Dela via


Säkerhetsavvägningar

Säkerhet ger konfidentialitet, integritet och tillgänglighetsgarantier för en arbetsbelastnings system och dess användares data. Säkerhetskontroller krävs för arbetsbelastningen och för programvaruutveckling och driftkomponenter i systemet. När team utformar och hanterar en arbetsbelastning kan de nästan aldrig kompromissa med säkerhetskontroller.

Under designfasen för en arbetsbelastning är det viktigt att överväga hur beslut baserat på principerna för säkerhetsdesign och rekommendationerna i checklistan Designgranskning för Säkerhet kan påverka mål och optimeringar för andra pelare. Vissa säkerhetsbeslut kan gynna vissa pelare men utgöra kompromisser för andra. I den här artikeln beskrivs exempel på kompromisser som ett arbetsbelastningsteam kan stöta på när säkerhetsgarantier upprättas.

Säkerhetsavvägningar med tillförlitlighet

Kompromiss: Ökad komplexitet. Grundpelare för tillförlitlighet prioriterar enkelhet och rekommenderar att felpunkter minimeras.

  • Vissa säkerhetskontroller kan öka risken för felkonfiguration, vilket kan leda till avbrott i tjänsten. Exempel på säkerhetskontroller som kan införa felkonfiguration är regler för nätverkstrafik, identitetsprovidrar, undantag för virusgenomsökning och rollbaserade eller attributbaserade åtkomstkontrolltilldelningar.

  • Ökad segmentering resulterar vanligtvis i en mer komplex miljö när det gäller resurs- och nätverkstopologi och operatörsåtkomst. Den här komplexiteten kan leda till fler felpunkter i processer och i arbetsbelastningskörning.

  • Arbetsbelastningssäkerhetsverktyg ingår ofta i många lager i en arbetsbelastnings arkitektur, åtgärder och körningskrav. Dessa verktyg kan påverka återhämtning, tillgänglighet och kapacitetsplanering. Om du inte tar hänsyn till begränsningar i verktygen kan det leda till en tillförlitlighetshändelse, till exempel SNAT-portöverbelastning på en utgående brandvägg.

Kompromiss: Ökade kritiska beroenden. Tillförlitlighetspelare rekommenderar att du minimerar kritiska beroenden. En arbetsbelastning som minimerar kritiska beroenden, särskilt externa, har större kontroll över sina felpunkter.

Säkerhetspelare kräver en arbetsbelastning för att explicit verifiera identiteter och åtgärder. Verifiering sker via kritiska beroenden för viktiga säkerhetskomponenter. Om dessa komponenter inte är tillgängliga eller om de inte fungerar kanske verifieringen inte slutförs. Det här felet försätter arbetsbelastningen i ett degraderat tillstånd. Några exempel på dessa kritiska beroenden med en enskild felpunkt är:

  • Brandväggar för inkommande och utgående trafik.
  • Listor över återkallade certifikat.
  • Korrekt systemtid som tillhandahålls av en NTP-server (Network Time Protocol).
  • Identitetsprovidrar, till exempel Microsoft Entra-ID.

Kompromiss: Ökad komplexitet i haveriberedskap. En arbetsbelastning måste återställas på ett tillförlitligt sätt från alla former av haveri.

  • Säkerhetskontroller kan påverka mål för återställningstid. Den här effekten kan orsakas av de ytterligare steg som krävs för att dekryptera säkerhetskopierade data eller av driftsfördröjningar som skapats av platsens tillförlitlighetstriage.

  • Själva säkerhetskontrollerna, till exempel hemliga valv och deras innehåll eller edge DDoS-skydd, måste ingå i arbetsbelastningens haveriberedskapsplan och måste verifieras via återställningstest.

  • Säkerhets- eller efterlevnadskrav kan begränsa dataplaceringsalternativ eller begränsningar för åtkomstkontroll för säkerhetskopior, vilket kan ytterligare komplicera återställningen genom att segmentera även offlinerepliker.

Kompromiss: Ökad förändringstakt. En arbetsbelastning som upplever körningsändringar utsätts för större risk för tillförlitlighetspåverkan på grund av den ändringen.

  • Strängare korrigerings- och uppdateringsprinciper leder till fler ändringar i en arbetsbelastnings produktionsmiljö. Den här ändringen kommer från källor som dessa:

    • Programkod släpps oftare på grund av uppdateringar av bibliotek eller uppdateringar av bascontaineravbildningar
    • Ökad rutinkorrigering av operativsystem
    • Håll dig uppdaterad med versionsbaserade program eller dataplattformar
    • Tillämpa leverantörskorrigeringar på programvara i miljön
  • Rotationsaktiviteter för nycklar, autentiseringsuppgifter för tjänstens huvudnamn och certifikat ökar risken för tillfälliga problem på grund av tidpunkten för rotationen och klienter som använder det nya värdet.

Säkerhetsavvägningar med kostnadsoptimering

Kompromiss: Ytterligare infrastruktur. En metod för kostnadsoptimering av en arbetsbelastning är att leta efter sätt att minska mångfalden och antalet komponenter och öka densiteten.

Vissa arbetsbelastningskomponenter eller designbeslut finns bara för att skydda säkerheten (konfidentialitet, integritet och tillgänglighet) för system och data. Dessa komponenter ökar även kostnaderna, även om de förbättrar miljöns säkerhet. De måste också själva omfattas av kostnadsoptimering. Några exempelkällor för dessa säkerhetscentrerade ytterligare resurser eller licenskostnader är:

  • Beräknings-, nätverks- och datasegmentering för isolering, vilket ibland innebär att separata instanser körs, vilket förhindrar samplacering och minskar densiteten.
  • Specialiserade observerbarhetsverktyg, till exempel en SIEM som kan utföra aggregering och hotinformation.
  • Specialiserade nätverksinstallationer eller funktioner, till exempel brandväggar eller distribuerat överbelastningsskydd.
  • Dataklassificeringsverktyg som krävs för att samla in känslighets- och informationstypsetiketter.
  • Specialiserade lagrings- eller beräkningsfunktioner som stöder kryptering i vila och under överföring, till exempel en HSM- eller konfidentiell beräkningsfunktion.
  • Dedikerade testmiljöer och testverktyg för att verifiera att säkerhetskontroller fungerar och för att upptäcka tidigare oupptäckta luckor i täckningen.

De föregående objekten finns ofta även utanför produktionsmiljöer, i förproduktions- och haveriberedskapsresurser.

Kompromiss: Ökad efterfrågan på infrastruktur. Grundpelaren kostnadsoptimering prioriterar att minska efterfrågan på resurser för att möjliggöra användning av billigare SKU:er, färre instanser eller minskad förbrukning.

  • Premium-SKU:er: Vissa säkerhetsåtgärder i moln- och leverantörstjänster som kan gynna säkerhetsstatusen för en arbetsbelastning kan bara hittas på dyrare SKU:er eller nivåer.

  • Logglagring: Säkerhetsövervaknings- och granskningsdata med hög återgivning som ger bred täckning ökar lagringskostnaderna. Data om säkerhetsobservabilitet lagras också ofta under längre tidsperioder än vad som normalt skulle behövas för driftinsikter.

  • Ökad resursförbrukning: In-process- och värdsäkerhetskontroller kan medföra ytterligare efterfrågan på resurser. Kryptering för vilande data och under överföring kan också öka efterfrågan. Båda scenarierna kan kräva högre instansantal eller större SKU:er.

Kompromiss: Ökade process- och driftskostnader. Personalprocesskostnader är en del av den totala ägandekostnaden och räknas in i en arbetsbelastnings avkastning på investeringen. Att optimera dessa kostnader är en rekommendation för grundpelarna för kostnadsoptimering.

  • Ett mer omfattande och strikt system för korrigeringshantering leder till en ökning av tid och pengar som spenderas på dessa rutinuppgifter. Denna ökning kombineras ofta med förväntningarna på att investera i beredskap för ad hoc-korrigering för nolldagarsexploateringar.

  • Striktare åtkomstkontroller för att minska risken för obehörig åtkomst kan leda till mer komplex användarhantering och driftåtkomst.

  • Utbildning och medvetenhet om säkerhetsverktyg och processer tar tid för anställda och medför även kostnader för material, instruktörer och eventuellt utbildningsmiljöer.

  • Att följa reglerna kan kräva ytterligare investeringar för granskningar och generering av efterlevnadsrapportering.

  • Det tar tid att planera för och genomföra övningar för beredskap för säkerhetsincidenter.

  • Tid måste allokeras för att utforma och utföra rutinmässiga och ad hoc-processer som är associerade med säkerhet, till exempel nyckel- eller certifikatrotation.

  • Säkerhetsverifieringen av SDLC kräver vanligtvis specialiserade verktyg. Din organisation kan behöva betala för dessa verktyg. Det tar också tid att prioritera och åtgärda problem som hittas under testningen.

  • Att anställa säkerhetsutövare från tredje part för att utföra white box-testning eller testning som utförs utan kunskap om ett systems interna arbete (kallas ibland black-box-testning), inklusive intrångstestning, medför kostnader.

Säkerhetsavvägningar med operational excellence

Kompromiss: Komplikationer i observerbarhet och användbarhet. Operational Excellence kräver att arkitekturer är användbara och observerbara. De mest användbara arkitekturerna är de som är mest transparenta för alla inblandade.

  • Säkerhet drar nytta av omfattande loggning som ger hög återgivningsinsikt i arbetsbelastningen för aviseringar om avvikelser från baslinjer och för incidenthantering. Den här loggningen kan generera en betydande mängd loggar, vilket kan göra det svårare att ge insikter som är inriktade på tillförlitlighet eller prestanda.

  • När efterlevnadsriktlinjer för datamaskering följs redigeras specifika segment av loggar eller till och med stora mängder tabelldata för att skydda konfidentialiteten. Teamet måste utvärdera hur det här observerbarhetsgapet kan påverka aviseringar eller hindra incidenthantering.

  • Stark resurssegmentering ökar komplexiteten i observerbarheten genom att kräva ytterligare distribuerad spårning mellan tjänster och korrelation för att samla in flödesspårningar. Segmenteringen ökar också ytan för beräkning och data till service.

  • Vissa säkerhetskontroller hindrar åtkomsten avsiktligt. Under incidenthantering kan dessa kontroller göra arbetsbelastningsoperatörernas nödåtkomst långsammare. Därför måste incidenthanteringsplaner lägga större vikt vid planering och övningar för att uppnå acceptabel effekt.

Kompromiss: Minskad flexibilitet och ökad komplexitet. Arbetsbelastningsteam mäter sin hastighet så att de kan förbättra kvaliteten, frekvensen och effektiviteten för leveransaktiviteter över tid. Komplexitetsfaktorer för arbetsbelastningar påverkar den ansträngning och risk som ingår i åtgärder.

  • Strängare principer för ändringskontroll och godkännande för att minska risken för att säkerhetsrisker införs kan göra det enklare att utveckla och distribuera nya funktioner på ett säkert sätt. Förväntningarna på att åtgärda säkerhetsuppdateringar och korrigeringar kan dock öka efterfrågan på mer frekventa distributioner. Dessutom kan principer för mänskligt gated godkännande i operativa processer göra det svårare att automatisera dessa processer.

  • Säkerhetstestning resulterar i resultat som måste prioriteras, vilket potentiellt blockerar planerat arbete.

  • Rutin-, ad hoc- och nödsituationsprocesser kan kräva granskningsloggning för att uppfylla efterlevnadskraven. Den här loggningen ökar stelheten i körningen av processerna.

  • Arbetsbelastningsteam kan öka komplexiteten i identitetshanteringsaktiviteter i takt med att detaljrikedomen för rolldefinitioner och tilldelningar ökar.

  • Ett ökat antal rutinmässiga operativa uppgifter som är associerade med säkerhet, till exempel certifikathantering, ökar antalet processer som ska automatiseras.

Kompromiss: Ökade samordningsinsatser. Ett team som minimerar externa kontaktpunkter och granskningar kan styra sin verksamhet och tidslinje mer effektivt.

  • I takt med att kraven på extern efterlevnad från den större organisationen eller externa entiteter ökar ökar även komplexiteten i att uppnå och bevisa efterlevnad med granskare.

  • Säkerhet kräver särskilda kunskaper som arbetsbelastningsteam vanligtvis inte har. Dessa kunskaper kommer ofta från den större organisationen eller från tredje part. I båda fallen måste samordning av insatser, tillgång och ansvar upprättas.

  • Efterlevnads- eller organisationskrav kräver ofta underhållna kommunikationsplaner för ansvarigt avslöjande av överträdelser. Dessa planer måste beaktas i arbetet med säkerhetssamordning.

Säkerhetsavvägningar med prestandaeffektivitet

Kompromiss: Ökad svarstid och omkostnader. En högpresterande arbetsbelastning minskar svarstiden och omkostnaderna.

  • Kontrollsäkerhetskontroller, till exempel brandväggar och innehållssäkerhetsfilter, finns i de flöden som de skyddar. Dessa flöden är därför föremål för ytterligare verifiering, vilket ger svarstid till begäranden. I en mycket frikopplad arkitektur kan den distribuerade naturen leda till att dessa inspektioner utförs flera gånger för en enskild användare eller dataflödestransaktion.

  • Identitetskontroller kräver att varje anrop av en kontrollerad komponent verifieras explicit. Den här verifieringen förbrukar beräkningscykler och kan kräva nätverksbläddering för auktorisering.

  • Kryptering och dekryptering kräver dedikerade beräkningscykler. Dessa cykler ökar den tid och de resurser som förbrukas av dessa flöden. Den här ökningen är vanligtvis korrelerad med algoritmens komplexitet och genereringen av hög entropi och olika initieringsvektorer (IV).

  • I takt med att loggningens omfattning ökar kan även effekten på systemresurser och nätverksbandbredd för strömning av loggarna öka.

  • Resurssegmentering introducerar ofta nätverkshopp i en arbetsbelastnings arkitektur.

Kompromiss: Ökad risk för felkonfiguration. Att uppfylla prestandamålen på ett tillförlitligt sätt beror på förutsägbara implementeringar av designen.

En felkonfiguration eller överextension av säkerhetskontroller kan påverka prestanda på grund av ineffektiv konfiguration. Exempel på konfigurationer för säkerhetskontroll som kan påverka prestanda är:

  • Brandväggsregelordning, komplexitet och kvantitet (kornighet).

  • Det går inte att exkludera nyckelfiler från övervakare av filintegritet eller virusskannrar. Om du försummar det här steget kan det leda till låskonkurring.

  • Brandväggar för webbprogram som utför djup paketgranskning för språk eller plattformar som är irrelevanta för de komponenter som skyddas.

Utforska kompromisserna för de andra pelarna: