通过

工作负载的安全 Power Platform 权衡

  • 项目

安全性为工作负荷的系统及其用户的数据提供保密性、完整性和可用性保证。 工作负荷以及系统的软件开发和运营组件需要安全控制。 当团队设计和操作工作负荷时,他们几乎永远不会在安全控制上妥协。

在工作负荷的设计阶段期间,请务必考虑基于安全性设计原则的决策以及安全性设计评审清单中的建议如何影响其他支柱的目标和优化工作。 某些决策可能有利于某些支柱,而对其他支柱成为权衡。 本文列出工作负荷团队在设计工作负荷体系结构和操作以实现体验优化时可能遇到的权衡示例。

安全性与可靠性的权衡

权衡:增加复杂性。 可靠性支柱优先考虑简单性,并建议将故障点降至最低。

  • 某些安全控制可能会增加错误配置的风险,从而导致服务中断。 可能导致错误配置的安全控制示例包括网络流量规则、IP 防火墙设置以及基于角色或基于属性的访问控制分配。

  • 工作负荷安全工具通常合并到工作负荷的体系结构、操作和运行时要求的许多层中。 这些工具可能会影响复原能力、可用性和容量计划。 如果不考虑工具中的限制,可能会导致可靠性事件,例如出口防火墙上的源网络地址转换 (SNAT) 端口耗尽。

权衡:增加了关键依赖项。 可靠性支柱建议最大程度地减少关键依赖项。 最大程度地减少关键依赖项(尤其是外部依赖项)的工作负荷可以更好地控制其故障点。

安全支柱要求工作负荷显式验证标识和操作。验证是通过关键安全组件上的关键依赖项进行的。 如果这些组件不可用或发生故障,则验证可能无法完成。 此故障会使工作负荷处于降级状态。 这些关键单一故障点依赖项的一些示例包括: 通过关键安全组件上的关键依赖项进行验证。 如果这些组件不可用或发生故障,则验证可能无法完成。 此故障会使工作负荷处于降级状态。 这些关键单一故障点依赖项的一些示例包括:

  • 入口和出口防火墙
  • 证书吊销列表
  • 标识提供者,例如 Microsoft Entra ID

权衡:灾难恢复的复杂性增加。 工作负载必须可靠地从各种形式的灾难中恢复。

  • 安全控制可能会影响恢复时间目标。 这种影响可能是由于解密备份的数据所需的其他步骤,或者由站点可靠性会审造成的操作访问延迟而导致。

  • 安全控制本身(例如机密保管库及其内容)需要成为工作负荷灾难恢复计划的一部分,并且必须通过恢复演练进行验证。

  • 安全性或合规性要求可能会限制备份的数据驻留选项或访问控制限制,甚至可能会进一步使恢复复杂化。

权衡:增加变化率。 由于该更改,经历运行时更改的工作负载面临更大的可靠性影响风险。

  • 更严格的解决方案更新策略会导致工作负荷的生产环境发生更多更改。 此更改来自以下来源:

    • 由于解决方案的更新,应用程序代码的发布频率更高
    • 应用 Power Platform 发布波次更新
    • 更新环境中 Power Platform 环境设置的配置
    • 将修补程序应用于环境中的库或组件

  • 密钥、服务主体凭据和证书的轮换活动会增加暂时性问题的风险,因为轮换的时间和客户端使用新值。

安全性与卓越运营的权衡

权衡:可观测性和可维护性的复杂性。 卓越运营要求架构可维护和可观察。 最可维护的体系结构是那些对所有相关人员最透明的体系结构。

  • 安全性受益于广泛的日志记录,这些日志记录提供对工作负荷的高保真度见解,以便在偏离基线时发出警报并做出事件响应。 此日志记录可以生成大量日志,这使得提供针对可靠性或性能的见解变得更加困难。

  • 遵循数据掩码的合规性准则时,会编修特定的日志段,甚至大量表格数据,以保护机密性。 团队需要评估这种可观测性差距如何影响警报或阻碍事件响应。

  • 某些安全控制在设计上会妨碍访问。 在事件响应期间,这些控制可能会降低工作负荷操作员的紧急访问速度。 因此,事件响应计划需要更加强调计划和演练,以便达到可接受的效果。

权衡:敏捷性降低,复杂性增加。 工作负载团队会测量他们的速度,以便他们可以随着时间的推移提高交付活动的质量、频率和效率。 工作负荷复杂性会影响操作所涉及的工作量和风险。

  • 为了降低引入安全漏洞的风险,更严格的变更控制和审批策略可能会减慢新功能的开发和安全部署的速度。 但是,对解决安全更新和修补的预期可能会增加对更频繁部署的需求。 此外,操作流程中人工封闭的审批策略可能使自动化这些流程变得更加困难。

  • 安全测试结果导致需要确定优先级的发现,这可能会阻止计划的工作。

  • 常规、临时和紧急流程可能需要审核日志记录以满足合规性要求。 此日志记录增加了运行流程的刚性。

  • 随着角色定义和分配粒度的提高,工作负荷团队可能会增加标识管理活动的复杂性。

  • 与安全性相关的日常操作任务(例如证书管理)数量增加,将增加要自动化的流程数。

权衡:增加协调工作。 最大限度地减少外部联系和审查点的团队可以更有效地控制他们的运营和时间表。

  • 随着大型组织或外部实体的外部合规性要求增加,实现和证明审核员合规性的复杂性也随之增加。

  • 安全性需要工作负荷团队通常没有的专业技能。 这些熟练度通常源自大型组织或第三方。 在这两种情况下,都需要确立工作、访问和责任的协调。

  • 合规性或组织要求通常需要维护的通信计划来负责任地披露违规行为。 这些计划必须纳入安全协调工作。

安全性与体验优化的权衡

权衡:摩擦增加。 优化体验侧重于帮助用户提高工作效率和更快地做出决策。

  • 应尽量减少安全外围应用,这样可能会对使用优化体验所需的第三方组件和集成产生负面影响。

  • 数据分类可能会使查找和使用工作负荷中的数据变得更加困难。

  • 安全协议增加了用户交互的复杂性,并且可能会导致可用性问题。

安全性与性能效率的权衡

权衡:增加延迟和开销。 高性能工作负载可减少延迟和开销。

  • 检查安全控制措施(如防火墙和内容过滤器)位于它们保护的流中。 因此,这些流需要接受额外的验证,这会增加请求的延迟。

  • 身份控制要求对受控组件的每次调用都进行显式验证。 此验证会消耗计算周期,并且可能需要网络遍历才能进行授权。

  • 加密和解密需要专用的计算周期。 这些周期会增加这些流消耗的时间和资源。 这种增加通常与算法的复杂性以及高熵和多样化初始化向量(IV)的生成有关。

  • 随着日志记录范围的增加,流式传输这些日志对系统资源和网络带宽的影响也会增加。

  • 资源分段经常在工作负载的架构中引入网络跃点。

权衡:增加配置错误的几率。 可靠地满足性能目标取决于设计的可预测实施。

由于配置效率低下,安全控制配置错误或过度扩展可能会影响性能。 可能影响性能的安全控制配置示例包括:

  • 防火墙规则排序、复杂性和数量(粒度)。

  • 无法从文件完整性监视器或病毒扫描程序中排除关键文件。 忽略此步骤可能会导致锁争用。

  • Web 应用程序防火墙对与所保护组件无关的语言或平台执行深度数据包检查。