Share via

Compromessi di sicurezza

  • Articolo

La sicurezza fornisce garanzie di riservatezza, integrità e disponibilità del sistema di un carico di lavoro e dei dati degli utenti. I controlli di sicurezza sono necessari per il carico di lavoro e per lo sviluppo software e i componenti operativi del sistema. Quando i team progettano e operano un carico di lavoro, non possono quasi mai compromettere i controlli di sicurezza.

Durante la fase di progettazione di un carico di lavoro, è importante considerare come le decisioni basate sui principi di progettazione della sicurezza e sulle raccomandazioni nell'elenco di controllo Progettazione per la sicurezza potrebbero influenzare gli obiettivi e le ottimizzazioni di altri pilastri. Alcune decisioni di sicurezza possono trarre vantaggio da alcuni pilastri, ma costituiscono compromessi per altri. Questo articolo descrive i compromessi di esempio che un team del carico di lavoro potrebbe riscontrare durante la definizione di garanzie di sicurezza.

Compromessi di sicurezza con affidabilità

Compromesso: maggiore complessità. Il pilastro Affidabilità assegna priorità alla semplicità e consiglia di ridurre al minimo i punti di errore.

  • Alcuni controlli di sicurezza possono aumentare il rischio di mancata configurazione, che può causare interruzioni del servizio. Esempi di controlli di sicurezza che possono introdurre errori di configurazione includono regole del traffico di rete, provider di identità, esclusioni di analisi dei virus e assegnazioni di controllo degli accessi in base al ruolo o basate su attributi.

  • La segmentazione aumentata comporta in genere un ambiente più complesso in termini di topologia di risorsa e topologia di rete e accesso agli operatori. Questa complessità può causare più punti di errore nei processi e nell'esecuzione del carico di lavoro.

  • Gli strumenti di sicurezza del carico di lavoro vengono spesso incorporati in molti livelli dell'architettura, delle operazioni e dei requisiti di runtime di un carico di lavoro. Questi strumenti potrebbero influire sulla resilienza, sulla disponibilità e sulla pianificazione della capacità. L'errore di tenere conto delle limitazioni nello strumento può causare un evento di affidabilità, ad esempio l'esaurimento della porta SNAT in un firewall in uscita.

Compromesso: aumento delle dipendenze critiche. Il pilastro Affidabilità consiglia di ridurre al minimo le dipendenze critiche. Un carico di lavoro che riduce al minimo le dipendenze critiche, soprattutto quelle esterne, ha più controllo sui punti di errore.

Il pilastro Sicurezza richiede un carico di lavoro per verificare in modo esplicito le identità e le azioni. La verifica si verifica tramite dipendenze critiche sui componenti di sicurezza chiave. Se tali componenti non sono disponibili o se non funzionano correttamente, la verifica potrebbe non essere completata. Questo errore inserisce il carico di lavoro in uno stato danneggiato. Alcuni esempi di queste dipendenze critiche a punto singolo di errore sono:

  • Firewall in ingresso e in uscita.
  • Elenchi di revoche di certificati.
  • Tempo di sistema accurato fornito da un server NTP (Network Time Protocol).
  • Provider di identità, ad esempio Microsoft Entra ID.

Compromesso: maggiore complessità del ripristino di emergenza. Un carico di lavoro deve ripristinare in modo affidabile tutte le forme di emergenza.

  • I controlli di sicurezza potrebbero influire sugli obiettivi di tempo di ripristino. Questo effetto può essere causato dai passaggi aggiuntivi necessari per decrittografare i dati di backup o da ritardi di accesso operativi creati dalla valutazione dell'affidabilità del sito.

  • I controlli di sicurezza stessi, ad esempio insiemi di credenziali segrete e il relativo contenuto o protezione DDoS perimetrale, devono essere parte del piano di ripristino di emergenza del carico di lavoro e devono essere convalidati tramite drill di ripristino.

  • I requisiti di sicurezza o conformità possono limitare le opzioni di residenza dei dati o le restrizioni di controllo di accesso per i backup, potenzialmente complicando ulteriormente il ripristino segmentando anche le repliche offline.

Compromesso: aumento del tasso di modifica. Un carico di lavoro che sperimenta la modifica del runtime è esposto a un maggiore rischio di impatto sull'affidabilità a causa di tale modifica.

  • I criteri di patch e aggiornamento più rigorosi comportano più modifiche nell'ambiente di produzione di un carico di lavoro. Questa modifica proviene da origini come queste:

    • Codice applicazione rilasciato più frequentemente a causa di aggiornamenti alle librerie o aggiornamenti alle immagini del contenitore di base
    • Aumento della patch di routine dei sistemi operativi
    • Rimanere aggiornati con applicazioni o piattaforme dati con versioni
    • Applicazione di patch del fornitore al software nell'ambiente

  • Le attività di rotazione per chiavi, credenziali dell'entità servizio e certificati aumentano il rischio di problemi temporanei a causa della tempistica della rotazione e dei client usando il nuovo valore.

Compromessi di sicurezza con Ottimizzazione costi

Compromesso: infrastruttura aggiuntiva. Un approccio all'ottimizzazione dei costi per un carico di lavoro consiste nell'cercare modi per ridurre la diversità e il numero di componenti e aumentare la densità.

Alcuni componenti del carico di lavoro o decisioni di progettazione esistono solo per proteggere la sicurezza (riservatezza, integrità e disponibilità) dei sistemi e dei dati. Questi componenti, anche se migliorano la sicurezza dell'ambiente, aumentano anche i costi. Devono essere soggetti anche all'ottimizzazione dei costi. Alcune origini di esempio per queste risorse aggiuntive o costi di licenza incentrati sulla sicurezza sono:

  • Calcolo, rete e segmentazione dei dati per l'isolamento, che a volte comporta l'esecuzione di istanze separate, impedendo la co-posizione e riducendo la densità.
  • Strumenti di osservabilità specializzati, ad esempio un SIEM che può eseguire aggregazioni e intelligence sulle minacce.
  • Appliance o funzionalità di rete specializzate, ad esempio firewall o prevenzione denial-of-service distribuita.
  • Strumenti di classificazione dei dati necessari per acquisire la riservatezza e le etichette dei tipi di informazioni.
  • Funzionalità di archiviazione o calcolo specializzate per supportare la crittografia inattivi e in transito, ad esempio una funzionalità HSM o di calcolo riservato.
  • Ambienti di test dedicati e strumenti di test per verificare che i controlli di sicurezza siano funzionanti e per scoprire le lacune rilevate in precedenza nella copertura.

Gli elementi precedenti spesso esistono anche all'esterno degli ambienti di produzione, nella preproduzione e nelle risorse di ripristino di emergenza.

Compromesso: aumento della domanda sull'infrastruttura. Il pilastro Ottimizzazione costi assegna priorità alla riduzione della domanda sulle risorse per consentire l'uso di SKU più economici, meno istanze o un consumo ridotto.

  • SKU Premium: alcune misure di sicurezza nei servizi cloud e fornitori che possono trarre vantaggio dal comportamento di sicurezza di un carico di lavoro possono essere trovate solo in SKU o livelli più costosi.

  • Archiviazione log: i dati di monitoraggio e controllo della sicurezza ad alta fedeltà che offrono un'ampia copertura aumentano i costi di archiviazione. I dati di osservabilità della sicurezza vengono spesso archiviati anche per periodi di tempo più lunghi rispetto a quelli in genere necessari per informazioni operative.

  • Aumento del consumo delle risorse: i controlli di sicurezza in-process e on-host possono introdurre ulteriori richieste per le risorse. La crittografia per i dati inattivi e in transito può anche aumentare la domanda. Entrambi gli scenari possono richiedere conteggi di istanze superiori o SKU più grandi.

Compromesso: aumento del processo e dei costi operativi. I costi del processo del personale fanno parte del costo totale complessivo della proprietà e vengono inseriti in un ritorno del carico di lavoro sugli investimenti. L'ottimizzazione di questi costi è una raccomandazione del pilastro Ottimizzazione costi.

  • Un regime di gestione delle patch più completo e rigoroso comporta un aumento del tempo e del denaro speso per queste attività di routine. Questo aumento è spesso associato alle aspettative di investire nella preparazione per l'applicazione di patch ad hoc per gli exploit zero-day.

  • I controlli di accesso più rigorosi per ridurre il rischio di accesso non autorizzato possono causare una gestione degli utenti più complessa e l'accesso operativo.

  • La formazione e la consapevolezza degli strumenti e dei processi di sicurezza richiedono tempo ai dipendenti e comportano anche costi per materiali, insegnanti e ambienti di formazione.

  • La conformità alle normative potrebbe richiedere investimenti aggiuntivi per i controlli e la generazione di report sulla conformità.

  • La pianificazione e l'esecuzione di drill-on per la preparazione della risposta agli eventi imprevisti di sicurezza richiede tempo.

  • Il tempo deve essere allocato per la progettazione e l'esecuzione di processi di routine e ad hoc associati alla sicurezza, ad esempio la rotazione della chiave o del certificato.

  • La convalida della sicurezza di SDLC richiede in genere strumenti specializzati. L'organizzazione potrebbe dover pagare per questi strumenti. La priorità e la correzione dei problemi rilevati durante il test richiedono tempo.

  • Assunzione di professionisti della sicurezza di terze parti per eseguire test o test white-box eseguiti senza conoscenza dei lavori interni di un sistema (talvolta noti come test black-box), inclusi i test di penetrazione, comporta costi.

Compromessi della sicurezza con l'eccellenza operativa

Compromesso: complicazioni nell'osservabilità e nella manutenzione. L'eccellenza operativa richiede che le architetture siano gestibili e osservabili. Le architetture più gestibili sono quelle più trasparenti per tutti gli utenti coinvolti.

  • La sicurezza offre un'ampia registrazione che fornisce informazioni dettagliate su alta fedeltà sul carico di lavoro per segnalare le deviazioni dalle baseline e per la risposta agli eventi imprevisti. Questa registrazione può generare un volume significativo di log, che può rendere più difficile fornire informazioni dettagliate destinate all'affidabilità o alle prestazioni.

  • Quando vengono seguite linee guida di conformità per il mascheramento dei dati, vengono eseguiti segmenti specifici di log o anche grandi quantità di dati tabulari per proteggere la riservatezza. Il team deve valutare il modo in cui questo gap di osservabilità potrebbe influire sull'avviso o impedire la risposta agli eventi imprevisti.

  • La segmentazione avanzata delle risorse aumenta la complessità dell'osservabilità richiedendo traccia e correlazione tra servizi aggiuntivi per l'acquisizione delle tracce del flusso. La segmentazione aumenta anche l'area di superficie di calcolo e dati per il servizio.

  • Alcuni controlli di sicurezza impediscono l'accesso in base alla progettazione. Durante la risposta agli eventi imprevisti, questi controlli possono rallentare l'accesso di emergenza degli operatori del carico di lavoro. Pertanto, i piani di risposta agli eventi imprevisti devono includere maggiore enfasi sulla pianificazione e sulle esercitazioni per raggiungere un'efficacia accettabile.

Compromesso: riduzione dell'agilità e maggiore complessità. I team del carico di lavoro misurano la velocità in modo che possano migliorare la qualità, la frequenza e l'efficienza delle attività di recapito nel tempo. Fattori di complessità del carico di lavoro nell'impegno e nel rischio coinvolti nelle operazioni.

  • I criteri di modifica e approvazione più rigorosi per ridurre il rischio di introdurre vulnerabilità di sicurezza possono rallentare lo sviluppo e la distribuzione sicura delle nuove funzionalità. Tuttavia, l'aspettativa di affrontare gli aggiornamenti della sicurezza e l'applicazione di patch può aumentare la domanda di distribuzioni più frequenti. Inoltre, i criteri di approvazione umani nei processi operativi possono rendere più difficile automatizzare tali processi.

  • I test di sicurezza generano risultati che devono essere classificati in ordine di priorità, potenzialmente bloccando il lavoro pianificato.

  • I processi di routine, ad hoc e di emergenza potrebbero richiedere la registrazione dei controlli per soddisfare i requisiti di conformità. Questa registrazione aumenta la rigidità dell'esecuzione dei processi.

  • I team del carico di lavoro possono aumentare la complessità delle attività di gestione delle identità perché la granularità delle definizioni e delle assegnazioni di ruolo è aumentata.

  • Un numero maggiore di attività operative di routine associate alla sicurezza, ad esempio la gestione dei certificati, aumenta il numero di processi da automatizzare.

Compromesso: maggiore impegno di coordinamento. Un team che riduce al minimo i punti esterni di contatto e la revisione possono controllare le operazioni e la sequenza temporale in modo più efficace.

  • Poiché i requisiti di conformità esterni dall'organizzazione più grande o dalle entità esterne aumentano, la complessità di ottenere e dimostrare la conformità con i revisori aumenta anche.

  • La sicurezza richiede competenze specializzate che i team del carico di lavoro non hanno in genere. Tali competenze sono spesso originate dall'organizzazione più ampia o da terze parti. In entrambi i casi, è necessario stabilire il coordinamento delle attività, dell'accesso e della responsabilità.

  • I requisiti di conformità o organizzativi spesso richiedono piani di comunicazione gestiti per la divulgazione responsabile delle violazioni. Questi piani devono essere considerati nell'impegno di coordinamento della sicurezza.

Compromessi per la sicurezza con l'efficienza delle prestazioni

Compromesso: aumento della latenza e del sovraccarico. Un carico di lavoro con prestazioni elevate riduce la latenza e il sovraccarico.

  • I controlli di sicurezza di ispezione, ad esempio firewall e filtri di contenuto, si trovano nei flussi protetti. Tali flussi sono quindi soggetti a una verifica aggiuntiva, che aggiunge latenza alle richieste.

  • I controlli di identità richiedono che ogni chiamata di un componente controllato venga verificata in modo esplicito. Questa verifica usa cicli di calcolo e potrebbe richiedere l'attraversamento di rete per l'autorizzazione.

  • La crittografia e la decrittografia richiedono cicli di calcolo dedicati. Questi cicli aumentano il tempo e le risorse utilizzate da tali flussi. Questo aumento è in genere correlato alla complessità dell'algoritmo e alla generazione di vettori di entropia elevata e diversi vettori di inizializzazione (IV).

  • Man mano che aumenta l'ampiezza della registrazione, l'impatto sulle risorse di sistema e sulla larghezza di banda di rete per lo streaming di tali log può anche aumentare.

  • La segmentazione delle risorse introduce spesso hop di rete nell'architettura di un carico di lavoro.

Compromesso: maggiore probabilità di errori di configurazione. La riunione affidabile degli obiettivi di prestazioni dipende dalle implementazioni prevedibili della progettazione.

Una configurazione errata o un'eccessiva esestensione dei controlli di sicurezza può influire sulle prestazioni a causa di una configurazione inefficiente. Esempi di configurazioni del controllo di sicurezza che possono influire sulle prestazioni includono:

  • Ordinamento, complessità e quantità delle regole del firewall (granularità).

  • Non è possibile escludere i file chiave dai monitoraggi dell'integrità dei file o dagli scanner di virus. L'abbandono di questo passaggio può causare conflitti di blocco.

  • Web application firewall esegue un'ispezione approfondita dei pacchetti per lingue o piattaforme irrilevanti per i componenti protetti.

Esplorare i compromessi per gli altri pilastri: