Compromis de sécurité pour les charges de travail Power Platform

Le pilier Sécurité fournit des garanties en matière de confidentialité, d’intégrité et de disponibilité du système d’une charge de travail et des données de ses utilisateurs. Des contrôles de sécurité sont requis pour la charge de travail ainsi que pour le développement logiciel et les composants opérationnels du système. Lorsque les équipes conçoivent et gèrent une charge de travail, elles ne peuvent quasiment jamais faire de compromis sur les contrôles de sécurité.

Au cours de la phase de conception d’une charge de travail, il est important de considérer comment les décisions basées sur les principes de conception du pilier Sécurité et les recommandations de la liste de contrôle d’examen de la conception pour le pilier Sécurité peuvent influencer les objectifs et les efforts d’optimisation d’autres piliers. Certaines décisions peuvent bénéficier à certains piliers, mais constituer des compromis pour d’autres. Cet article répertorie des exemples de compromis qu’une équipe de charge de travail peut rencontrer lors de la conception de l’architecture et des opérations de charge de travail pour le pilier Optimisation de l’expérience.

Compromis liés au pilier Sécurité avec le pilier Fiabilité

Compromis : complexité accrue. Le pilier Fiabilité privilégie la simplicité et recommande de minimiser les points de défaillance.

• Certains contrôles de sécurité peuvent augmenter le risque de mauvaise configuration, ce qui peut entraîner une interruption du service. Parmi les exemples de contrôles de sécurité susceptibles d’introduire une mauvaise configuration figurent les règles de trafic réseau, les paramètres de pare-feu IP et les attributions de contrôle d’accès axées sur des rôles ou des attributs.

• Les outils de sécurité des charges de travail sont souvent intégrés à de nombreuses couches de l’architecture, aux opérations et aux exigences d’exécution d’une charge de travail. Ces outils peuvent affecter la résilience, la disponibilité et la planification des capacités. Le fait de ne pas tenir compte des limitations des outils peut entraîner un événement de fiabilité, comme l’épuisement du port SNAT (traduction d’adresses réseau source) sur un pare-feu de sortie.

Compromis : augmentation des dépendances critiques. Le pilier Fiabilité recommande de minimiser les dépendances critiques. Une charge de travail qui réduit au minimum les dépendances critiques, notamment externes, a davantage de contrôle sur ses points de défaillance.

Le pilier Sécurité nécessite une charge de travail pour vérifier explicitement les identités et les actions. La vérification s’effectue via des dépendances critiques sur les composants de sécurité clés. Si ces composants ne sont pas disponibles ou s’ils dysfonctionnent, la vérification risque de ne pas être terminée. Cet échec entraîne l’état dégradé de la charge de travail. Voici quelques exemples de ces dépendances critiques à point de défaillance unique :

• Pare-feu d’entrée et de sortie
• Listes de révocation de certificat
• Fournisseurs d’identité, tel que Microsoft Entra ID

Compromis : complexité accrue de la reprise après sinistre. Une charge de travail doit récupérer de manière fiable après toutes les formes de sinistre.

• Les contrôles de sécurité peuvent affecter les objectifs de temps de récupération. Cet effet peut être dû aux étapes supplémentaires nécessaires au déchiffrement des données sauvegardées ou aux retards d’accès opérationnel créés par le triage de la fiabilité du site.

• Les contrôles de sécurité eux-mêmes, par exemple les coffres-forts de clés secrètes et leur contenu, doivent faire partie du plan de récupération d’urgence de la charge de travail et doivent être validés via des exercices de récupération.

• Les exigences de sécurité ou de conformité peuvent limiter les options de résidence des données ou les restrictions de contrôle d’accès pour les sauvegardes, ce qui pourrait compliquer davantage la récupération.

Compromis : taux de changement accru. Une charge de travail qui subit un changement d’exécution est exposée à un risque plus élevé d’impact sur la fiabilité en raison de ce changement.

• Des stratégies de mise à jour de solutions plus strictes entraînent davantage de changements dans l’environnement de production d’une charge de travail. Ce changement provient de sources comme les suivantes :

  • Publication plus fréquente du code de l’application en raison des mises à jour des solutions
  • Application des mises à jour de la vague de lancement Power Platform
  • Mise à jour des configurations des paramètres d’environnement Power Platform dans l’environnement
  • Application de correctifs aux bibliothèques ou composants utilisés dans l’environnement

• Les activités de rotation pour les clés, les informations d’identification du principal de service et les certificats augmentent le risque de problèmes temporaires en raison du moment de la rotation et des clients utilisant la nouvelle valeur.

Compromis liés au pilier Sécurité avec le pilier Excellence opérationnelle

Compromis : complications en matière d’observabilité et de facilité d’entretien. L’excellence opérationnelle exige que les architectures soient faciles à entretenir et à observer. Les architectures les plus faciles de maintenance sont celles qui sont les plus transparentes pour toutes les personnes impliquées.

• Le pilier Sécurité bénéficie d’une journalisation étendue qui fournit un aperçu haute fidélité de la charge de travail pour alerter sur les écarts par rapport aux lignes de base et pour répondre aux incidents. Cette journalisation peut générer un volume important de journaux, ce qui peut rendre plus difficile la fourniture d’informations ciblées sur la fiabilité ou les performances.

• Lorsque les directives de conformité en matière de masquage des données sont respectées, des segments spécifiques de journaux ou même de grandes quantités de données tabulaires sont rédigés pour protéger la confidentialité. L’équipe doit évaluer comment cet écart d’observabilité pourrait affecter les alertes ou entraver la réponse aux incidents.

• Certains contrôles de sécurité empêchent l’accès de par leur conception. Lors de la réponse aux incidents, ces contrôles peuvent ralentir l’accès d’urgence des opérateurs de charge de travail. Par conséquent, les plans de réponse aux incidents doivent mettre davantage l’accent sur la planification et les exercices afin d’atteindre une efficacité acceptable.

Compromis : agilité réduite et complexité accrue. Les équipes de charge de travail mesurent leur vitesse afin de pouvoir améliorer la qualité, la fréquence et l’efficacité des activités de livraison au fil du temps. La complexité de la charge de travail prend en compte les efforts et les risques impliqués dans les opérations.

• Des politiques de contrôle et d’approbation des modifications plus strictes visant à réduire le risque d’introduction de failles de sécurité peuvent ralentir le développement et le déploiement sécurisé de nouvelles fonctionnalités. Cependant, les attentes en matière de mises à jour de sécurité et de correctifs peuvent accroître la demande de déploiements plus fréquents. De plus, les politiques d’approbation humaine dans les processus opérationnels peuvent rendre plus difficile l’automatisation de ces processus.

• Les tests de sécurité aboutissent à des résultats qui doivent être priorisés, bloquant potentiellement le travail planifié.

• Les processus de routine, ponctuels et d’urgence peuvent nécessiter une journalisation d’audit pour répondre aux exigences de conformité. Cette journalisation augmente la rigidité de l’exécution des processus.

• Les équipes chargées de la charge de travail peuvent accroître la complexité des activités de gestion des identités à mesure que la granularité des définitions et des attributions de rôles augmente.

• Un nombre croissant de tâches opérationnelles de routine associées à la sécurité, comme la gestion des certificats, augmente le nombre de processus à automatiser.

Compromis : efforts de coordination accrus. Une équipe qui minimise les points de contact et de révision externes peut contrôler ses opérations et son calendrier plus efficacement.

• À mesure que les exigences de conformité externe émanant d’une organisation plus grande ou d’entités externes augmentent, la complexité d’atteindre et de prouver la conformité auprès des auditeurs augmente également.

• La sécurité nécessite des compétences spécialisées que les équipes chargées des charges de travail ne possèdent généralement pas. Ces compétences proviennent souvent de la plus grande organisation ou de tiers. Dans les deux cas, une coordination des efforts, de l’accès et des responsabilités doit être établie.

• Les exigences de conformité ou organisationnelles nécessitent souvent des plans de communication maintenus pour une divulgation responsable des violations. Ces plans doivent être pris en compte dans les efforts de coordination de la sécurité.

Compromis liés au pilier Sécurité avec le pilier Optimisation de l’expérience

Compromis : augmentation des frottements. L’optimisation de l’expérience vise à aider les utilisateurs à être plus productifs et à prendre des décisions plus rapides.

• Les périmètres du pilier Sécurité doivent être minimisés, ce qui peut avoir un impact négatif sur l’utilisation de composants et d’intégrations tiers souhaités pour optimiser l’expérience.

• La classification des données peut rendre plus difficile la recherche et la consommation de données dans la charge de travail.

• Les protocoles de sécurité augmentent la complexité des interactions des utilisateurs et peuvent entraîner des problèmes d’utilisation.

Compromis entre sécurité et efficacité des performances

Compromis : augmentation de la latence et des frais généraux. Une charge de travail performante réduit la latence et les frais généraux.

• Les contrôles de sécurité d’inspection, tels que les pare-feu et les filtres de contenu, sont situés dans les flux qu’ils sécurisent. Ces flux sont donc soumis à une vérification supplémentaire, ce qui ajoute de la latence aux requêtes.

• Les contrôles d’identité nécessitent que chaque invocation d’un composant contrôlé soit vérifiée explicitement. Cette vérification consomme des cycles de calcul et peut nécessiter une traversée du réseau pour l’autorisation.

• Le chiffrement et le déchiffrement nécessitent des cycles de calcul dédiés. Ces cycles augmentent le temps et les ressources consommés par ces flux. Cette augmentation est généralement corrélée à la complexité de l’algorithme et à la génération de vecteurs d’initialisation (IV) à haute entropie et diversifiés.

• À mesure que l’ampleur de la journalisation augmente, l’impact sur les ressources système et la bande passante réseau pour la diffusion de ces journaux peut également augmenter.

• La segmentation des ressources introduit fréquemment des sauts de réseau dans l’architecture d’une charge de travail.

Compromis : risque accru de mauvaise configuration. La réalisation fiable des objectifs de performances dépend d’implémentations prévisibles de la conception.

Une mauvaise configuration ou une extension excessive des contrôles de sécurité peut avoir un impact sur les performances en raison d’une configuration inefficace. Voici quelques exemples de configurations de contrôle de sécurité pouvant affecter les performances :

• Ordre, complexité et quantité (granularité) des règles de pare-feu.

• Ne pas exclure les fichiers clés des moniteurs d’intégrité des fichiers ou des antivirus. Négliger ce étape peut conduire à un conflit de verrouillage.

• Les pare-feu d’applications Web effectuent une inspection approfondie des paquets pour les langues ou les plates-formes qui ne sont pas pertinentes pour les composants protégés.

Informations associées

• Compromis en matière de fiabilité
• Compromis en matière d’excellence opérationnelle
• Compromis d’optimisation de l’expérience
• Compromis entre performance et efficacité