Genehmigungsrichtlinien in betrieblichen Prozessen die Automatisierung dieser Prozesse erschweren.

  • Sicherheitstests führen zu Ergebnissen, die priorisiert werden müssen, was möglicherweise geplante Arbeit blockiert.

  • Routine-, Ad-hoc- und Notfallprozesse erfordern möglicherweise die Überwachungsprotokollierung, um Complianceanforderungen zu erfüllen. Diese Protokollierung erhöht die Starrheit der Ausführung der Prozesse.

  • Workloadteams können die Komplexität von Identitätsverwaltungsaktivitäten erhöhen, da die Granularität von Rollendefinitionen und -zuweisungen erhöht wird.

  • Eine erhöhte Anzahl von routinemäßigen operativen Aufgaben, die mit der Sicherheit verbunden sind, z. B. die Zertifikatverwaltung, erhöht die Anzahl der zu automatisierden Prozesse.

Kompromiss: Verstärkte Koordinierungsbemühungen. Ein Team, das externe Kontakt- und Überprüfungspunkte minimiert, kann seine Vorgänge steuern und Zeitleiste effektiver.

  • Mit zunehmenden externen Complianceanforderungen der größeren organization oder externer Entitäten steigt auch die Komplexität, die Einhaltung von Prüfern zu erreichen und nachzuweisen.

  • Sicherheit erfordert spezielle Fähigkeiten, die Workloadteams in der Regel nicht besitzen. Diese Fähigkeiten werden häufig von den größeren organization oder von Dritten bezogen. In beiden Fällen müssen die Anstrengungen, der Zugang und die Verantwortung koordiniert werden.

  • Compliance- oder Organisationsanforderungen erfordern häufig gepflegte Kommunikationspläne für die verantwortungsvolle Offenlegung von Sicherheitsverletzungen. Diese Pläne müssen bei der Sicherheitskoordination berücksichtigt werden.

Sicherheitskonflikt mit Leistungseffizienz

Kompromiss: Erhöhte Latenz und Mehraufwand. Eine leistungsfähige Workload reduziert Latenz und Mehraufwand.

  • Überprüfungssicherheitskontrollen wie Firewalls und Inhaltsfilter befinden sich in den flows, die sie schützen. Diese Flows unterliegen daher einer zusätzlichen Überprüfung, was zu einer Latenz für Anforderungen führt.

  • Identitätssteuerelemente erfordern, dass jeder Aufruf einer gesteuerten Komponente explizit überprüft wird. Diese Überprüfung beansprucht Computezyklen und erfordert möglicherweise eine Netzwerkdurchquerung für die Autorisierung.

  • Die Verschlüsselung und Entschlüsselung erfordert dedizierte Computezyklen. Diese Zyklen erhöhen die Von diesen Flows verbrauchte Zeit und Ressourcen. Dieser Anstieg korreliert in der Regel mit der Komplexität des Algorithmus und der Generierung von hoher Entropie und verschiedenen Initialisierungsvektoren (IVs).

  • Mit zunehmender Ausführlichkeit der Protokollierung können sich auch die Auswirkungen auf die Systemressourcen und die Netzwerkbandbreite für das Streaming dieser Protokolle erhöhen.

  • Die Ressourcensegmentierung führt häufig Netzwerk hops in die Architektur einer Workload ein.

Kompromiss: Erhöhte Wahrscheinlichkeit einer Fehlkonfiguration. Die zuverlässige Erfüllung von Leistungszielen hängt von vorhersagbaren Implementierungen des Entwurfs ab.

Eine Fehlkonfiguration oder Überlastung von Sicherheitskontrollen kann sich aufgrund einer ineffizienten Konfiguration auf die Leistung auswirken. Beispiele für Sicherheitssteuerungskonfigurationen, die sich auf die Leistung auswirken können, sind:

  • Firewallregelreihenfolge, Komplexität und Quantität (Granularität).

  • Fehler beim Ausschließen von Schlüsseldateien von Dateiintegritätsmonitoren oder Virenscannern. Die Vernachlässigung dieses Schritts kann zu Sperrenkonflikten führen.

  • Webanwendungsfirewalls, die eine umfassende Paketüberprüfung für Sprachen oder Plattformen durchführen, die für die geschützten Komponenten irrelevant sind.

Erkunden Sie die Kompromisse für die anderen Säulen: