การแลกเปลี่ยนด้านความปลอดภัยสำหรับเวิร์กโหลด Power Platform
ความปลอดภัยให้การประกันในการรักษาความลับ ความถูกต้อง และความพร้อมใช้งานของระบบของเวิร์กโหลดและข้อมูลผู้ใช้ มาตรการควบคุมความปลอดภัยจำเป็นสำหรับเวิร์กโหลดและการพัฒนาซอฟต์แวร์และส่วนประกอบการทำงานของระบบ เมื่อทีมออกแบบและทำงานกับเวิร์กโหลด พวกเขาแทบจะไม่สามารถประนีประนอมกับมาตรการควบคุมความปลอดภัยได้เลย
ในระหว่างขั้นตอนการออกแบบเวิร์กโหลด สิ่งสำคัญคือต้องพิจารณาว่าการตัดสินใจโดยยึดตาม หลักการการออกแบบความปลอดภัย และคำแนะนำใน รายการตรวจสอบการทบทวนการออกแบบสำหรับความปลอดภัย อาจมีอิทธิพลต่อเป้าหมายและการเพิ่มประสิทธิภาพของเสาหลักอื่นๆ อย่างไร การตัดสินใจบางอย่างอาจเป็นประโยชน์ต่อบางเสาหลัก แต่ก็อาจต้องมีการแลกเปลี่ยนกับเสาหลักอื่นๆ บทความนี้แสดงรายการตัวอย่างการแลกเปลี่ยนที่ทีมจัดการเวิร์กโหลดอาจเจอเมื่อออกแบบสถาปัตยกรรมเวิร์กโหลดและการดำเนินงานเพื่อการปรับปรุงประสบการณ์ใช้งาน
การแลกเปลี่ยนด้านความปลอดภัยกับความน่าเชื่อถือ
การแลกเปลี่ยน: ความซับซ้อนที่เพิ่มขึ้น เสาหลักความน่าเชื่อถือให้ความสำคัญกับความเรียบง่าย และแนะนำให้ลดจุดที่อาจเกิดความล้มเหลวให้เหลือน้อยที่สุด
มาตรการควบคุมความปลอดภัยบางอย่างอาจเพิ่มความเสี่ยงในการกำหนดค่าผิดพลาด จนอาจส่งผลให้การทำงานหยุดชะงักได้ ตัวอย่างของมาตรการควบคุมความปลอดภัยที่อาจทำให้เกิดการกำหนดค่าที่ไม่ถูกต้อง ได้แก่ กฎการรับส่งข้อมูลเครือข่าย การตั้งค่าไฟร์วอลล์ IP และการกำหนดการควบคุมการเข้าถึงตามบทบาทหรือตามแอตทริบิวต์
เครื่องมือรักษาความปลอดภัยเวิร์กโหลดมักจะรวมอยู่ในหลายเลเยอร์ของสถาปัตยกรรม การดำเนินงาน และข้อกำหนดรันไทม์ของเวิร์กโหลด เครื่องมือเหล่านี้อาจส่งผลต่อความยืดหยุ่น ความพร้อมใช้งาน และการวางแผนกำลังการผลิต หากไม่พิจารณาข้อจำกัดในเครื่องมืออาจนำไปสู่เหตุการณ์ด้านความน่าเชื่อถือ เช่น ไม่เหลือพอร์ต Source Network Address Translation (SNAT) บนไฟร์วอลล์ขาออก
เสาหลักด้านความปลอดภัยจำเป็นต้องมีเวิร์กโหลดในการตรวจสอบข้อมูลประจำตัวและการดำเนินการอย่างชัดเจน การตรวจยืนยันเกิดขึ้นผ่านการขึ้นต่อกันที่สำคัญในส่วนประกอบด้านความปลอดภัยที่สำคัญ หากไม่มีส่วนประกอบเหล่านั้นหรือมีการทำงานผิดปกติ การตรวจยืนยันอาจไม่สมบูรณ์ ความล้มเหลวนี้ทำให้เวิร์กโหลดอยู่ในสถานะด้อยคุณภาพ ตัวอย่างบางส่วนของการขึ้นต่อกันที่เป็นจุดล้มเหลวจุดเดียวที่สำคัญเหล่านี้คือ:
- ไฟร์วอลล์ขาเข้าและขาออก
- รายชื่อการเพิกถอนใบรับรอง
- ตัวให้บริการข้อมูลประจำตัว เช่น Microsoft Entra ID
มาตรการควบคุมความปลอดภัยอาจส่งผลต่อวัตถุประสงค์ด้านเวลากู้คืน ผลกระทบนี้อาจเกิดจากขั้นตอนเพิ่มเติมที่จำเป็นในการถอดรหัสข้อมูลที่สำรองไว้ หรือจากความล่าช้าในการเข้าถึงการดำเนินงานที่สร้างโดยการคัดกรองความน่าเชื่อถือของไซต์
มาตรควบคุมความปลอดภัยเอง เช่น ชุดเก็บข้อมูลลับและเนื้อหาต่างๆ ต้องเป็นส่วนหนึ่งของแผนการกู้คืนความเสียหายของเวิร์กโหลด และต้องได้รับการตรวจสอบความถูกต้องผ่านการฝึกซ้อมกู้คืน
ความต้องการด้านความปลอดภัยหรือการปฏิบัติตามข้อกำหนดอาจจำกัดตัวเลือกถิ่นที่อยู่ของข้อมูลหรือข้อจำกัดการควบคุมการเข้าถึงสำหรับการสำรองข้อมูล ซึ่งอาจทำให้การกู้คืนมีความซับซ้อนมากขึ้น
นโยบายการอัปเดตโซลูชันที่เข้มงวดยิ่งขึ้นนำไปสู่การเปลี่ยนแปลงที่มากขึ้นในสภาพแวดล้อมการทำงานจริงของเวิร์กโหลด การเปลี่ยนแปลงนี้มาจากแหล่งที่มาดังนี้:
- การเผยแพร่โค้ดแอปพลิเคชันบ่อยขึ้นเนื่องจากการอัปเดตโซลูชัน
- การใช้การอัปเดตจากเวฟการเผยแพร่ Power Platform
- การอัปเดตการกำหนดค่าของการตั้งค่าสภาพแวดล้อม Power Platform ในสภาพแวดล้อม
- การใช้แพตช์กับไลบรารีหรือส่วนประกอบที่ใช้ในสภาพแวดล้อม
กิจกรรมการหมุนเวียนคีย์ ข้อมูลประจำตัวของบริการหลัก และใบรับรองจะเพิ่มความเสี่ยงของปัญหาแบบชั่วคราวเนื่องจากระยะเวลาของการหมุนเวียนและไคลเอ็นต์ที่ใช้ค่าใหม่
การแลกเปลี่ยนด้านความปลอดภัยกับความเป็นเลิศในการดำเนินงาน
ประโยชน์ด้านความปลอดภัยจากการบันทึกที่ครอบคลุมซึ่งให้ข้อมูลเชิงลึกที่มีความเที่ยงตรงสูงเกี่ยวกับเวิร์กโหลด สำหรับการแจ้งเตือนเกี่ยวกับการเบี่ยงเบนไปจากเส้นฐานและการรับมือภัยคุกคามทางไซเบอร์ การบันทึกนี้สามารถสร้างไฟล์บันทึกจำนวนมาก ซึ่งทำให้การให้ข้อมูลเชิงลึกที่กำหนดเป้าหมายไปที่ความน่าเชื่อถือหรือประสิทธิภาพทำได้ยากขึ้น
