Sicherheitskompromisse

Sicherheit bietet Vertraulichkeits-, Integritäts- und Verfügbarkeitsüberprüfungen für die Systeme einer Workload und für die Daten ihrer Benutzer. Sicherheitskontrollen sind in der gesamten Arbeitsauslastung und in den softwareentwicklungs- und betriebstechnischen Komponenten erforderlich, die sie unterstützen. Arbeitsteams können bei Sicherheitskontrollen fast nie Kompromisse eingehen.

Berücksichtigen Sie beim Entwerfen einer Workload, wie Entscheidungen basierend auf den Grundsätzen des Sicherheitsentwurfs und den Empfehlungen in der Prüfliste für die Designüberprüfung für Sicherheit die Ziele und Optimierungen anderer Säulen beeinflussen können. Einige Sicherheitsentscheidungen profitieren von einer Säule, stellen aber Gegensätze für eine andere dar. In diesem Artikel werden Beispiele für Abwägungen beschrieben, die ein Workload-Team bei der Etablierung von Sicherheitszusicherungen treffen könnte.

Abwägungen zwischen Sicherheit und Zuverlässigkeit

Kompromiss: Erhöhte Komplexität. Die Zuverlässigkeitssäule priorisiert einfachheit und empfiehlt, dass Fehlerpunkte minimiert werden.

  • Einige Sicherheitskontrollen können das Risiko einer Fehlkonfiguration erhöhen, was zu Dienstunterbrechungen führen kann. Beispiele für Sicherheitskontrollen, die zu Fehlkonfigurationen führen können, sind Netzwerkverkehrsregeln, Identitätsanbieter, Virenprüfungsausschlüsse und rollenbasierte oder attributbasierte Zugriffssteuerungszuweisungen.

  • Eine erhöhte Segmentierung führt in der Regel zu einer komplexeren Umgebung im Hinblick auf Ressourcen- und Netzwerktopologie und Operatorzugriff. Diese Komplexität kann zu mehr Fehlerpunkten in Prozessen und in der Workloadausführung führen.

  • Die Workloadsicherheitstools umfassen viele Ebenen der Architektur, Vorgänge und Laufzeitanforderungen einer Workload. Diese Tools können sich auf Resilienz, Verfügbarkeit und Kapazitätsplanung auswirken. Wenn Sie keine Tooleinschränkungen berücksichtigen, kann dies zu Zuverlässigkeitsereignissen führen, z. B. die SNAT-Portausschöpfung in einer Ausgangsfirewall.

Kompromiss: Erhöhte kritische Abhängigkeiten. Die Zuverlässigkeitssäule empfiehlt, kritische Abhängigkeiten zu minimieren. Eine Workload, die kritische Abhängigkeiten minimiert, insbesondere externe, hat mehr Kontrolle über die Fehlerpunkte.

Die Sicherheitssäule erfordert eine Arbeitsauslastung, um Identitäten und Aktionen explizit zu überprüfen. Die Überprüfung erfolgt über kritische Abhängigkeiten von wichtigen Sicherheitskomponenten. Wenn diese Komponenten nicht verfügbar sind oder nicht funktionieren, ist die Überprüfung möglicherweise nicht abgeschlossen. Dieser Fehler versetzt die Arbeitsauslastung in einen beeinträchtigten Zustand. Einige Beispiele für diese kritischen Einzelpunkt-Ausfallabhängigkeiten sind:

  • Eingangs- und Ausgangsfirewalls.
  • Zertifikatsperrlisten.
  • Genaue Systemzeit, die von einem NTP-Server (Network Time Protocol) bereitgestellt wird.
  • Identitätsanbieter, z. B. Microsoft Entra ID.

Kompromiss: Erhöhte Komplexität der Notfallwiederherstellung. Eine Arbeitsauslastung muss zuverlässig aus allen Arten von Katastrophen wiederhergestellt werden.

  • Sicherheitskontrollen können die Wiederherstellungszeitziele verlängern. Die hinzugefügte Zeit kann aus Schritten, die zum Entschlüsseln von Sicherungen erforderlich sind, oder aus betrieblichen Zugriffsverzögerungen während der Site Reliability-Triage resultieren.

  • Die Sicherheitsmaßnahmen selbst, wie geheime Tresore und Edge-DDoS-Schutz, müssen Teil des Notfallwiederherstellungsplans der Workload sein und in Wiederherstellungsübungen überprüft werden.

  • Sicherheits- oder Complianceanforderungen können die Datenaufbewahrung oder Zugriffskontrollen für Sicherungen einschränken, wodurch die Wiederherstellung durch Segmentierung sogar Offlinereplikate weiter erschwert wird.

Tradeoff: Erhöhte Veränderungsrate. Eine Arbeitsauslastung, die änderungen an der Laufzeit erlebt, ist aufgrund dieser Änderung einem größeren Risiko von Zuverlässigkeitseinbußen ausgesetzt.

  • Strengere Patch- und Updaterichtlinien führen zu weiteren Änderungen in der Produktionsumgebung einer Workload. Diese Änderung stammt aus Quellen wie den folgenden:

    • Anwendungscode, der aufgrund von Updates für Bibliotheken oder Updates für Basis-Container-Images häufiger veröffentlicht wird
    • Erhöhte regelmäßige Aktualisierung von Betriebssystemen
    • Mit versionsierten Anwendungen oder Datenplattformen auf dem Laufenden bleiben
    • Anwenden von Anbieterpatches auf Software in der Umgebung

  • Drehen von Schlüsseln, Anmeldeinformationen von Dienstprinzipalen und Zertifikaten kann während des Übergangs vorübergehende Fehler verursachen, während die Clients den neuen Wert übernehmen.

Sicherheitskonflikt mit Kostenoptimierung

Kompromiss: Zusätzliche Infrastruktur. Ein Ansatz zur Kostenoptimierung einer Arbeitsauslastung besteht darin, nach Möglichkeiten zu suchen, um die Vielfalt und Anzahl der Komponenten zu reduzieren und die Dichte zu erhöhen.

Einige Workloadkomponenten und Entwurfsentscheidungen sind nur zum Schutz der Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) von Systemen und Daten vorhanden. Diese Komponenten verbessern die Sicherheit der Umgebung, erhöhen aber die Kosten. Sie müssen auch selbst der Kostenoptimierung unterliegen. Beispiele für sicherheitsorientierte Ressourcen oder Lizenzierungskosten sind:

  • Rechen-, Netzwerk- und Datensegmentierung zur Isolation, was manchmal das Ausführen separater Instanzen erfordert, die Co-Location verhindern und die Dichte reduzieren.
  • Spezielle Observability-Tools, z. B. ein SIEM, das Aggregation und Bedrohungserkennung durchführen kann.
  • Spezielle Netzwerkgeräte oder Funktionen, z. B. Firewalls oder verteilte Denial-of-Service-Verhinderung.
  • Datenklassifizierungstools, die zum Erfassen von Vertraulichkeits- und Informationstypbezeichnungen erforderlich sind.
  • Spezielle Speicher- oder Computefunktionen zur Unterstützung der Ruhe- und Übertragungsverschlüsselung, z. B. einer HSM- oder vertraulichen Computefunktion.
  • Dedizierte Testumgebungen und Testtools, um zu überprüfen, ob Sicherheitskontrollen funktionieren und um zuvor nicht erfasste Lücken bei der Abdeckung aufzudecken.

Die vorherigen Elemente sind häufig auch außerhalb der Produktionsumgebungen vorhanden, in Preproduction- und Notfallwiederherstellungsressourcen.

Kompromiss: Erhöhte Nachfrage nach Infrastruktur. Die Säule "Kostenoptimierung" priorisiert die Senkung der Nachfrage nach Ressourcen, um die Nutzung günstigerer SKUs, weniger Instanzen oder reduzierten Verbrauch zu ermöglichen.

  • Premium-SKUs: Einige Sicherheitsmaßnahmen in Cloud- und Anbieterdiensten, die den Sicherheitsstatus einer Workload nutzen können, sind möglicherweise nur in teureren SKUs oder Ebenen zu finden.

  • Protokollspeicher: Überwachungs- und Auditdaten mit hoher Treue, die eine breite Abdeckung bieten, erhöhen die Speicherkosten. Daten zur Sicherheitsbeobachtbarkeit werden in der Regel auch länger als operative Erkenntnisse aufbewahrt.

  • Erhöhter Ressourcenverbrauch: Prozessinterne und On-Host-Sicherheitskontrollen fügen die Nachfrage nach Compute und Arbeitsspeicher hinzu. Die Verschlüsselung während der Übertragung und im Ruhezustand steigert ebenfalls die Nachfrage. Beide können höhere Instanzenanzahl oder größere SKUs erfordern.

Kompromiss: Höhere Prozess- und Betriebskosten. Die Personalprozesskosten sind Teil der Gesamtbetriebskosten und werden in die Rendite einer Arbeitsauslastung einbezogen. Die Optimierung dieser Kosten ist eine Empfehlung der Kostenoptimierungssäule.

  • Ein umfassendes und strenges Patch-Management-Regime erhöht die Zeit und das Geld, das für Routineaufgaben aufgewendet wird, und es erfordert in der Regel Investitionen in vorbereitung auf Ad-hoc-Zero-Day-Patching.

  • Strengere Zugriffskontrollen verringern das Risiko eines nicht autorisierten Zugriffs, fügen aber der Benutzerverwaltung und dem betriebsbereiten Zugriff Komplexität hinzu.

  • Schulungen und Sensibilisierung für Sicherheitstools und -prozesse verbrauchen Mitarbeiterzeit und verursachen Kosten für Materialien, Kursleiter und Schulungsumgebungen.

  • Die Einhaltung gesetzlicher Vorschriften kann zusätzliche Investitionen in Audits und Complianceberichte erfordern.

  • Die Planung und Durchführung von Übungen zur Vorbereitung auf die Reaktion bei Sicherheitsvorfällen erfordert Zeit.

  • Routine- und Ad-hoc-Sicherheitsprozesse, z. B. Schlüssel- oder Zertifikatdrehung, nehmen Zeit zum Entwerfen und Ausführen.

  • Für die Sicherheitsüberprüfung im SDLC sind in der Regel spezielle Tools erforderlich. Möglicherweise muss Ihre Organisation für diese Tools bezahlen, und das Beheben von Ergebnissen dauert auch Zeit.

  • Die Einstellung von Sicherheitsexperten von Drittanbietern zur Durchführung von Penetrationstests führt zu Kosten.

Sicherheitskompromisse bei Operational Excellence

Kompromiss: Komplikationen bei Observability und Serviceability. Operational Excellence erfordert, dass Architekturen bearbeitbar und feststellbar sind. Die dienstbaren Architekturen sind für alle Beteiligten transparent.

  • Sicherheitsvorteile durch hochpräzise Protokollierung, die Basisabweichungsalarmierung und Vorfallreaktion unterstützt. Das Volumen kann Einblicke, die auf Zuverlässigkeit oder Leistung ausgerichtet sind, verdrängen.

  • Durch Datenschutzkonformität mit Datenmaskierung werden Protokollsegmente oder sogar große Mengen tabellarischer Daten geschwärzt, um die Vertraulichkeit zu schützen. Das Team muss bewerten, wie sich diese Observability-Lücke auf Warnungen auswirkt und die Reaktion auf Vorfälle behindert.

  • Starke Ressourcensegmentierung erschwert die Observierbarkeit. Es erfordert zusätzliche verteilte dienstübergreifende Tracing- und Korrelationsmechanismen, um Fluss- oder Ablaufspuren zu erfassen. Die Segmentierung erhöht auch die zu schützende Compute- und Datenoberfläche.

  • Einige Sicherheitskontrollen behindern absichtlich den Zugriff und können den Notfallzugriff der Betreiber während der Vorfallreaktion verlangsamen. Pläne für die Reaktion auf Vorfälle benötigen zusätzliche Planung und Übungen, um effektiv zu bleiben.

Kompromiss: Verringerte Flexibilität und erhöhte Komplexität. Workload-Teams messen ihre Geschwindigkeit, damit sie die Qualität, Häufigkeit und Effizienz der Übermittlungsaktivitäten im Laufe der Zeit verbessern können. Die Komplexität der Arbeitslast beeinflusst den Aufwand und das Risiko, das mit Betriebsabläufen verbunden ist.

  • Strengere Änderungskontroll- und Genehmigungsrichtlinien verringern das Risiko, Sicherheitsrisiken einzuführen, aber sie verlangsamen die Entwicklung und sichere Bereitstellung neuer Features. Gleichzeitig müssen Sicherheitsupdates und Patches bereitgestellt werden, um die Nachfrage nach häufigeren Bereitstellungen zu erhöhen. Darüber hinaus können von Menschen gesteuerte Genehmigungsrichtlinien in operativen Prozessen die Automatisierung dieser Prozesse erschweren.

  • Sicherheitstests führen zu Ergebnissen, die das Team priorisieren muss, was geplante Arbeit blockieren kann.

  • Routine-, Ad-hoc- und Notfallprozesse erfordern möglicherweise Überwachungsprotokollierung, um Compliance-Anforderungen zu erfüllen. Diese Protokollierung erhöht die Starrheit der Ausführung der Prozesse.

  • Workloadteams können die Komplexität von Identitätsverwaltungsaktivitäten erhöhen, da die Granularität von Rollendefinitionen und Zuordnungen erhöht wird.

  • Mehr sicherheitsbezogene Routineaufgaben, z. B. die Zertifikatverwaltung, erhöhen die Anzahl der Prozesse, die automatisiert werden sollen.

Kompromiss: Verstärkte Koordinierungsbemühungen. Ein Team, das externe Kontaktpunkte und Überprüfungen minimiert, kann ihre Vorgänge und zeitachsen effektiver steuern.

  • Da die Anforderungen an die externe Compliance seitens der größeren Organisation oder von externen Entitäten steigen, nimmt auch die Komplexität der Erreichung und des Nachweises der Einhaltung gegenüber Auditoren zu.

  • Sicherheit erfordert spezielle Fähigkeiten, über die Arbeitsauslastungsteams in der Regel nicht verfügen. Die Beschaffung dieser Fähigkeiten aus der größeren Organisation oder von Dritten erfordert eine Koordinierung der Anstrengungen, des Zugriffs und der Verantwortung.

  • Kommunikationspläne für verantwortungsvolle Offenlegung von Sicherheitsverletzungen sind häufig durch Compliance- oder Organisationsmandats erforderlich und müssen in die Sicherheitskoordination eingebunden werden.

Sicherheitskompromisse bei der Leistungseffizienz

Kompromiss: Erhöhte Latenz und Mehraufwand. Eine leistungsfähige Workload reduziert Latenz und Mehraufwand.

  • Inspektionssicherheitskontrollen, wie Firewalls und Inhaltssicherheitsfilter, sitzen in den Flüssen, die sie sichern. Diese Flows unterliegen daher einer zusätzlichen Überprüfung, die die Anfragen verzögert. In stark entkoppelten Architekturen können Inspektionen mehrmals für eine einzelne Benutzer- oder Datenflusstransaktion durchgeführt werden.

  • Identitätskontrollen erfordern, dass jeder Aufruf einer gesteuerten Komponente eindeutig verifiziert wird. Die Überprüfung nutzt Computezyklen und erfordert möglicherweise eine Netzwerk-Traversierung für die Autorisierung.

  • Verschlüsselung und Entschlüsselung verbrauchen Rechenzyklen, wodurch die von diesen Flüssen verbrauchte Zeit und Ressourcen erhöht werden. Die Zunahme korreliert in der Regel mit der Komplexität des Algorithmus und mit der Generierung von Initialisierungsvektoren mit hoher Entropie (IVs).

  • Umfangreichere Protokollierung verbraucht mehr Systemressourcen und Netzwerkbandbreite, um diese Protokolle zu streamen.

  • Die Ressourcensegmentierung führt häufig Netzwerkhüpfungen in die Architektur einer Workload ein.

Kompromiss: Erhöhte Wahrscheinlichkeit einer Fehlkonfiguration. Zuverlässige Erfüllung von Leistungszielen hängt von vorhersagbaren Implementierungen des Designs ab.

Falsch konfigurierte oder überlastete Sicherheitskontrollen können die Leistung aufgrund ineffizienter Konfiguration beeinträchtigen. Beispiele für Sicherheitssteuerungskonfigurationen, die sich auf die Leistung auswirken können, sind:

  • Sortierung, Komplexität und Menge der Firewallregel (Granularität).

  • Fehler beim Ausschließen von Schlüsseldateien von der Dateiintegritätsüberwachung oder Virenscannern. Die Vernachlässigung dieses Schritts kann zu einer Sperrkonkurrenz führen.

  • Webanwendungsfirewalls, die eine umfassende Paketüberprüfung für Sprachen oder Plattformen durchführen, die für die geschützten Komponenten irrelevant sind.

Erkunden Sie die Kompromisse für die anderen Säulen:

  • Last updated on