Afwegingen tussen beveiliging

  • Artikel

Beveiliging biedt vertrouwelijkheid, integriteit en beschikbaarheidsgaranties van het systeem van een workload en de gegevens van de gebruikers. Beveiligingscontroles zijn vereist voor de workload en voor de softwareontwikkeling en operationele onderdelen van het systeem. Wanneer teams een workload ontwerpen en gebruiken, kunnen ze bijna nooit inbreuk maken op beveiligingscontroles.

Tijdens de ontwerpfase van een workload is het belangrijk om te overwegen hoe beslissingen op basis van de beveiligingsontwerpprincipes en de aanbevelingen in de controlelijst voor ontwerpbeoordeling voor beveiliging van invloed kunnen zijn op de doelstellingen en optimalisaties van andere pijlers. Bepaalde beveiligingsbeslissingen kunnen sommige pijlers ten goede komen, maar vormen compromissen voor andere. In dit artikel worden voorbeelden van compromissen beschreven die een workloadteam kan tegenkomen bij het instellen van beveiligingsgaranties.

Balans tussen beveiliging en betrouwbaarheid

Compromis: Meer complexiteit. De pijler Betrouwbaarheid geeft prioriteit aan eenvoud en raadt aan dat punten van fout worden geminimaliseerd.

  • Sommige beveiligingscontroles kunnen het risico op onjuiste configuratie vergroten, wat kan leiden tot een onderbreking van de service. Voorbeelden van beveiligingscontroles die een onjuiste configuratie kunnen veroorzaken, zijn onder andere netwerkverkeersregels, id-providers, uitsluitingen voor virusscans en toewijzingen van toegangsbeheer op basis van rollen of kenmerken.

  • Verhoogde segmentatie resulteert meestal in een complexere omgeving in termen van resource- en netwerktopologie en operatortoegang. Deze complexiteit kan leiden tot meer storingspunten in processen en in de uitvoering van workloads.

  • Hulpprogramma's voor workloadbeveiliging zijn vaak opgenomen in veel lagen van de architectuur, bewerkingen en runtimevereisten van een workload. Deze hulpprogramma's kunnen van invloed zijn op tolerantie, beschikbaarheid en capaciteitsplanning. Als u geen rekening houdt met beperkingen in de hulpprogramma's, kan dit leiden tot een betrouwbaarheidsgebeurtenis, zoals uitputting van SNAT-poorten op een uitgaande firewall.

Compromis: verhoogde kritieke afhankelijkheden. In de pijler Betrouwbaarheid wordt aanbevolen om kritieke afhankelijkheden te minimaliseren. Een workload die kritieke afhankelijkheden minimaliseert, met name externe afhankelijkheden, heeft meer controle over de bijbehorende zwakke punten.

Voor de beveiligingspijler is een workload vereist om identiteiten en acties expliciet te verifiëren. Verificatie vindt plaats via kritieke afhankelijkheden van belangrijke beveiligingsonderdelen. Als deze onderdelen niet beschikbaar zijn of als ze niet goed werken, kan de verificatie mogelijk niet worden voltooid. Deze fout plaatst de werkbelasting in een gedegradeerde status. Enkele voorbeelden van deze kritieke single-point-of-failure-afhankelijkheden zijn:

  • Firewalls voor inkomend en uitgaand verkeer.
  • Certificaatintrekkingslijsten.
  • Nauwkeurige systeemtijd die wordt geleverd door een NTP-server (Network Time Protocol).
  • Id-providers, zoals Microsoft Entra-id.

Afweging: Toegenomen complexiteit van herstel na noodgevallen. Een workload moet betrouwbaar herstellen van alle vormen van noodgeval.

  • Beveiligingscontroles kunnen van invloed zijn op de doelstellingen van de hersteltijd. Dit effect kan worden veroorzaakt door de extra stappen die nodig zijn om back-ups van gegevens te ontsleutelen of door operationele toegangsvertragingen die worden veroorzaakt door de betrouwbaarheidssoring van de site.

  • Beveiligingscontroles zelf, bijvoorbeeld geheime kluizen en hun inhoud of DDoS-beveiliging aan de rand, moeten deel uitmaken van het plan voor herstel na noodgevallen van de workload en moeten worden gevalideerd via herstelanalyses.

  • Beveiligings- of nalevingsvereisten kunnen opties voor gegevenslocatie of toegangsbeheerbeperkingen voor back-ups beperken, waardoor het herstel mogelijk nog ingewikkelder wordt door zelfs offline replica's te segmenteren.

Tradeoff: Verhoogde wijzigingssnelheid. Een workload die runtime-wijzigingen ondervindt, wordt blootgesteld aan een groter risico op betrouwbaarheidsimpact als gevolg van die wijziging.

  • Strengere patch- en updatebeleidsregels leiden tot meer wijzigingen in de productieomgeving van een workload. Deze wijziging is afkomstig van bronnen zoals deze:

    • Toepassingscode wordt vaker vrijgegeven vanwege updates voor bibliotheken of updates voor basiscontainerinstallatiekopieën
    • Verhoogde routinepatching van besturingssystemen
    • Op de hoogte blijven van versietoepassingen of gegevensplatforms
    • Leverancierpatches toepassen op software in de omgeving

  • Rotatieactiviteiten voor sleutels, service-principalreferenties en certificaten verhogen het risico op tijdelijke problemen vanwege de timing van de rotatie en clients die de nieuwe waarde gebruiken.

Afwegingen tussen beveiliging en kostenoptimalisatie

Afweging: Aanvullende infrastructuur. Eén benadering voor het optimaliseren van de kosten van een workload is het zoeken naar manieren om de diversiteit en het aantal onderdelen te verminderen en de dichtheid te verhogen.

Sommige workloadonderdelen of ontwerpbeslissingen bestaan alleen om de beveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) van systemen en gegevens te beschermen. Hoewel deze onderdelen de beveiliging van de omgeving verbeteren, verhogen ze ook de kosten. Ze moeten zelf ook worden onderworpen aan kostenoptimalisatie. Enkele voorbeelden van bronnen voor deze op beveiliging gerichte aanvullende resources of licentiekosten zijn:

  • Berekenings-, netwerk- en gegevenssegmentatie voor isolatie, waarbij soms afzonderlijke exemplaren worden uitgevoerd, waardoor co-locatie wordt voorkomen en de dichtheid wordt verminderd.
  • Gespecialiseerde hulpprogramma's voor waarneembaarheid, zoals een SIEM die aggregatie en bedreigingsinformatie kan uitvoeren.
  • Gespecialiseerde netwerkapparaten of -mogelijkheden, zoals firewalls of preventie van gedistribueerde denial-of-service.
  • Hulpprogramma's voor gegevensclassificatie die vereist zijn voor het vastleggen van vertrouwelijkheids- en informatielabels.
  • Gespecialiseerde opslag- of rekenmogelijkheden ter ondersteuning van versleuteling at rest en tijdens overdracht, zoals een HSM of vertrouwelijke rekenfunctionaliteit.
  • Specifieke testomgevingen en testhulpprogramma's om te controleren of beveiligingscontroles werken en om eerder onontdekte hiaten in de dekking te ontdekken.

De voorgaande items bestaan vaak ook buiten productieomgevingen, in resources voor preproductie en herstel na noodgevallen.

Tradeoff: Toegenomen vraag naar infrastructuur. De pijler Kostenoptimalisatie geeft prioriteit aan het verlagen van de vraag naar resources om het gebruik van goedkopere SKU's, minder exemplaren of een lager verbruik mogelijk te maken.

  • Premium-SKU's: sommige beveiligingsmaatregelen in cloud- en leveranciersservices die de beveiligingspostuur van een workload ten goede kunnen komen, zijn mogelijk alleen te vinden in duurdere SKU's of -lagen.

  • Logboekopslag: bewakings- en auditgegevens van hoge kwaliteit die een brede dekking bieden, verhogen de opslagkosten. Gegevens over waarneembaarheid van beveiliging worden ook vaak langer opgeslagen dan normaal gesproken nodig is voor operationele inzichten.

  • Meer resourceverbruik: In-process en on-host beveiligingsmaatregelen kunnen leiden tot extra vraag naar resources. Versleuteling voor data-at-rest en in transit kan ook de vraag verhogen. Voor beide scenario's kunnen hogere exemplaren of grotere SKU's zijn vereist.

Afweging: hogere proces- en operationele kosten. De kosten van het personeelsproces maken deel uit van de totale totale eigendomskosten en worden meegenomen in het rendement van een workload. Het optimaliseren van deze kosten is een aanbeveling van de pijler Kostenoptimalisatie.

  • Een uitgebreidere en striktere patchbeheerregeling leidt tot een toename van de tijd en het geld dat aan deze routinetaken wordt besteed. Deze toename gaat vaak gepaard met de verwachting om te investeren in paraatheid voor ad hoc patching voor zero-day exploits.

  • Strengere toegangscontroles om het risico van onbevoegde toegang te verminderen, kunnen leiden tot complexere gebruikersbeheer en operationele toegang.

  • Training en bewustzijn voor beveiligingshulpmiddelen en -processen nemen tijd in beslag voor werknemers en brengen ook kosten in rekening voor materialen, instructeurs en mogelijk trainingsomgevingen.

  • Het voldoen aan regelgeving kan extra investeringen vereisen voor audits en het genereren van nalevingsrapportage.

  • Het plannen en uitvoeren van oefeningen voor de reactie op beveiligingsincidenten kost tijd.

  • Er moet tijd worden toegewezen voor het ontwerpen en uitvoeren van routine- en ad-hocprocessen die zijn gekoppeld aan beveiliging, zoals sleutel- of certificaatrotatie.

  • Voor de beveiligingsvalidatie van de SDLC zijn meestal gespecialiseerde hulpprogramma's vereist. Uw organisatie moet mogelijk betalen voor deze hulpprogramma's. Het prioriteren en oplossen van problemen die tijdens het testen zijn gevonden, kost ook tijd.

  • Het inhuren van externe beveiligingsbeoefenaars om white-box-tests uit te voeren of tests uit te voeren die worden uitgevoerd zonder kennis van de interne werking van een systeem (ook wel bekend als black-box-tests), inclusief penetratietests, brengt kosten met zich mee.

Balans tussen beveiliging en Operational Excellence

Compromis: Complicaties in waarneembaarheid en bruikbaarheid. Operational Excellence vereist dat architecturen bruikbaar en waarneembaar zijn. De meest bruikbare architecturen zijn de architecturen die het meest transparant zijn voor alle betrokkenen.

  • De beveiliging profiteert van uitgebreide logboekregistratie die inzicht biedt in de workload voor waarschuwingen bij afwijkingen van basislijnen en voor het reageren op incidenten. Deze logboekregistratie kan een groot aantal logboeken genereren, waardoor het moeilijker wordt om inzichten te bieden die gericht zijn op betrouwbaarheid of prestaties.

  • Wanneer nalevingsrichtlijnen voor gegevensmaskering worden gevolgd, worden specifieke segmenten van logboeken of zelfs grote hoeveelheden gegevens in tabelvorm bewerkt om de vertrouwelijkheid te beschermen. Het team moet evalueren hoe deze waarneembaarheidskloof van invloed kan zijn op waarschuwingen of het reageren op incidenten kan belemmeren.

  • Sterke resourcesegmentatie verhoogt de complexiteit van de waarneembaarheid door extra gedistribueerde tracering en correlatie tussen services te vereisen voor het vastleggen van stroomtraceringen. De segmentatie vergroot ook de oppervlakte van rekenkracht en gegevens voor service.

  • Sommige beveiligingscontroles verhinderen de toegang door het ontwerp. Tijdens het reageren op incidenten kunnen deze besturingselementen de noodtoegang van workloadoperators vertragen. Daarom moeten incidentresponsplannen meer nadruk leggen op planning en oefeningen om een aanvaardbare werkzaamheid te bereiken.

Compromis: Minder flexibiliteit en meer complexiteit. Workloadteams meten hun snelheid, zodat ze de kwaliteit, frequentie en efficiëntie van leveringsactiviteiten in de loop van de tijd kunnen verbeteren. Complexiteit van de werkbelasting is van toepassing op de inspanningen en risico's van bewerkingen.

  • Strenger beleid voor wijzigingscontrole en goedkeuring om het risico op het introduceren van beveiligingsproblemen te verminderen, kan de ontwikkeling en veilige implementatie van nieuwe functies vertragen. De verwachting van het aanpakken van beveiligingsupdates en patching kan echter de vraag naar frequentere implementaties verhogen. Bovendien kan het door mensen aangestuurde goedkeuringsbeleid in operationele processen het automatiseren van deze processen moeilijker maken.

  • Beveiligingstests leiden tot resultaten die prioriteit moeten krijgen, waardoor gepland werk mogelijk wordt geblokkeerd.

  • Routine-, ad-hoc- en noodprocessen vereisen mogelijk auditlogboekregistratie om te voldoen aan de nalevingsvereisten. Deze logboekregistratie verhoogt de starheid van het uitvoeren van de processen.

  • Workloadteams kunnen de complexiteit van identiteitsbeheeractiviteiten verhogen naarmate de granulariteit van roldefinities en toewijzingen wordt verhoogd.

  • Een groter aantal routinematige operationele taken die zijn gekoppeld aan beveiliging, zoals certificaatbeheer, verhoogt het aantal processen dat moet worden geautomatiseerd.

Compromis: Meer coördinatie-inspanningen. Een team dat externe contactpunten en beoordelingspunten minimaliseert, kan hun activiteiten en tijdlijn effectiever beheren.

  • Naarmate de externe nalevingsvereisten van de grotere organisatie of van externe entiteiten toenemen, neemt de complexiteit van het bereiken en bewijzen van naleving met auditors ook toe.

  • Beveiliging vereist gespecialiseerde vaardigheden die workloadteams doorgaans niet hebben. Deze tekortkomingen zijn vaak afkomstig van de grotere organisatie of van derden. In beide gevallen moet coördinatie van inspanningen, toegang en verantwoordelijkheid tot stand worden gebracht.

  • Nalevings- of organisatievereisten vereisen vaak onderhouden communicatieplannen voor verantwoorde openbaarmaking van schendingen. Deze plannen moeten worden meegenomen in de inspanningen op het gebied van de veiligheidscoördinatie.

Beveiliging compromissen met prestatie-efficiëntie

Afweging: verhoogde latentie en overhead. Een goed presterende workload vermindert de latentie en overhead.

  • Controlemechanismen voor inspectiebeveiliging, zoals firewalls en inhoudsfilters, bevinden zich in de stromen die ze beveiligen. Deze stromen worden daarom onderworpen aan aanvullende verificatie, waardoor latentie aan aanvragen wordt toegevoegd.

  • Voor identiteitsbesturingselementen moet elke aanroep van een beheerd onderdeel expliciet worden geverifieerd. Deze verificatie verbruikt rekencycli en vereist mogelijk netwerkoverloop voor autorisatie.

  • Voor versleuteling en ontsleuteling zijn toegewezen rekencycli vereist. Deze cycli verhogen de tijd en resources die door deze stromen worden verbruikt. Deze toename is meestal gecorreleerd met de complexiteit van het algoritme en het genereren van hoge entropie en diverse initialisatievectoren (IP's).

  • Naarmate de uitgebreidheid van logboekregistratie toeneemt, kan de impact op systeembronnen en netwerkbandbreedte voor het streamen van deze logboeken ook toenemen.

  • Resourcesegmentatie introduceert vaak netwerkhops in de architectuur van een workload.

Afweging: Verhoogde kans op onjuiste configuratie. Het betrouwbaar behalen van prestatiedoelen is afhankelijk van voorspelbare implementaties van het ontwerp.

Een onjuiste configuratie of overextensie van beveiligingscontroles kan de prestaties beïnvloeden vanwege inefficiënte configuratie. Voorbeelden van configuraties voor beveiligingsbeheer die van invloed kunnen zijn op de prestaties zijn:

  • Volgorde, complexiteit en hoeveelheid van firewallregels (granulariteit).

  • Kan sleutelbestanden niet uitsluiten van bestandsintegriteitscontroles of virusscanners. Het negeren van deze stap kan leiden tot vergrendelingsconflicten.

  • Web Application Firewalls die uitgebreide pakketinspectie uitvoeren voor talen of platforms die niet relevant zijn voor de onderdelen die worden beveiligd.

Verken de compromissen voor de andere pijlers: