Güvenlik için dengeler

  • Makale
  • Okumak için 3 dakika

Güvenlik, kuruluşun veri ve sistemlerine yönelik gizlilik, bütünlük ve kullanılabilirlik sağlar. Bir sistem tasarlarken, güvenlik denetimlerinde neredeyse hiçbir zaman tehlikeye atabilir. Bir mimarinin güvenliğini artırdığınızda güvenilirlik, performans verimliliği, maliyet ve işlemsel üstün üstün etkileri olabilir. Bu makalede bazı konular açıklanmaktadır.

Güvenlik ve güvenilirlik

Güvenilir uygulamalar dayanıklı ve yüksek oranda kullanılabilir. Her mimari bileşeni, güvenilirliği sağlamak için gereksinimleri elde eden her bir etkendir. İş yükü güvenliği genellikle iş yükünün mimarisi, işlemler ve çalışma zamanı gereksinimlerinin birçok katmanına göre woolur; ve dayanıklılık veya kullanılabilirlik konusunda kendi etkileri olabilir.

Örneğin, kimlik sağlayıcıları ve yetkilendirme hizmetleri göz önünde bulundurulması gereken kritik bağımlılıklardır. Bu, kimlik hizmetini (Microsoft Identity Platform) ve bu hizmetlerin kullanımını kolaylaştırmaya yardımcı olan kitaplıkları içerir. Mimarideki bazı noktalarda, kimlik katmanındaki bir hata terminaldir. Diğer noktalarda, güvenilirlik, erişim belirteçlerinde TTLs 'ten faydalanması ve diğer kullanıcılar için önbelleğe alma gibi stratejileri elde edebilir. OAuth2 talep doğrulama, genellikle talep sağlayıcısından bağlantısı kesilmiş olabilir. Ancak, bu şekilde tüm yetkilendirmeye ulaşılabilecek. Bu durumlarda güvenilirlik, tüm güvenlik kullanımı için de kullanılabilir.

Birçok iş yükü kritik güvenlik denetimleri kaybı ile işlevselliği hızla düşürebilir. Bu koşulu saptamak için mimarinizin her bir bileşeni için değerlendirmeyi düşünün.

Güvenilirliği etkileyebilecek diğer güvenlik konuları şunlardır:

  • Zayıf veya el ile sertifika veya anahtar döndürme uygulamaları. Bu görevlerin başarısız olması güvenilirlik sorunlarına yol açabilir.
  • Hizmet sorumlusu zaman aşımına uğradı. Örneğin, bir hizmet sorumlusu kullanan bir dağıtım işlem hattı daha sonraki bir tarihte başarısız olabilir, bu da sorumlu erişim anahtarının süresi dolmuşsa. Yönetilen kimliklerin kullanılması, aynı zamanda bu kimlik üzerinde en az ayrıcalıkları koruyarak güvenilirliği yüksek tutmaya yardımcı olur.
  • Yüksek kullanılabilirlik genellikle yedeklilik (etkin veya çok büyük) tarafından sağlanır ve güvenlik denetimlerinin de yük devretme mekanizmasıyla hizalanması gerekir. Örneğin, güvenilirlik için bir depolama hesabından diğerine yük devretmek, istemcinin etkin yetkilendirme oturumunun nasıl işlendiğini etkileyebilir. İstemci, yeni depolama hesabına geçiş yaparken SAS belirteçlerini yönetmek zorunda olmadığından, depolama erişimi için Azure AD tümleştirmesiyle yönetilen kimlik kullanmak daha yüksek bir güvenilirlik oluşmasına neden olabilir.

Güvenlik vs maliyet Iyileştirmesi

İş yükünün güvenliğini artırmak neredeyse her zaman daha yüksek maliyetli olur. Maliyeti iyileştirmek için bazı yollar vardır.

  • En yüksek güvenlik, tüm ortamlar için her zaman pratik olmayabilir. Ön üretim ve üretim ortamlarındaki güvenlik gereksinimlerini değerlendirin. Azure DDoS koruması, Microsoft Sentinel, adanmış HSM 'ler, bulut için Microsoft Defender, ön üretimde gerekli mi? Güvenlik denetimlerinin iç döngüsü yeterince kullanılamıyor mu? Kaynaklar herkese açık değilse, maliyet tasarrufu için bazı denetimleri çevirebiliyor musunuz? Her zaman bu seçimleri yapın, ve yalnızca, düşürülen ortam hala iş gereksinimlerini karşılar.

  • Premium güvenlik özellikleri maliyeti artırabilir. Yerel güvenlik özelliklerini kullanarak maliyeti azaltabilmeniz için alan vardır. Örneğin, yerleşik rolleri kullanabilmeniz için özel roller uygulamaktan kaçının.

  • Her güvenlik denetiminin iş akışlarını etkileme fırsatı ve kişileri içeren iş akışları pahalı olabilir. Çalışmayı durduran bir güvenlik denetimi, gerekli veya gereksiz yere sahip olarak değerlendirilmelidir. Toplam sahip olma maliyeti (TCO), geliştiriciler, işleçler, It SecOps ve onerou güvenlik protokolleri için işlem maliyetlerini içerir. Maliyetleri iyileştirmek için "daha az" ve "yeterince" can 'ın "yeterli" olduğu konusunda anlaşmaya ulaşın.

  • TCO, gereken süre görevlerini içerir. Bu süreyi iyileştirmek maliyeti en iyi duruma getirir. Platform özelliklerini kullanmak TCO 'yi artırabilir ve güvenlik duruşunu geliştirebilir. Günlükleri el ile gözden geçirmek ve erişim düzenlerini ilişkilendirmek için mühendislere eğitim vermek yerine, Microsoft Defender for Cloud veya Sentinel uyarıları gibi hizmetlerde zekası kullanın.

Güvenlik ve Işlemsel mükemmellik karşılaştırması

İşlemsel mükemmellik, iş ve iş yükü davranışlarını anlamayı ve uygun miktarda Otomasyon ve bu işlemlere Observability uygulamayı içerir.

  • Yayın yönetimi

    Kuruluşunuz, kendi kalite kapılarını (el ile veya otomatik), güvenli dağıtım uygulamalarının bir parçası olarak tanımlar. Her bir ağ geçidinin gerekli veya isteğe bağlı olup olmadığını değerlendirin, bu sürüm için ek karmaşıklık (ve zaman) maliyetinde, bunun yerine uygulanıp gerçekleşmeyeceğini göz önünde bulundurun. İşleme güvenlik denetimleri eklemek, denetimleri, bu noktada bu noktada, bu noktaya sahip olmayan (genellikle kolaylık ve zaman) Bu noktada daha değerli hale getirir.

  • Kuruluş ilkeleri

    Teams, tüm iş yükü yaşam döngüsünün tüm aşamalarında, üretim sırasında her türlü gelişmeden işbirliği yapma ve işlevsel yetenekler kullanma avantajlarından genellikle yararlanabilir. Ancak, kuruluş ilkesi veya yasal sorunlar, bu tür geniş erişimi engelleyebilir. Mümkün olduğunca göz önünde bulundurmanız gereken durumlarda, erişim ilkelerine sahip olmayan bu sistemleri yalışmayın. "Bir boyut tümüne uyar" modelinin sistemdeki tüm bileşenlere uygulanmasını önleyin. Daha ayrıntılı erişime izin veren sistemlerdeki işlemleri iyileştirmek daha kolay olur. İsteğe bağlı olarak erişim sağlayan sistemler için karmaşıklığın daha yüksek maliyetli bir şekilde artması beklenmektedir.

  • Desteklenebilirlik konuları

    En çok "serviceable" mimarileri, en fazla herkese dahil olan ve genellikle en az sayıda güvenlik denetimine sahip olan olanlardır. Mimarinize filtrelenmiş telemetri akışları, redaksiyonu yapılan Günlükler, çalışma zamanı sistem erişim kısıtlamaları vb. gibi güvenlik denetimleri ekleme, bir çözümün desteklenebilirliğini etkileyebilir. Güvenlik denetimleri ekleme, genellikle platforma Observability için telafi veya güvenliği aşılmış çözümler eklenmesini gerektirir.

Ana makaleye geri dönün: güvenlik