Compromis en matière de sécurité

  • Article

La sécurité fournit des garanties de confidentialité, d’intégrité et de disponibilité du système d’une charge de travail et des données de ses utilisateurs. Des contrôles de sécurité sont requis pour la charge de travail et pour les composants de développement logiciel et opérationnels du système. Lorsque les équipes conçoivent et exploitent une charge de travail, elles ne peuvent presque jamais compromettre les contrôles de sécurité.

Pendant la phase de conception d’une charge de travail, il est important de réfléchir à la façon dont les décisions basées sur les principes de conception de la sécurité et les recommandations contenues dans la liste de contrôle de la révision de la conception pour la sécurité peuvent influencer les objectifs et les optimisations d’autres piliers. Certaines décisions en matière de sécurité peuvent profiter à certains piliers, mais constituer des compromis pour d’autres. Cet article décrit des exemples de compromis qu’une équipe de charge de travail peut rencontrer lors de l’établissement des garanties de sécurité.

Compromis de sécurité avec fiabilité

Compromis : complexité accrue. Le pilier Fiabilité donne la priorité à la simplicité et recommande de réduire les points de défaillance.

  • Certains contrôles de sécurité peuvent augmenter le risque de mauvaise configuration, ce qui peut entraîner une interruption du service. Les règles de trafic réseau, les fournisseurs d’identité, les exclusions d’analyse antivirus et les attributions de contrôle d’accès basées sur les rôles ou les attributs sont des exemples de contrôles de sécurité qui peuvent introduire une configuration incorrecte.

  • Une segmentation accrue entraîne généralement un environnement plus complexe en termes de topologie de ressources et de réseau et d’accès des opérateurs. Cette complexité peut entraîner davantage de points de défaillance dans les processus et dans l’exécution de la charge de travail.

  • Les outils de sécurité de charge de travail sont souvent incorporés dans de nombreuses couches de l’architecture, des opérations et des exigences d’exécution d’une charge de travail. Ces outils peuvent affecter la résilience, la disponibilité et la planification de la capacité. Le fait de ne pas tenir compte des limitations dans les outils peut entraîner un événement de fiabilité, comme l’épuisement des ports SNAT sur un pare-feu de sortie.

Compromis : dépendances critiques accrues. Le pilier Fiabilité recommande de réduire les dépendances critiques. Une charge de travail qui réduit les dépendances critiques, en particulier les dépendances externes, a davantage de contrôle sur ses points de défaillance.

Le pilier Sécurité nécessite une charge de travail pour vérifier explicitement les identités et les actions. La vérification se produit via des dépendances critiques sur les composants de sécurité clés. Si ces composants ne sont pas disponibles ou s’ils ne fonctionnent pas correctement, la vérification peut ne pas se terminer. Cet échec place la charge de travail dans un état dégradé. Voici quelques exemples de ces dépendances critiques à point de défaillance unique :

  • Pare-feu d’entrée et de sortie.
  • Listes de révocation de certificats.
  • Heure système précise fournie par un serveur NTP (Network Time Protocol).
  • Fournisseurs d’identité, comme l’ID Microsoft Entra.

Compromis : complexité accrue de la récupération d’urgence. Une charge de travail doit récupérer de manière fiable après toutes les formes de sinistre.

  • Les contrôles de sécurité peuvent affecter les objectifs de délai de récupération. Cet effet peut être dû aux étapes supplémentaires nécessaires pour déchiffrer les données sauvegardées ou à des retards d’accès opérationnels créés par le triage de fiabilité du site.

  • Les contrôles de sécurité eux-mêmes, par exemple les coffres secrets et leur contenu ou la protection DDoS en périphérie, doivent faire partie du plan de récupération d’urgence de la charge de travail et doivent être validés via des exercices de récupération.

  • Les exigences de sécurité ou de conformité peuvent limiter les options de résidence des données ou les restrictions de contrôle d’accès pour les sauvegardes, ce qui peut compliquer davantage la récupération en segmentant même les réplicas hors connexion.

Compromis : Augmentation du taux de changement. Une charge de travail qui subit un changement d’exécution est exposée à un risque accru d’impact sur la fiabilité en raison de cette modification.

  • Des stratégies de mise à jour et de mise à jour plus strictes entraînent davantage de modifications dans l’environnement de production d’une charge de travail. Ce changement provient de sources comme celles-ci :

    • Le code d’application est publié plus fréquemment en raison des mises à jour des bibliothèques ou des mises à jour des images conteneur de base
    • Amélioration de la mise à jour corrective de routine des systèmes d’exploitation
    • Rester à jour avec les applications avec version ou les plateformes de données
    • Application de correctifs du fournisseur aux logiciels dans l’environnement

  • Les activités de rotation pour les clés, les informations d’identification du principal de service et les certificats augmentent le risque de problèmes temporaires en raison du timing de la rotation et des clients qui utilisent la nouvelle valeur.

Compromis en matière de sécurité avec optimisation des coûts

Compromis : Infrastructure supplémentaire. Une approche de l’optimisation des coûts d’une charge de travail consiste à rechercher des moyens de réduire la diversité et le nombre de composants et d’augmenter la densité.

Certains composants de charge de travail ou décisions de conception existent uniquement pour protéger la sécurité (confidentialité, intégrité et disponibilité) des systèmes et des données. Ces composants, bien qu’ils améliorent la sécurité de l’environnement, augmentent également les coûts. Ils doivent également être soumis à l’optimisation des coûts eux-mêmes. Voici quelques exemples de sources pour ces ressources supplémentaires centrées sur la sécurité ou les coûts de licence :

  • Segmentation du calcul, du réseau et des données pour l’isolation, ce qui implique parfois l’exécution d’instances distinctes, la prévention de la colocalisation et la réduction de la densité.
  • Des outils d’observabilité spécialisés, tels qu’un SIEM capable d’effectuer des opérations d’agrégation et de renseignement sur les menaces.
  • Appliances ou fonctionnalités réseau spécialisées, telles que les pare-feu ou la prévention distribuée contre les dénis de service.
  • Outils de classification des données requis pour capturer les étiquettes de confidentialité et de type d’informations.
  • Fonctionnalités de stockage ou de calcul spécialisées pour prendre en charge le chiffrement au repos et en transit, comme un HSM ou une fonctionnalité de calcul confidentiel.
  • Des environnements de test et des outils de test dédiés pour vérifier que les contrôles de sécurité fonctionnent et pour découvrir les lacunes de couverture précédemment non découvertes.

Les éléments précédents existent souvent également en dehors des environnements de production, dans les ressources de préproduction et de récupération d’urgence.

Compromis : Augmentation de la demande sur l’infrastructure. Le pilier Optimisation des coûts donne la priorité à la baisse de la demande de ressources pour permettre l’utilisation de références SKU moins chères, d’instances ou d’une consommation réduite.

  • Références SKU Premium : certaines mesures de sécurité dans les services cloud et fournisseurs qui peuvent bénéficier de la posture de sécurité d’une charge de travail peuvent uniquement être trouvées dans des niveaux ou des références SKU plus coûteux.

  • Stockage des journaux : la surveillance de la sécurité haute fidélité et les données d’audit qui fournissent une couverture étendue augmentent les coûts de stockage. Les données d’observabilité de la sécurité sont également souvent stockées pendant des périodes plus longues que ce qui serait généralement nécessaire pour les insights opérationnels.

  • Consommation accrue des ressources : les contrôles de sécurité in-process et sur l’hôte peuvent introduire une demande supplémentaire de ressources. Le chiffrement des données au repos et en transit peut également augmenter la demande. Les deux scénarios peuvent nécessiter des nombres de instance plus élevés ou des références SKU plus volumineuses.

Compromis : Augmentation des coûts de processus et d’exploitation. Les coûts des processus de personnel font partie du coût total de possession global et sont pris en compte dans le retour sur investissement d’une charge de travail. L’optimisation de ces coûts est une recommandation du pilier Optimisation des coûts.

  • Un régime de gestion des correctifs plus complet et plus strict entraîne une augmentation du temps et de l’argent consacré à ces tâches de routine. Cette augmentation est souvent associée à l’attente d’investir dans la préparation à la mise à jour corrective ad hoc pour les exploits zero-day.

  • Des contrôles d’accès plus stricts pour réduire le risque d’accès non autorisé peuvent entraîner une gestion des utilisateurs et un accès opérationnel plus complexes.

  • La formation et la sensibilisation aux outils et aux processus de sécurité prennent du temps aux employés et entraînent également des coûts pour le matériel, les instructeurs et, éventuellement, les environnements de formation.

  • La conformité aux réglementations peut nécessiter des investissements supplémentaires pour les audits et la génération de rapports de conformité.

  • La planification et l’exécution d’exercices pour la préparation à la réponse aux incidents de sécurité prennent du temps.

  • Du temps doit être alloué à la conception et à l’exécution de processus de routine et ad hoc associés à la sécurité, comme la rotation des clés ou des certificats.

  • La validation de sécurité du SDLC nécessite généralement des outils spécialisés. Vos organization devront peut-être payer pour ces outils. La hiérarchisation et la correction des problèmes détectés pendant le test prennent également du temps.

  • L’embauche de professionnels de la sécurité tiers pour effectuer des tests de boîte blanche ou des tests effectués à l’insu des fonctionnements internes d’un système (parfois appelés tests de boîte noire), y compris les tests d’intrusion, entraîne des coûts.

Compromis en matière de sécurité avec l’excellence opérationnelle

Compromis : Complications en matière d’observabilité et de facilité de service. L’excellence opérationnelle nécessite que les architectures soient serviceables et observables. Les architectures les plus serviceables sont celles qui sont les plus transparentes pour toutes les personnes impliquées.

  • La sécurité bénéficie d’une journalisation étendue qui fournit des informations de haute fidélité sur la charge de travail pour les alertes sur les écarts par rapport aux bases de référence et pour la réponse aux incidents. Cette journalisation peut générer un volume important de journaux, ce qui peut compliquer la fourniture d’insights ciblés sur la fiabilité ou les performances.

  • Lorsque les instructions de conformité pour le masquage des données sont suivies, des segments spécifiques de journaux ou même de grandes quantités de données tabulaires sont expurgées pour protéger la confidentialité. L’équipe doit évaluer la façon dont cet écart d’observabilité peut affecter les alertes ou entraver la réponse aux incidents.

  • Une forte segmentation des ressources augmente la complexité de l’observabilité en nécessitant un suivi distribué et une corrélation interservices supplémentaires pour capturer les traces de flux. La segmentation augmente également la surface d’exposition du calcul et des données à service.

  • Certains contrôles de sécurité entravent l’accès par conception. Pendant la réponse aux incidents, ces contrôles peuvent ralentir l’accès d’urgence des opérateurs de charge de travail. Par conséquent, les plans de réponse aux incidents doivent mettre davantage l’accent sur la planification et les exercices afin d’atteindre une efficacité acceptable.

Compromis : agilité réduite et complexité accrue. Les équipes de charge de travail mesurent leur vélocité afin d’améliorer la qualité, la fréquence et l’efficacité des activités de livraison au fil du temps. Facteurs de complexité de la charge de travail dans l’effort et le risque impliqués dans les opérations.

  • Des stratégies de contrôle des modifications et d’approbation plus strictes pour réduire le risque d’introduire des failles de sécurité peuvent ralentir le développement et le déploiement sécurisé de nouvelles fonctionnalités. Toutefois, l’attente de traiter les mises à jour de sécurité et les mises à jour correctives peut augmenter la demande de déploiements plus fréquents. En outre, les stratégies d’approbation contrôlée par l’homme dans les processus opérationnels peuvent rendre plus difficile l’automatisation de ces processus.

  • Les tests de sécurité entraînent des résultats qui doivent être hiérarchisés, ce qui peut bloquer le travail planifié.

  • Les processus de routine, ad hoc et d’urgence peuvent nécessiter une journalisation d’audit pour répondre aux exigences de conformité. Cette journalisation augmente la rigidité de l’exécution des processus.

  • Les équipes de charge de travail peuvent augmenter la complexité des activités de gestion des identités à mesure que la granularité des définitions et des attributions de rôles est accrue.

  • Un nombre accru de tâches opérationnelles de routine associées à la sécurité, comme la gestion des certificats, augmente le nombre de processus à automatiser.

Compromis : Efforts de coordination accrus. Une équipe qui réduit au minimum les points de contact et de révision externes peut contrôler ses opérations et chronologie plus efficacement.

  • À mesure que les exigences de conformité externes de la organization plus grande ou d’entités externes augmentent, la complexité de l’obtention et de la preuve de la conformité avec les auditeurs augmente également.

  • La sécurité nécessite des compétences spécialisées que les équipes de charge de travail n’ont généralement pas. Ces compétences proviennent souvent de la plus grande organization ou de tiers. Dans les deux cas, la coordination de l’effort, de l’accès et de la responsabilité doit être établie.

  • Les exigences de conformité ou d’organisation nécessitent souvent des plans de communication maintenus pour la divulgation responsable des violations. Ces plans doivent être pris en compte dans les efforts de coordination de la sécurité.

Compromis de sécurité avec efficacité des performances

Compromis : Latence et surcharge accrues. Une charge de travail performante réduit la latence et la surcharge.

  • Les contrôles de sécurité d’inspection, tels que les pare-feu et les filtres de contenu, se trouvent dans les flux qu’ils sécurisent. Ces flux font donc l’objet d’une vérification supplémentaire, ce qui ajoute une latence aux requêtes.

  • Les contrôles d’identité nécessitent que chaque appel d’un composant contrôlé soit vérifié explicitement. Cette vérification consomme des cycles de calcul et peut nécessiter une traversée réseau pour l’autorisation.

  • Le chiffrement et le déchiffrement nécessitent des cycles de calcul dédiés. Ces cycles augmentent le temps et les ressources consommées par ces flux. Cette augmentation est généralement corrélée à la complexité de l’algorithme et à la génération de vecteurs d’initialisation à haute entropie et divers (IV).

  • À mesure que la journalisation augmente, l’impact sur les ressources système et la bande passante réseau pour la diffusion en continu de ces journaux peut également augmenter.

  • La segmentation des ressources introduit fréquemment des tronçons réseau dans l’architecture d’une charge de travail.

Compromis : risque accru de mauvaise configuration. L’atteinte fiable des objectifs de performances dépend des implémentations prévisibles de la conception.

Une configuration incorrecte ou une surextension des contrôles de sécurité peut avoir un impact sur les performances en raison d’une configuration inefficace. Voici quelques exemples de configurations de contrôle de sécurité susceptibles d’affecter les performances :

  • Classement, complexité et quantité des règles de pare-feu (granularité).

  • Échec de l’exclusion des fichiers clés des moniteurs d’intégrité des fichiers ou des analyseurs antivirus. Le fait de négliger cette étape peut entraîner une contention de verrou.

  • Les pare-feu d’applications web effectuent une inspection approfondie des paquets pour les langues ou les plateformes qui ne sont pas pertinentes pour les composants protégés.

Explorez les compromis pour les autres piliers :