Säkerhetsavvägningar

  • Artikel

Säkerhet ger konfidentialitet, integritet och tillgänglighetsgarantier för en arbetsbelastnings system och dess användares data. Säkerhetskontroller krävs för arbetsbelastningen och för programvaruutveckling och driftkomponenter i systemet. När team utformar och använder en arbetsbelastning kan de nästan aldrig kompromissa med säkerhetskontroller.

Under designfasen för en arbetsbelastning är det viktigt att överväga hur beslut som baseras på principerna för säkerhetsdesign och rekommendationerna i checklistan Designgranskning för säkerhet kan påverka andra pelares mål och optimeringar. Vissa säkerhetsbeslut kan gynna vissa pelare men utgöra kompromisser för andra. I den här artikeln beskrivs exempel på kompromisser som ett arbetsbelastningsteam kan stöta på när säkerhetsgarantier upprättas.

Säkerhetsavvägningar med tillförlitlighet

Kompromiss: Ökad komplexitet. Tillförlitlighetspelare prioriterar enkelhet och rekommenderar att felpunkter minimeras.

  • Vissa säkerhetskontroller kan öka risken för felkonfiguration, vilket kan leda till avbrott i tjänsten. Exempel på säkerhetskontroller som kan införa felkonfiguration är regler för nätverkstrafik, identitetsprovidrar, undantag för virusgenomsökning och rollbaserade eller attributbaserade åtkomstkontrolltilldelningar.

  • Ökad segmentering resulterar vanligtvis i en mer komplex miljö när det gäller resurs- och nätverkstopologi och operatörsåtkomst. Den här komplexiteten kan leda till fler felpunkter i processer och i arbetsbelastningskörning.

  • Verktyg för arbetsbelastningssäkerhet ingår ofta i många lager i en arbetsbelastnings arkitektur, åtgärder och körningskrav. Dessa verktyg kan påverka återhämtning, tillgänglighet och kapacitetsplanering. Om du inte tar hänsyn till begränsningar i verktygen kan det leda till en tillförlitlighetshändelse, till exempel SNAT-portöverbelastning i en utgående brandvägg.

Kompromiss: Ökade kritiska beroenden. Grundpelare för tillförlitlighet rekommenderar att du minimerar kritiska beroenden. En arbetsbelastning som minimerar kritiska beroenden, särskilt externa, har större kontroll över sina felpunkter.

Säkerhetspelare kräver en arbetsbelastning för att uttryckligen verifiera identiteter och åtgärder. Verifiering sker via kritiska beroenden för viktiga säkerhetskomponenter. Om dessa komponenter inte är tillgängliga eller om de inte fungerar kanske verifieringen inte slutförs. Det här felet försätter arbetsbelastningen i ett degraderat tillstånd. Några exempel på dessa kritiska enpunktsberoenden är:

  • Brandväggar för inkommande och utgående trafik.
  • Listor över återkallade certifikat.
  • Korrekt systemtid som tillhandahålls av en NTP-server (Network Time Protocol).
  • Identitetsprovidrar, till exempel Microsoft Entra-ID.

Kompromiss: Ökad komplexitet i haveriberedskap. En arbetsbelastning måste återställas på ett tillförlitligt sätt från alla former av haveri.

  • Säkerhetskontroller kan påverka mål för återställningstid. Den här effekten kan orsakas av de ytterligare steg som krävs för att dekryptera säkerhetskopierade data eller av driftsfördröjningar som skapats av platsens tillförlitlighetstriage.

  • Själva säkerhetskontrollerna, till exempel hemliga valv och deras innehåll eller edge DDoS-skydd, måste ingå i arbetsbelastningens haveriberedskapsplan och måste verifieras via återställningstest.

  • Säkerhets- eller efterlevnadskrav kan begränsa alternativen för datahemvist eller begränsningar för åtkomstkontroll för säkerhetskopior, vilket kan ytterligare komplicera återställningen genom att segmentera även offlinerepliker.

Kompromiss: Ökad förändringstakt. En arbetsbelastning som upplever körningsändringar utsätts för större risk för tillförlitlighetspåverkan på grund av den ändringen.

  • Strängare korrigerings- och uppdateringsprinciper leder till fler ändringar i en arbetsbelastnings produktionsmiljö. Den här ändringen kommer från källor som dessa:

    • Programkod släpps oftare på grund av uppdateringar av bibliotek eller uppdateringar av bascontaineravbildningar
    • Ökad rutinkorrigering av operativsystem
    • Håll dig uppdaterad med versionsbaserade program eller dataplattformar
    • Tillämpa leverantörskorrigeringar på programvara i miljön

  • Rotationsaktiviteter för nycklar, autentiseringsuppgifter för tjänstens huvudnamn och certifikat ökar risken för tillfälliga problem på grund av tidpunkten för rotationen och klienter som använder det nya värdet.

