Sdílet prostřednictvím

Kompromisy zabezpečení

  • Článek

Zabezpečení poskytuje důvěrnost, integritu a záruky dostupnosti systému úlohy a dat uživatelů. Bezpečnostní prvky jsou vyžadovány pro úlohy a pro vývoj softwaru a provozní komponenty systému. Když týmy navrhují a pracují s úlohami, mohou téměř nikdy ohrozit bezpečnostní prvky.

Během fáze návrhu úlohy je důležité zvážit, jak rozhodnutí na základě principů návrhu zabezpečení a doporučení v kontrolním seznamu kontroly návrhu návrhu pro zabezpečení můžou ovlivnit cíle a optimalizace jiných pilířů. Některá rozhodnutí o bezpečnosti mohou těžit z některých pilířů, ale představují kompromisy pro jiné. Tento článek popisuje příklady kompromisů, se kterými se může setkat tým úloh při vytváření bezpečnostních záruk.

Kompromisy zabezpečení se spolehlivostí

Kompromis: Zvýšená složitost. Pilíř spolehlivosti upřednostňuje jednoduchost a doporučuje minimalizovat body selhání.

  • Některé bezpečnostní prvky můžou zvýšit riziko chybné konfigurace, což může vést k přerušení služeb. Mezi příklady kontrolních mechanismů zabezpečení, které můžou představovat chybnou konfiguraci, patří pravidla síťového provozu, zprostředkovatelé identity, vyloučení kontroly virů a přiřazení řízení přístupu na základě rolí nebo atributů.

  • Vyšší segmentace obvykle vede ke složitějšímu prostředí z hlediska přístupu k prostředkům a topologii sítě a operátorům. Tato složitost může vést k dalším bodům selhání procesů a provádění úloh.

  • Nástroje pro zabezpečení úloh se často začleňují do mnoha vrstev architektury, provozu a běhu úloh. Tyto nástroje můžou ovlivnit odolnost, dostupnost a plánování kapacity. Selhání při zohlednění omezení v nástrojích může vést k události spolehlivosti, jako je vyčerpání portů SNAT v bráně firewall výchozího přenosu dat.

Kompromis: Zvýšené kritické závislosti. Pilíř spolehlivosti doporučuje minimalizaci kritických závislostí. Úloha, která minimalizuje kritické závislosti, zejména externí, má větší kontrolu nad jeho body selhání.

Pilíř zabezpečení vyžaduje, aby úloha explicitně ověřila identity a akce. K ověření dochází prostřednictvím kritických závislostí na klíčových komponentách zabezpečení. Pokud tyto komponenty nejsou dostupné nebo pokud nefungují, ověření nemusí být dokončeno. Tato chyba umístí úlohu do degradovaného stavu. Mezi příklady těchto kritických závislostí způsobujících selhání patří:

  • Příchozí a výchozí brány firewall.
  • Seznamy odvolaných certifikátů
  • Přesný systémový čas poskytovaný serverem NTP (Network Time Protocol).
  • Zprostředkovatelé identity, jako je Microsoft Entra ID.

Kompromis: Zvýšená složitost zotavení po havárii. Úloha se musí spolehlivě zotavit ze všech forem havárie.

  • Kontrolní mechanismy zabezpečení můžou mít vliv na cíle doby obnovení. Tento účinek může být způsoben dalšími kroky potřebnými k dešifrování zálohovaných dat nebo zpožděním provozního přístupu vytvořeným při třídění spolehlivosti lokality.

  • Samotné kontrolní mechanismy zabezpečení, například trezory tajných kódů a jejich obsah nebo hraniční ochrana před útoky DDoS, musí být součástí plánu zotavení po havárii úlohy a musí být ověřeny prostřednictvím postupu obnovení.

  • Požadavky na zabezpečení nebo dodržování předpisů můžou omezit možnosti rezidence dat nebo omezení řízení přístupu pro zálohování a potenciálně další komplikaci obnovení segmentací dokonce i offline replik.

Kompromis: Zvýšená míra změn. Úloha, u které dochází ke změně modulu runtime, je vystavena většímu riziku dopadu na spolehlivost z důvodu této změny.

  • Přísnější zásady oprav a aktualizací vedou k dalším změnám v produkčním prostředí úlohy. Tato změna pochází ze zdrojů, jako jsou tyto:

    • Kód aplikace, který se vydává častěji kvůli aktualizacím knihoven nebo aktualizací základních imagí kontejnerů
    • Zvýšená rutinní opravy operačních systémů
    • Udržování aktuálního stavu u aplikací s verzemi nebo datových platforem
    • Použití oprav dodavatele na software v prostředí

  • Aktivity obměny pro klíče, přihlašovací údaje instančního objektu a certifikáty zvyšují riziko přechodných problémů kvůli načasování rotace a klientů používajících novou hodnotu.

Kompromisy zabezpečení s optimalizací nákladů

Kompromis: Další infrastruktura. Jedním z přístupů k optimalizaci nákladů při optimalizaci úloh je hledat způsoby, jak snížit rozmanitost a počet komponent a zvýšit hustotu.

Některé součásti úloh nebo rozhodnutí o návrhu existují pouze k ochraně zabezpečení (důvěrnosti, integrity a dostupnosti) systémů a dat. Tyto komponenty sice zvyšují zabezpečení prostředí, ale také zvyšují náklady. Musí se také řídit optimalizací nákladů. Mezi příklady zdrojů pro tyto další prostředky zaměřené na zabezpečení nebo náklady na licencování patří:

  • Výpočetní prostředky, síť a segmentace dat pro izolaci, což někdy zahrnuje spouštění samostatných instancí, což brání společnému umístění a snížení hustoty.
  • Specializované nástroje pozorovatelnosti, jako je SIEM, které můžou provádět agregaci a analýzu hrozeb.
  • Specializovaná síťová zařízení nebo možnosti, jako jsou brány firewall nebo distribuovaná prevence odepření služeb.
  • Nástroje pro klasifikaci dat, které jsou potřeba k zachycení popisků citlivosti a popisků informačních typů
  • Specializované funkce úložiště nebo výpočetních prostředků pro podporu šifrování neaktivních uložených a přenášených dat, jako je HSM nebo funkce důvěrného výpočetního prostředí.
  • Vyhrazená testovací prostředí a testovací nástroje pro ověření fungování kontrolních mechanismů zabezpečení a odhalení dříve nezjištěných mezer v pokrytí.

Předchozí položky často existují i mimo produkční prostředí v předprodukčních a prostředcích zotavení po havárii.

Kompromis: Zvýšená poptávka po infrastruktuře. Pilíř Optimalizace nákladů upřednostňuje snížení poptávky po prostředcích, aby bylo možné využívat levnější skladové položky, méně instancí nebo nižší spotřebu.

  • Cenové úrovně Premium: Některá bezpečnostní opatření v cloudových službách a službách dodavatelů, která můžou těžit z stavu zabezpečení úlohy, se můžou nacházet pouze v nákladnějších skladových posílacích nebo úrovních.

  • Úložiště protokolů: Vysoce věrná data monitorování zabezpečení a auditování, která poskytují široké pokrytí, zvyšují náklady na úložiště. Data pozorovatelnosti zabezpečení se také často ukládají po delší dobu, než je obvykle potřeba pro provozní přehledy.

  • Zvýšená spotřeba prostředků: Řízení zabezpečení v procesu a na hostiteli může představovat další poptávku po prostředcích. Šifrování neaktivních uložených dat a přenášených dat může také zvýšit poptávku. Oba scénáře můžou vyžadovat vyšší počty instancí nebo větší skladové položky.

Kompromis: Vyšší procesní a provozní náklady. Náklady na personální procesy jsou součástí celkových celkových nákladů na vlastnictví a jsou začleněny do návratnosti investic do úlohy. Optimalizace těchto nákladů představuje doporučení pilíře Optimalizace nákladů.

  • Komplexnější a striktnější režim správy oprav vede ke zvýšení času a peněz strávených na těchto rutinních úkolech. Toto zvýšení je často spojeno s očekáváním investice do připravenosti na ad hoc opravy pro využití nulového dne.

  • Přísnější řízení přístupu, které snižuje riziko neoprávněného přístupu, může vést ke složitější správě uživatelů a provoznímu přístupu.

  • Školení a povědomí o nástrojích a procesech zabezpečení zabírají čas zaměstnanců a také náklady na materiály, instruktory a možná i školicí prostředí.

  • Dodržování předpisů může vyžadovat další investice do auditů a generování sestav dodržování předpisů.

  • Plánování a provádění podrobných postupů pro připravenost reakce na incidenty zabezpečení trvá dlouho.

  • Čas je potřeba přidělit pro navrhování a provádění rutinních a ad hoc procesů přidružených k zabezpečení, jako je obměně klíčů nebo certifikátů.

  • Ověření zabezpečení SDLC obvykle vyžaduje specializované nástroje. Vaše organizace může za tyto nástroje platit. Stanovení priorit a náprava problémů zjištěných během testování také nějakou dobu trvá.

  • Nabírání odborníků na zabezpečení třetích stran k provádění testování nebo testování white boxů, které se provádí bez znalostí interních pracovních operací systému (někdy označovaných jako testování typu black-box), včetně penetračního testování, se účtují náklady.

Kompromisy zabezpečení s efektivitou provozu

Kompromis: Komplikace pozorovatelnosti a použitelnosti. Efektivita provozu vyžaduje, aby architektury byly obsluhovatelné a pozorovatelné. Nejsložitější architektury jsou ty, které jsou pro všechny účastníky nejprůhlednější.

  • Zabezpečení přináší rozsáhlé protokolování, které poskytuje vysoce věrný přehled o úloze pro upozorňování na odchylky od směrných plánů a reakce na incidenty. Toto protokolování může generovat významný objem protokolů, což může znesnadnit poskytování přehledů, které jsou cílem spolehlivosti nebo výkonu.

  • Pokud jsou dodrženy pokyny pro dodržování předpisů pro maskování dat, konkrétní segmenty protokolů nebo dokonce velké objemy tabulkových dat jsou upraveny za účelem ochrany důvěrnosti. Tým musí vyhodnotit, jak může tato mezera pozorovatelnosti ovlivnit výstrahy nebo bránit reakci na incidenty.

  • Silná segmentace prostředků zvyšuje složitost pozorovatelnosti tím, že pro zachycení trasování toků vyžaduje další distribuované trasování a korelaci mezi službami. Segmentace také zvyšuje plochu výpočetních prostředků a dat do služby.

  • Některé bezpečnostní prvky brání přístupu návrhem. Během reakce na incidenty můžou tyto ovládací prvky zpomalit nouzový přístup operátorů úloh. Proto musí plány reakce na incidenty zahrnovat důraz na plánování a postupy, aby bylo dosaženo přijatelné účinnosti.

Kompromis: Menší flexibilita a zvýšená složitost. Týmy úloh měří svou rychlost, aby mohly zlepšit kvalitu, frekvenci a efektivitu aktivit doručování v průběhu času. Faktory složitosti úloh v rámci úsilí a rizika spojeného s provozem

  • Přísnější zásady řízení změn a schvalování, aby se snížilo riziko zavedení ohrožení zabezpečení, může zpomalit vývoj a bezpečné nasazení nových funkcí. Očekávaná řešení aktualizací zabezpečení a oprav ale může zvýšit poptávku po častějších nasazeních. Kromě toho můžou zásady schvalování uzavřené lidmi v provozních procesech ztěžovat automatizaci těchto procesů.

  • Testování zabezpečení vede ke zjištěním, která je potřeba určit prioritu a potenciálně blokovat plánovanou práci.

  • Rutinní, ad hoc a tísňové procesy můžou vyžadovat protokolování auditu, aby splňovaly požadavky na dodržování předpisů. Toto protokolování zvyšuje pevnost spouštění procesů.

  • Týmy úloh můžou zvýšit složitost aktivit správy identit, protože se zvyšuje členitost definic rolí a přiřazení.

  • Zvýšený počet rutinních provozních úloh přidružených k zabezpečení, jako je správa certifikátů, zvyšuje počet procesů pro automatizaci.

Kompromis: Zvýšená koordinace úsilí. Tým, který minimalizuje externí kontaktní body a kontrolu, může efektivněji řídit provoz a časovou osu.

  • S tím, jak se zvětšují požadavky na externí dodržování předpisů z větší organizace nebo z externích entit, zvyšuje se také složitost dosažení a prokázání dodržování předpisů s auditory.

  • Zabezpečení vyžaduje specializované dovednosti, které týmy úloh obvykle nemají. Tyto schopnosti jsou často zdrojem větší organizace nebo třetích stran. V obou případech je třeba stanovit koordinaci úsilí, přístupu a odpovědnosti.

  • Požadavky na dodržování předpisů nebo organizace často vyžadují udržované komunikační plány pro zodpovědné zveřejnění porušení předpisů. Tyto plány musí být začleněny do úsilí o koordinaci bezpečnosti.

Kompromisy zabezpečení s efektivitou výkonu

Kompromis: Zvýšená latence a režie. Výkonná úloha snižuje latenci a režii.

  • Kontrolní mechanismy zabezpečení, jako jsou brány firewall a filtry zabezpečení obsahu, se nacházejí v tocích, které jsou zabezpečené. Tyto toky jsou proto předmětem dodatečného ověření, které zvyšuje latenci požadavků. Ve vysoce oddělené architektuře může distribuovaná povaha vést k těmto kontrolám vícekrát u jedné transakce uživatele nebo toku dat.

  • Ovládací prvky identit vyžadují, aby každé vyvolání řízené komponenty bylo explicitně ověřeno. Toto ověření využívá výpočetní cykly a může vyžadovat procházení sítě k autorizaci.

  • Šifrování a dešifrování vyžaduje vyhrazené výpočetní cykly. Tyto cykly zvyšují čas a prostředky spotřebované těmito toky. Toto zvýšení obvykle souvisí se složitostí algoritmu a generováním vysoce entropních a různorodých inicializačních vektorů (IV).

  • S rostoucím rozsahem protokolování se může také zvýšit dopad na systémové prostředky a šířku pásma sítě pro streamování těchto protokolů.

  • Segmentace prostředků často zavádí segmenty směrování sítě v architektuře úlohy.

Kompromis: Zvýšená pravděpodobnost chybné konfigurace. Spolehlivé plnění výkonnostních cílů závisí na předvídatelných implementacích návrhu.

Chybná konfigurace nebo nadměrné překročení kontrolních mechanismů zabezpečení může mít vliv na výkon z důvodu neefektivní konfigurace. Mezi příklady konfigurací řízení zabezpečení, které můžou ovlivnit výkon, patří:

  • Řazení, složitost a množství pravidel brány firewall (členitost)

  • Nedaří se vyloučit soubory klíčů z monitorování integrity souborů nebo virových skenerů. Zanedbávání tohoto kroku může vést k kolizím uzamčení.

  • Firewally webových aplikací provádějící hloubkovou kontrolu paketů pro jazyky nebo platformy, které nejsou relevantní pro chráněné komponenty.

Prozkoumejte kompromisy pro ostatní pilíře: