安全性取捨

安全性提供工作負載系統及其用戶數據的機密性、完整性和可用性保證。 工作負載和系統的軟體開發和作業元件都需要安全性控制。 當小組設計和操作工作負載時，他們幾乎永遠無法危害安全性控制。

在工作負載的設計階段，請務必考慮根據安全性設計原則和安全性設計檢閱檢查清單中的建議，決策如何影響其他要素的目標和優化。 某些安全性決策可能會有利於某些要素，但對其他人構成取捨。 本文說明建立安全性保證時，工作負載小組可能會遇到的範例取捨。

可靠性的安全性取捨

取捨：複雜度增加。 可靠性支柱會設定簡單性優先順序，並建議將失敗點降到最低。

• 某些安全性控制可能會增加設定錯誤的風險，這可能會導致服務中斷。 可引入錯誤設定的安全性控制範例包括網路流量規則、識別提供者、病毒掃描排除專案，以及角色型或屬性型訪問控制指派。

• 在資源和網路拓撲和操作員存取方面，分割增加通常會導致更複雜的環境。 這種複雜性可能會導致進程和工作負載執行中的更多失敗點。

• 工作負載安全性工具通常會併入工作負載架構、作業和運行時間需求的許多層級。 這些工具可能會影響復原、可用性和容量規劃。 無法考慮工具的限制可能會導致可靠性事件，例如輸出防火牆上的 SNAT 埠耗盡。

取捨：增加重要的相依性。 可靠性支柱建議將重要的相依性降到最低。 可最小化重要相依性的工作負載，特別是外部相依性，可對其失敗點有更多的控制權。

安全性要素需要工作負載才能明確驗證身分識別和動作。 驗證是透過關鍵安全性元件的重要相依性進行。 如果這些元件無法使用，或如果元件故障，驗證可能無法完成。 此失敗會使工作負載處於降級狀態。 這些關鍵單一失敗點相依性的一些範例如下：

• 輸入和輸出防火牆。
• 證書吊銷清單。
• 網路時間通訊協定 （NTP） 伺服器所提供的精確系統時間。
• 識別提供者，例如Microsoft Entra ID。

取捨：災害復原的複雜性增加。 工作負載必須可靠地從各種形式的災害復原。

• 安全性控制可能會影響復原時間目標。 此效果可能是因為解密備份數據所需的額外步驟，或網站可靠性分級所建立的操作存取延遲所造成。

• 安全性控制本身，例如秘密保存庫及其內容或邊緣 DDoS 保護，必須是工作負載災害復原計劃的一部分，而且必須透過復原演練進行驗證。

• 安全性或合規性需求可能會限制備份的數據落地選項或訪問控制限制，甚至分割脫機複本可能會進一步使復原複雜化。

取捨：提高變更率。 體驗運行時間變更的工作負載會因為該變更而面臨更多可靠性影響的風險。

• 更嚴格的修補和更新原則會導致工作負載的生產環境中發生更多變更。 這項變更來自類似下列來源：

  • 應用程式程式代碼因連結庫更新或基底容器映像的更新而更頻繁地發行
  • 增加操作系統的例行修補
  • 使用已建立版本的應用程式或數據平臺保持最新狀態
  • 將廠商修補程式套用至環境中的軟體

• 密鑰、服務主體認證和憑證的輪替活動會因為輪替的時間和用戶端使用新值而增加暫時性問題的風險。

成本優化的安全性取捨

取捨：其他基礎結構。 將工作負載成本優化的方法之一，就是尋找減少多樣性和元件數目並增加密度的方法。

某些工作負載元件或設計決策只存在，以保護系統和數據的安全性（機密性、完整性和可用性）。 這些元件雖然能增強環境的安全性，但也會增加成本。 它們也必須受限於成本優化本身。 這些以安全性為中心的其他資源或授權成本的一些範例來源如下：

• 計算、網路和數據分割以進行隔離，有時牽涉到執行個別實例、防止共置和降低密度。
• 特製化的可觀察性工具，例如可以執行匯總和威脅情報的SIEM。
• 特殊的網路設備或功能，例如防火牆或分散式阻斷服務防護。
• 擷取敏感度和資訊類型標籤所需的數據分類工具。
• 特殊化的記憶體或計算功能，以支援待用和傳輸中的加密，例如 HSM 或機密計算功能。
• 專用的測試環境和測試工具，可驗證安全性控制項是否正常運作，並找出先前未發現涵蓋範圍中的差距。

在生產階段前和災害復原資源中，上述專案通常也存在於生產環境之外。

取捨：基礎結構需求增加。 成本優化支柱會優先降低對資源的需求，以便使用更便宜的SKU、較少的實例或降低耗用量。

• 進階 SKU：雲端和廠商服務中的一些安全性措施，可讓工作負載的安全性狀態受益，可能只能在更昂貴的 SKU 或層級中找到。

• 記錄記憶體：高精確度的安全性監視和稽核數據，可提供廣泛的涵蓋範圍會增加記憶體成本。 安全性可檢視性數據通常也會儲存較長的時間，而不是作業深入解析通常需要的時間。

• 增加資源耗用量：進程內和主機上的安全性控制可能會對資源帶來額外的需求。 待用數據和傳輸中數據的加密也可以增加需求。 這兩個案例都需要較高的實例計數或較大的SKU。

取捨：提高流程和營運成本。 人員程式成本是總擁有成本的一部分，並納入工作負載的投資報酬率。 優化這些成本是成本優化要素的建議。

• 更全面、更嚴格的修補管理制度會導致花費在這些例行任務上的時間和金錢增加。 此增加通常加上投資準備進行零天惡意探索臨時修補的預期。

• 更嚴格的訪問控制，以減少未經授權的存取風險，可能會導致更複雜的使用者管理和操作存取。

• 安全性工具和流程的訓練和認知會佔用員工時間，也會產生材料、講師和可能訓練環境的成本。

• 遵守法規可能需要對稽核進行額外投資，並產生合規性報告。

• 規劃和進行安全性事件回應準備演練需要時間。

• 需要配置時間，以設計及執行與安全性相關聯的例程和臨機操作程式，例如密鑰或憑證輪替。

• SDLC 的安全性驗證通常需要特殊化工具。 您的組織可能需要支付這些工具的費用。 將測試期間發現的問題排定優先順序並加以補救也需要時間。

• 僱用第三方安全性從業者來執行白箱測試或測試，而不需要系統內部工作（有時稱為 黑箱測試），包括滲透測試，會產生成本。

使用卓越營運的安全性取捨

取捨：可觀察性和服務性的複雜性。 卓越營運需要架構是可服務且可觀察的。 最可服務架構是所有相關人員最透明的架構。

• 安全性受益於廣泛的記錄，可提供工作負載的高精確度深入解析，以針對偏離基準和事件回應的偏差發出警示。 此記錄可以產生大量的記錄，因此更難提供以可靠性或效能為目標的深入解析。

• 遵循數據遮罩的合規性指導方針時，會修訂特定記錄區段，甚至是大量表格式數據，以保護機密性。 小組需要評估此可觀察性差距如何影響警示或阻礙事件回應。

• 強式資源分割會藉由要求額外的跨服務分散式追蹤和相互關聯來擷取流程追蹤，以提高可觀察性的複雜性。 分割也會增加計算和數據對服務的介面區。

• 某些安全性控制會透過設計阻礙存取。 在事件回應期間，這些控件可能會降低工作負載操作員的緊急存取速度。 因此，事件回應計劃必須更加強調規劃和演練，才能達到可接受的效力。

取捨：降低靈活度並增加複雜度。 工作負載小組會測量其速度，以便改善一段時間傳遞活動的品質、頻率和效率。 工作負載複雜度因素會影響作業所牽涉到的工作和風險。

• 更嚴格的變更控制和核准原則，以減少引入安全性弱點的風險，可能會減緩新功能的開發和安全部署。 不過，處理安全性更新和修補的預期可能會增加對更頻繁部署的需求。 此外，作業程式中人為控管的核准原則可讓這些程式自動化更困難。

• 安全性測試結果會產生需要排定優先順序的結果，並可能會封鎖計劃的工作。

• 例行、臨機操作和緊急程式可能需要稽核記錄以符合合規性需求。 此記錄會增加執行進程的剛性。

• 隨著角色定義和指派的粒度增加，工作負載小組可能會增加身分識別管理活動的複雜性。

• 與安全性相關聯的例行作業工作數目增加，例如憑證管理，會增加要自動化的程式數目。

取捨：加強協調工作。 將外部連絡點降到最低且檢閱的團隊可以更有效地控制其作業和時程表。

• 隨著來自較大組織或外部實體的外部合規性需求增加，達成並證明與稽核員的合規性的複雜性也會增加。

• 安全性需要工作負載小組通常沒有的特殊技能。 這些熟練度通常來自較大的組織或第三方。 在這兩種情況下，必須建立工作、存取和責任的協調。

• 合規性或組織需求通常需要維護的通訊計劃，以負責洩漏違規。 這些計劃必須納入安全性協調工作。

效能效率的安全性取捨

取捨：增加延遲和額外負荷。 效能良好的工作負載可減少延遲和額外負荷。

• 檢查安全性控制，例如防火牆和內容安全性篩選器，位於其安全的流程中。 因此，這些流程受限於額外的驗證，這會增加要求的延遲。 在高度分離的架構中，分散式本質可能會導致單一使用者或數據流交易多次進行這些檢查。

• 身分識別控制元件要求明確驗證受控制元件的每個叫用。 此驗證會耗用計算週期，而且可能需要網路周遊進行授權。

• 加密和解密需要專用的計算週期。 這些迴圈會增加這些流程所耗用的時間和資源。 此增加通常與演算法的複雜度和產生高 entropy 和多樣化的初始化向量 （IV） 相互關聯。

• 隨著記錄的廣泛性增加，對於串流這些記錄的系統資源和網路頻寬的影響也會增加。

• 資源分割通常會在工作負載的架構中引進網路躍點。

取捨：增加設定錯誤的機會。 可靠地符合效能目標取決於設計的可預測實作。

安全性控件的設定錯誤或過度擴充可能會影響效能，因為設定效率不佳。 可能會影響效能的安全性控制組態範例包括：

• 防火牆規則排序、複雜度和數量（數據粒度）。

• 無法從檔案完整性監視器或病毒掃描器排除重要檔案。 忽略此步驟可能會導致鎖定競爭。

• Web 應用程式防火牆會針對與受保護元件無關的語言或平臺執行深層封包檢查。

相關連結

探索其他要素的取捨：

• 可靠性取捨
• 成本優化取捨
• 營運卓越取捨
• 效能效率取捨