Partager via

Compromis de sécurité

  • Article

La sécurité assure la confidentialité, l’intégrité et les garanties de disponibilité du système d’une charge de travail et des données de ses utilisateurs. Les contrôles de sécurité sont requis pour la charge de travail et pour le développement logiciel et les composants opérationnels du système. Lorsque les équipes conçoivent et exploitent une charge de travail, elles ne peuvent presque jamais compromettre les contrôles de sécurité.

Pendant la phase de conception d’une charge de travail, il est important de prendre en compte la façon dont les décisions basées sur les principes de conception de sécurité et les recommandations de la liste de contrôle de révision de conception pour la sécurité peuvent influencer les objectifs et les optimisations d’autres piliers. Certaines décisions de sécurité peuvent bénéficier de certains piliers, mais constituent des compromis pour d’autres. Cet article décrit des exemples de compromis que peut rencontrer une équipe de charge de travail lors de l’établissement de garanties de sécurité.

Compromis de sécurité avec fiabilité

Compromis : complexité accrue. Le pilier fiabilité hiérarchise la simplicité et recommande que les points de défaillance soient réduits.

  • Certains contrôles de sécurité peuvent augmenter le risque de mauvaise configuration, ce qui peut entraîner une interruption de service. Parmi les exemples de contrôles de sécurité qui peuvent introduire une configuration incorrecte, citons les règles de trafic réseau, les fournisseurs d’identité, les exclusions d’analyse des virus et les attributions de contrôle d’accès basées sur des rôles ou des attributs.

  • Une segmentation accrue entraîne généralement un environnement plus complexe en termes de topologie et d’opérateur de ressources et de réseau. Cette complexité peut entraîner davantage de points de défaillance dans les processus et dans l’exécution de la charge de travail.

  • Les outils de sécurité de charge de travail sont souvent incorporés dans de nombreuses couches de l’architecture, des opérations et des exigences d’exécution d’une charge de travail. Ces outils peuvent affecter la résilience, la disponibilité et la planification de la capacité. Le fait de ne pas tenir compte des limitations de l’outil peut entraîner un événement de fiabilité, comme l’épuisement des ports SNAT sur un pare-feu de sortie.

Compromis : augmentation des dépendances critiques. Le pilier fiabilité recommande de réduire les dépendances critiques. Une charge de travail qui réduit les dépendances critiques, en particulier les dépendances externes, a plus de contrôle sur ses points de défaillance.

Le pilier Sécurité nécessite une charge de travail pour vérifier explicitement les identités et les actions. La vérification se produit via des dépendances critiques sur les composants de sécurité clés. Si ces composants ne sont pas disponibles ou s’ils dysfonctionnements, la vérification peut ne pas se terminer. Cette défaillance place la charge de travail dans un état détérioré. Voici quelques exemples de ces dépendances critiques à un point de défaillance :

  • Pare-feu d’entrée et de sortie.
  • Listes de révocation de certificats.
  • Heure système précise fournie par un serveur NTP (Network Time Protocol).
  • Fournisseurs d’identité, tels que Microsoft Entra ID.

Compromis : complexité accrue de la reprise d’activité après sinistre. Une charge de travail doit récupérer de manière fiable à partir de toutes les formes de sinistre.

  • Les contrôles de sécurité peuvent affecter les objectifs de temps de récupération. Cet effet peut être dû aux étapes supplémentaires nécessaires pour déchiffrer les données sauvegardées ou par des retards d’accès opérationnels créés par le triage de fiabilité du site.

  • Les contrôles de sécurité eux-mêmes, par exemple les coffres secrets et leur contenu ou la protection DDoS edge, doivent faire partie du plan de récupération d’urgence de la charge de travail et doivent être validés via des exercices de récupération.

  • Les exigences de sécurité ou de conformité peuvent limiter les options de résidence des données ou les restrictions de contrôle d’accès pour les sauvegardes, ce qui complique potentiellement davantage la récupération en segmentant même les réplicas hors connexion.

Compromis : augmentation du taux de changement. Une charge de travail qui subit le changement d’exécution est exposée à un risque accru d’impact sur la fiabilité en raison de cette modification.

  • Des stratégies de mise à jour et de mise à jour plus strictes entraînent des modifications supplémentaires dans l’environnement de production d’une charge de travail. Cette modification provient de sources comme celles-ci :

    • Code d’application publié plus fréquemment en raison des mises à jour apportées aux bibliothèques ou aux mises à jour des images conteneur de base
    • Amélioration de la mise à jour corrective de routine des systèmes d’exploitation
    • Rester à jour avec les applications ou plateformes de données avec version
    • Application de correctifs de fournisseur à des logiciels dans l’environnement

  • Les activités de rotation pour les clés, les informations d’identification du principal de service et les certificats augmentent le risque de problèmes temporaires en raison du minutage de la rotation et des clients à l’aide de la nouvelle valeur.

Compromis de sécurité avec l’optimisation des coûts

Compromis : infrastructure supplémentaire. Une approche de l’optimisation des coûts d’une charge de travail consiste à rechercher des moyens de réduire la diversité et le nombre de composants et d’augmenter la densité.

Certains composants de charge de travail ou décisions de conception existent uniquement pour protéger la sécurité (confidentialité, intégrité et disponibilité) des systèmes et des données. Ces composants, bien qu’ils améliorent la sécurité de l’environnement, augmentent également les coûts. Ils doivent également être soumis à l’optimisation des coûts eux-mêmes. Voici quelques exemples de sources pour ces ressources supplémentaires centrées sur la sécurité ou les coûts de licence :

  • Calcul, réseau et segmentation des données pour l’isolation, qui implique parfois l’exécution d’instances distinctes, empêchant la colocalisation et la réduction de la densité.
  • Outils d’observabilité spécialisés, tels qu’un SIEM capable d’effectuer une agrégation et des informations sur les menaces.
  • Appliances ou fonctionnalités réseau spécialisées, telles que les pare-feu ou la prévention par déni de service distribué.
  • Outils de classification des données requis pour capturer des étiquettes de confidentialité et de type d’informations.
  • Fonctionnalités de stockage ou de calcul spécialisées pour prendre en charge le chiffrement au repos et en transit, comme un HSM ou une fonctionnalité de calcul confidentielle.
  • Environnements de test dédiés et outils de test pour vérifier que les contrôles de sécurité fonctionnent et pour découvrir les lacunes précédemment non découvertes dans la couverture.

Les éléments précédents existent souvent en dehors des environnements de production, dans les ressources de préproduction et de récupération d’urgence.

Compromis : augmentation de la demande sur l’infrastructure. Le pilier Optimisation des coûts hiérarchise la demande des ressources pour permettre l’utilisation de références SKU moins coûteuses, moins d’instances ou une consommation réduite.

  • Références SKU Premium : certaines mesures de sécurité dans les services cloud et fournisseurs qui peuvent bénéficier de la posture de sécurité d’une charge de travail peuvent être trouvées uniquement dans des références SKU ou des niveaux plus coûteux.

  • Stockage des journaux : la surveillance de la sécurité haute fidélité et les données d’audit qui offrent une couverture étendue augmentent les coûts de stockage. Les données d’observabilité de la sécurité sont également souvent stockées pendant des périodes plus longues que celles qui sont généralement nécessaires pour les insights opérationnels.

  • Consommation accrue des ressources : les contrôles de sécurité in-process et sur hôte peuvent introduire une demande supplémentaire de ressources. Le chiffrement des données au repos et en transit peut également augmenter la demande. Les deux scénarios peuvent nécessiter un nombre d’instances plus élevé ou des références SKU plus volumineuses.

Compromis : augmentation du processus et des coûts opérationnels. Les coûts de processus du personnel font partie du coût total global de possession et sont pris en compte dans le retour sur investissement d’une charge de travail. L’optimisation de ces coûts est une recommandation du pilier Optimisation des coûts.

  • Un régime de gestion des correctifs plus complet et plus strict entraîne une augmentation du temps et de l’argent consacré à ces tâches courantes. Cette augmentation est souvent couplée à l’attente d’investir dans la préparation à la mise à jour corrective ad hoc pour les exploits de zéro jour.

  • Des contrôles d’accès plus stricts pour réduire le risque d’accès non autorisé peuvent entraîner une gestion des utilisateurs et un accès opérationnel plus complexes.

  • La formation et la sensibilisation aux outils et processus de sécurité prennent du temps aux employés et entraînent également des coûts pour les matériaux, les instructeurs et éventuellement les environnements de formation.

  • La conformité aux réglementations peut nécessiter des investissements supplémentaires pour les audits et la génération de rapports de conformité.

  • La planification et la réalisation d’exercices pour la préparation à la réponse aux incidents de sécurité prend du temps.

  • Le temps doit être alloué pour concevoir et exécuter des processus de routine et ad hoc associés à la sécurité, comme la rotation des clés ou des certificats.

  • La validation de sécurité du SDLC nécessite généralement des outils spécialisés. Votre organisation peut avoir besoin de payer pour ces outils. La hiérarchisation et la correction des problèmes détectés pendant le test prennent également du temps.

  • L’embauche de professionnels de la sécurité tiers pour effectuer des tests blancs ou des tests effectués sans connaître les travaux internes d’un système (parfois appelés tests de boîte noire), y compris les tests d’intrusion, entraîne des coûts.

Compromis en matière de sécurité avec l’excellence opérationnelle

Compromis : complications dans l’observabilité et la facilité de service. L’excellence opérationnelle exige que les architectures soient utilisables et observables. Les architectures les plus utilisables sont celles qui sont les plus transparentes pour tout le monde impliqué.

  • La sécurité bénéficie d’une journalisation étendue qui fournit un aperçu de haute fidélité de la charge de travail pour alerter sur les écarts des lignes de base et pour la réponse aux incidents. Cette journalisation peut générer un volume important de journaux, ce qui peut compliquer la fourniture d’informations ciblées sur la fiabilité ou les performances.

  • Lorsque des instructions de conformité pour le masquage des données sont suivies, des segments spécifiques de journaux d’activité ou même de grandes quantités de données tabulaires sont adoptés pour protéger la confidentialité. L’équipe doit évaluer la façon dont cet écart d’observabilité peut affecter les alertes ou entraver la réponse aux incidents.

  • La segmentation forte des ressources augmente la complexité de l’observabilité en nécessitant un suivi distribué multiservices supplémentaire et une corrélation pour capturer les traces de flux. La segmentation augmente également la surface d’exposition du calcul et des données au service.

  • Certains contrôles de sécurité empêchent l’accès par conception. Pendant la réponse aux incidents, ces contrôles peuvent ralentir l’accès d’urgence des opérateurs de charge de travail. Par conséquent, les plans de réponse aux incidents doivent mettre davantage l’accent sur la planification et les exercices afin d’atteindre l’efficacité acceptable.

Compromis : Réduction de l’agilité et complexité accrue. Les équipes de charge de travail mesurent leur vitesse afin qu’elles puissent améliorer la qualité, la fréquence et l’efficacité des activités de livraison au fil du temps. Facteurs de complexité de la charge de travail dans l’effort et le risque impliqués dans les opérations.

  • Les stratégies de contrôle et d’approbation des modifications plus strictes pour réduire le risque d’introduire des vulnérabilités de sécurité peuvent ralentir le développement et le déploiement sécurisé de nouvelles fonctionnalités. Toutefois, l’attente d’adressage des mises à jour de sécurité et des correctifs peut augmenter la demande de déploiements plus fréquents. En outre, les stratégies d’approbation contrôlées par l’homme dans les processus opérationnels peuvent rendre plus difficile l’automatisation de ces processus.

  • Les tests de sécurité entraînent des résultats qui doivent être hiérarchisés, potentiellement bloquant le travail planifié.

  • Les processus de routine, ad hoc et d’urgence peuvent nécessiter la journalisation d’audit pour répondre aux exigences de conformité. Cette journalisation augmente la rigidité de l’exécution des processus.

  • Les équipes de charge de travail peuvent augmenter la complexité des activités de gestion des identités à mesure que la granularité des définitions de rôles et des affectations est augmentée.

  • Un nombre accru de tâches opérationnelles courantes associées à la sécurité, comme la gestion des certificats, augmente le nombre de processus à automatiser.

Compromis : efforts de coordination accrus. Une équipe qui réduit les points de contact externes et les révisions peut contrôler plus efficacement leurs opérations et leur chronologie.

  • À mesure que les exigences de conformité externes de l’organisation plus grande ou des entités externes augmentent, la complexité d’atteindre et de prouver la conformité avec les auditeurs augmente également.

  • La sécurité nécessite des compétences spécialisées que les équipes de charge de travail n’ont généralement pas. Ces compétences sont souvent issues de l’organisation plus grande ou de tiers. Dans les deux cas, la coordination des efforts, de l’accès et de la responsabilité doit être établie.

  • La conformité ou les exigences organisationnelles nécessitent souvent des plans de communication maintenus pour la divulgation responsable des violations. Ces plans doivent être pris en compte dans les efforts de coordination de la sécurité.

Compromis de sécurité avec efficacité des performances

Compromis : latence et surcharge accrues. Une charge de travail performante réduit la latence et la surcharge.

  • Les contrôles de sécurité d’inspection, tels que les pare-feu et les filtres de sécurité de contenu, se trouvent dans les flux qu’ils sécurisent. Ces flux sont donc soumis à une vérification supplémentaire, ce qui ajoute la latence aux requêtes. Dans une architecture hautement découplée, la nature distribuée peut entraîner ces inspections se produisant plusieurs fois pour une transaction de flux de données ou d’utilisateur unique.

  • Les contrôles d’identité nécessitent que chaque appel d’un composant contrôlé soit vérifié explicitement. Cette vérification consomme des cycles de calcul et peut nécessiter une traversée réseau pour l’autorisation.

  • Le chiffrement et le déchiffrement nécessitent des cycles de calcul dédiés. Ces cycles augmentent le temps et les ressources consommées par ces flux. Cette augmentation est généralement corrélée à la complexité de l’algorithme et à la génération de vecteurs d’initialisation élevés et divers (IV).

  • À mesure que l’ampleur de la journalisation augmente, l’impact sur les ressources système et la bande passante réseau pour la diffusion en continu de ces journaux peut également augmenter.

  • La segmentation des ressources introduit fréquemment des tronçons réseau dans l’architecture d’une charge de travail.

Compromis : augmentation de la probabilité d’une mauvaise configuration. La réalisation fiable des objectifs de performances dépend des implémentations prévisibles de la conception.

Une configuration incorrecte ou une surextension des contrôles de sécurité peut avoir un impact sur les performances en raison d’une configuration inefficace. Voici quelques exemples de configurations de contrôle de sécurité qui peuvent affecter les performances :

  • Classement, complexité et quantité des règles de pare-feu (granularité).

  • Échec de l’exclusion des fichiers clés des moniteurs d’intégrité des fichiers ou des scanneurs antivirus. La négligence de cette étape peut entraîner une contention de verrouillage.

  • Les pare-feu d’applications web effectuant une inspection approfondie des paquets pour les langages ou plateformes qui ne sont pas pertinents pour les composants qui sont protégés.

Explorez les compromis pour les autres piliers :