เมื่อปฏิบัติตามแนวทางการปฏิบัติตามข้อกำหนดสำหรับการมาส์กข้อมูล ส่วนเฉพาะของไฟล์บันทึกหรือแม้แต่ข้อมูลตารางจำนวนมากจะถูกแก้ไขเพื่อปกป้องการรักษาข้อมูลที่เป็นความลับ ทีมจำเป็นต้องประเมินว่าช่องว่างความสามารถในการสังเกตนี้อาจส่งผลต่อการแจ้งเตือนหรือขัดขวางการรับมือภัยคุกคามทางไซเบอร์อย่างไร
มาตรการควบคุมความปลอดภัยบางอย่างขัดขวางการเข้าถึงโดยการออกแบบ ในระหว่างการรับมือภัยคุกคามทางไซเบอร์ มาตรการควบคุมเหล่านี้อาจทำให้การเข้าถึงฉุกเฉินของผู้ปฏิบัติงานเวิร์กโหลดช้าลง ดังนั้น แผนการรับมือภัยคุกคามทางไซเบอร์จึงต้องเน้นไปที่การวางแผนและการฝึกซ้อมมากขึ้น เพื่อให้ได้ประสิทธิภาพที่ยอมรับได้
นโยบายการควบคุมและการอนุมัติการเปลี่ยนแปลงที่เข้มงวดยิ่งขึ้นเพื่อลดความเสี่ยงในการเกิดช่องโหว่ด้านความปลอดภัยอาจทำให้การพัฒนาและการปรับใช้งานคุณลักษณะใหม่ที่ปลอดภัยช้าลง อย่างไรก็ตาม ความคาดหวังในการจัดการกับการอัปเดตด้านความปลอดภัยและแพตช์สามารถเพิ่มความต้องการในการใช้งานบ่อยครั้งมากขึ้น นอกจากนี้ นโยบายการอนุมัติแบบควบคุมโดยมนุษย์ในกระบวนการปฏิบัติงานอาจทำให้กระบวนการเหล่านั้นเป็นอัตโนมัติได้ยากขึ้น
ผลการทดสอบความปลอดภัยพบว่าจำเป็นต้องจัดลำดับความสำคัญ ซึ่งอาจขัดขวางงานที่วางแผนไว้
กระบวนการประจำ เฉพาะกิจ และฉุกเฉินอาจต้องมีการบันทึกการตรวจสอบเพื่อให้เป็นไปตามข้อกำหนด การบันทึกนี้จะเพิ่มความแข็งแกร่งในการดำเนินกระบวนการ
ทีมจัดการเวิร์กโหลดอาจเพิ่มความซับซ้อนของกิจกรรมการจัดการข้อมูลประจำตัว เนื่องจากคำจำกัดความบทบาทและการมอบหมายงานมีความละเอียดมากขึ้น
จำนวนงานของการปฏิบัติงานประจำที่เกี่ยวข้องกับการรักษาความปลอดภัยที่เพิ่มขึ้น เช่น การจัดการใบรับรอง จะทำให้จำนวนกระบวนการในการทำให้เป็นอัตโนมัติเพิ่มมากขึ้น
เนื่องจากความต้องการในการปฏิบัติตามข้อกำหนดภายนอกจากองค์กรขนาดใหญ่หรือจากหน่วยงานภายนอกเพิ่มขึ้น ความซับซ้อนในการบรรลุผลและการพิสูจน์การปฏิบัติตามข้อกำหนดกับผู้ตรวจสอบก็เพิ่มขึ้นเช่นกัน
ความปลอดภัยต้องใช้ทักษะพิเศษที่ทีมจัดการเวิร์กโหลดมักไม่มี ความเชี่ยวชาญเหล่านั้นมักได้มาจากองค์กรขนาดใหญ่หรือจากบุคคลที่สาม ในทั้งสองกรณี จำเป็นต้องมีการประสานงานด้านบุคลากร การเข้าถึง และความรับผิดชอบ
ความต้องการในการปฏิบัติตามข้อกำหนดหรือขององค์กรมักต้องมีแผนการสื่อสารที่ได้รับการบำรุงรักษาเพื่อการเปิดเผยการละเมิดอย่างมีความรับผิดชอบ แผนเหล่านี้ต้องคำนึงถึงการดำเนินการในการประสานงานด้านการรักษาความปลอดภัย
การแลกเปลี่ยนด้านความปลอดภัยกับการปรับปรุงประสบการณ์ใช้งาน
ควรลดเลเยอร์ส่วนติดต่อด้านความปลอดภัยให้มีน้อยที่สุด ซึ่งอาจส่งผลเสียต่อการใช้ส่วนประกอบและการรวมระบบของบุคคลที่สามที่ต้องการสำหรับปรับปรุงประสบการณ์ใช้งาน
การจัดประเภทข้อมูลสามารถทำให้การค้นหาและใช้ข้อมูลในเวิร์กโหลดทำได้ยากขึ้น
โปรโตคอลความปลอดภัยเพิ่มความซับซ้อนในการโต้ตอบกับผู้ใช้ และอาจส่งผลให้เกิดความท้าทายในการใช้งาน
การแลกเปลี่ยนด้านความปลอดภัยกับประสิทธิภาพการทำงาน
การควบคุมความปลอดภัยในการตรวจสอบ เช่น ไฟร์วอลล์และตัวกรองเนื้อหา จะอยู่ในโฟลว์ที่ได้รับการรักษาความปลอดภัย ดังนั้นการไหลเหล่านั้นจึงต้องได้รับการตรวจสอบเพิ่มเติม ซึ่งจะเพิ่มความล่าช้าให้กับการร้องขอ
การควบคุมข้อมูลประจำตัวต้องใช้การตรวจยืนยันการเรียกใช้ส่วนประกอบที่ควบคุมแต่ละครั้งอย่างชัดเจน การตรวจสอบนี้จะใช้รอบการประมวลผลและอาจต้องใช้การตรวจสอบผ่านเครือข่ายเพื่อขออนุญาต
การเข้ารหัสและถอดรหัสต้องใช้รอบการประมวลผลเฉพาะ วงจรเหล่านี้ทำให้เวลาและทรัพยากรที่ใช้ในการไหลเหล่านั้นเพิ่มขึ้น โดยทั่วไปการเพิ่มขึ้นนี้จะมีความสัมพันธ์กับความซับซ้อนของอัลกอริทึมและการสร้างเวกเตอร์การเริ่มต้น (IV) ที่หลากหลายและเอนโทรปีสูง
เมื่อขอบเขตของการบันทึกข้อมูลเพิ่มมากขึ้น ผลกระทบต่อทรัพยากรระบบและแบนด์วิดท์ของเครือข่ายสำหรับการสตรีมข้อมูลบันทึกเหล่านั้นก็อาจเพิ่มขึ้นเช่นกัน
การแบ่งส่วนทรัพยากรมักจะนำการกระโดดของเครือข่ายเข้าสู่สถาปัตยกรรมเวิร์กโหลด
การกำหนดค่าที่ไม่ถูกต้องหรือการขยายการควบคุมความปลอดภัยมากเกินไปอาจส่งผลกระทบต่อประสิทธิภาพการทำงานเนื่องจากการกำหนดค่าที่ไม่มีประสิทธิภาพ ตัวอย่างการกำหนดค่าการควบคุมความปลอดภัยที่อาจส่งผลต่อประสิทธิภาพ ได้แก่:
การจัดลำดับกฎไฟร์วอลล์ ความซับซ้อน และปริมาณ (ความละเอียด)
ล้มเหลวในการยกเว้นไฟล์สำคัญจากการตรวจสอบความสมบูรณ์ของไฟล์หรือโปรแกรมสแกนไวรัส การละเลย ขั้นตอน นี้สามารถนำไปสู่การโต้แย้งการล็อคได้
ไฟร์วอลล์แอปพลิเคชันเว็บที่ดำเนินการตรวจสอบแพ็กเก็ตเชิงลึกสำหรับภาษาหรือแพลตฟอร์มที่ไม่เกี่ยวข้องกับส่วนประกอบที่ได้รับการปกป้อง