Säkerhetsavvägningar med kostnadsoptimering

Kompromiss: Ytterligare infrastruktur. En metod för kostnadsoptimering av en arbetsbelastning är att leta efter sätt att minska mångfalden och antalet komponenter och öka densiteten.

Vissa arbetsbelastningskomponenter eller designbeslut finns bara för att skydda säkerheten (konfidentialitet, integritet och tillgänglighet) för system och data. Dessa komponenter ökar även kostnaderna, även om de förbättrar miljöns säkerhet. De måste också vara föremål för kostnadsoptimering själva. Några exempelkällor för dessa säkerhetscentrerade ytterligare resurser eller licenskostnader är:

  • Beräkning, nätverk och datasegmentering för isolering, vilket ibland innebär att köra separata instanser, förhindra samplacering och minska densiteten.
  • Specialiserade verktyg för observerbarhet, till exempel en SIEM som kan utföra aggregering och hotinformation.
  • Specialiserade nätverksinstallationer eller funktioner, till exempel brandväggar eller distribuerade överbelastningsskydd.
  • Dataklassificeringsverktyg som krävs för att samla in känslighets- och informationstypsetiketter.
  • Specialiserade lagrings- eller beräkningsfunktioner som stöder kryptering i vila och under överföring, till exempel en HSM- eller konfidentiell beräkningsfunktion.
  • Dedikerade testmiljöer och testverktyg för att verifiera att säkerhetskontroller fungerar och för att upptäcka tidigare oupptäckta luckor i täckningen.

De föregående objekten finns ofta också utanför produktionsmiljöer, i förproduktions- och haveriberedskapsresurser.

Kompromiss: Ökad efterfrågan på infrastruktur. Grundpelaren för kostnadsoptimering prioriterar att minska efterfrågan på resurser för att möjliggöra användning av billigare SKU:er, färre instanser eller minskad förbrukning.

  • Premium-SKU:er: Vissa säkerhetsåtgärder i moln- och leverantörstjänster som kan gynna säkerhetsstatusen för en arbetsbelastning kanske bara hittas i dyrare SKU:er eller nivåer.

  • Logglagring: Säkerhetsövervaknings- och granskningsdata med hög återgivning som ger bred täckning ökar lagringskostnaderna. Data om säkerhetsobservabilitet lagras också ofta under längre tidsperioder än vad som normalt skulle behövas för driftsinsikter.

  • Ökad resursförbrukning: Säkerhetskontroller för processer och värdar kan medföra ytterligare efterfrågan på resurser. Kryptering för vilande data och under överföring kan också öka efterfrågan. Båda scenarierna kan kräva högre instansantal eller större SKU:er.

Kompromiss: Ökade process- och driftskostnader. Personalprocesskostnader är en del av den totala totala ägandekostnaden och räknas in i en arbetsbelastnings avkastning på investeringen. Att optimera dessa kostnader är en rekommendation för grundpelare för kostnadsoptimering.

  • Ett mer omfattande och strikt korrigeringshanteringssystem leder till en ökning av tid och pengar som spenderas på dessa rutinuppgifter. Denna ökning är ofta i kombination med förväntningarna på att investera i beredskap för ad hoc-korrigering för nolldagarsexploateringar.

  • Strängare åtkomstkontroller för att minska risken för obehörig åtkomst kan leda till mer komplex användarhantering och driftsåtkomst.

  • Utbildning och medvetenhet om säkerhetsverktyg och processer tar tid för anställda och medför även kostnader för material, instruktörer och eventuellt utbildningsmiljöer.

  • Att följa reglerna kan kräva ytterligare investeringar för granskningar och generering av efterlevnadsrapportering.

  • Det tar tid att planera för och genomföra övningar för beredskap för säkerhetsincidenter.

  • Tid måste allokeras för att utforma och utföra rutin- och ad hoc-processer som är associerade med säkerhet, till exempel nyckel- eller certifikatrotation.

  • Säkerhetsvalidering av SDLC kräver vanligtvis specialiserade verktyg. Din organisation kan behöva betala för dessa verktyg. Det tar också tid att prioritera och åtgärda problem som hittas under testningen.

  • Att anlita säkerhetsutövare från tredje part för att utföra white box-testning eller testning som utförs utan kunskap om ett systems interna arbete (kallas ibland black-box-testning), inklusive intrångstestning, medför kostnader.

Säkerhetsavvägningar med operational excellence

Kompromiss: Komplikationer i observerbarhet och användbarhet. Operational Excellence kräver att arkitekturer är användbara och observerbara. De mest användbara arkitekturerna är de som är mest transparenta för alla inblandade.

  • Säkerhet drar nytta av omfattande loggning som ger hög återgivningsinsikt i arbetsbelastningen för aviseringar om avvikelser från baslinjer och för incidenthantering. Den här loggningen kan generera en betydande mängd loggar, vilket kan göra det svårare att ge insikter som är inriktade på tillförlitlighet eller prestanda.

  • När efterlevnadsriktlinjer för datamaskering följs redigeras specifika segment av loggar eller till och med stora mängder tabelldata för att skydda konfidentialiteten. Teamet måste utvärdera hur det här observerbarhetsgapet kan påverka aviseringar eller hindra incidenthantering.

  • Stark resurssegmentering ökar komplexiteten i observerbarheten genom att kräva ytterligare distribuerad spårning mellan tjänster och korrelation för att samla in flödesspårningar. Segmenteringen ökar också ytan för beräkning och data som ska betjänas.

  • Vissa säkerhetskontroller hindrar åtkomsten avsiktligt. Under incidenthantering kan dessa kontroller göra arbetsbelastningsoperatörernas nödåtkomst långsammare. Därför måste incidenthanteringsplaner lägga större vikt vid planering och övningar för att uppnå acceptabel effekt.

Kompromiss: Minskad flexibilitet och ökad komplexitet. Arbetsbelastningsteam mäter sin hastighet så att de kan förbättra kvaliteten, frekvensen och effektiviteten för leveransaktiviteter över tid. Komplexitetsfaktorer för arbetsbelastningar i den ansträngning och risk som ingår i åtgärder.

  • Strängare principer för ändringskontroll och godkännande för att minska risken för att säkerhetsrisker införs kan fördröja utvecklingen och säker distribution av nya funktioner. Förväntningarna på att åtgärda säkerhetsuppdateringar och korrigeringar kan dock öka efterfrågan på mer frekventa distributioner. Dessutom kan principer för mänskligt gated godkännande i operativa processer göra det svårare att automatisera dessa processer.

  • Säkerhetstestning resulterar i resultat som måste prioriteras, vilket potentiellt blockerar planerat arbete.

  • Rutin-, ad hoc- och nödsituationsprocesser kan kräva granskningsloggning för att uppfylla efterlevnadskraven. Den här loggningen ökar styvheten i körningen av processerna.

  • Arbetsbelastningsteam kan öka komplexiteten i identitetshanteringsaktiviteter i takt med att detaljrikedomen för rolldefinitioner och tilldelningar ökar.

  • Ett ökat antal rutinmässiga operativa uppgifter som är associerade med säkerhet, till exempel certifikathantering, ökar antalet processer som ska automatiseras.

Kompromiss: Ökade samordningsinsatser. Ett team som minimerar externa kontaktpunkter och granskningar kan kontrollera sina åtgärder och tidslinjer mer effektivt.

  • I takt med att kraven på extern efterlevnad från större organisation eller externa entiteter ökar ökar även komplexiteten i att uppnå och bevisa efterlevnad med granskare.

  • Säkerhet kräver särskilda kunskaper som arbetsbelastningsteam vanligtvis inte har. Dessa kunskaper kommer ofta från den större organisationen eller från tredje part. I båda fallen måste samordning av insatser, tillgång och ansvar upprättas.

  • Efterlevnads- eller organisationskrav kräver ofta underhållna kommunikationsplaner för ansvarsfullt avslöjande av överträdelser. Dessa planer måste beaktas i arbetet med säkerhetssamordning.

Säkerhetsavvägningar med prestandaeffektivitet

Kompromiss: Ökad svarstid och omkostnader. En högpresterande arbetsbelastning minskar svarstiden och omkostnaderna.

  • Kontrollsäkerhetskontroller, till exempel brandväggar och innehållsfilter, finns i de flöden som de skyddar. Dessa flöden är därför föremål för ytterligare verifiering, vilket ökar svarstiden för begäranden.

  • Identitetskontroller kräver att varje anrop av en kontrollerad komponent verifieras explicit. Den här verifieringen förbrukar beräkningscykler och kan kräva nätverksbläddering för auktorisering.

  • Kryptering och dekryptering kräver dedikerade beräkningscykler. Dessa cykler ökar tiden och resurserna som förbrukas av dessa flöden. Den här ökningen är vanligtvis korrelerad med komplexiteten i algoritmen och genereringen av hög entropinitiering och olika initieringsvektorer (IV: er).

  • I takt med att loggningen ökar kan även påverkan på systemresurser och nätverksbandbredd för strömning av loggarna öka.

  • Resurssegmentering introducerar ofta nätverkshopp i en arbetsbelastnings arkitektur.

Kompromiss: Ökad risk för felkonfiguration. Att uppfylla prestandamålen på ett tillförlitligt sätt beror på förutsägbara implementeringar av designen.

En felkonfiguration eller överextension av säkerhetskontroller kan påverka prestanda på grund av ineffektiv konfiguration. Exempel på konfigurationer för säkerhetskontroll som kan påverka prestandan är:

  • Brandväggsregelordning, komplexitet och kvantitet (kornighet).

  • Det går inte att undanta nyckelfiler från övervakare av filintegritet eller virusskannrar. Om du försummar det här steget kan det leda till låskonkurrering.

  • Brandväggar för webbprogram som utför djup paketgranskning för språk eller plattformar som är irrelevanta för de komponenter som skyddas.

Utforska kompromisserna för de andra pelarna: