פשרות אבטחה עבור Power Platform עומסי עבודה
האבטחה מספקת הבטחות סודיות, שלמות וזמינות של מערכת עומס העבודה ושל נתוני המשתמשים בה. בקרות אבטחה נדרשות עבור עומס העבודה ועבור פיתוח התוכנה ורכיבי התפעול של המערכת. כאשר צוותים מתכננים ומפעילים עומס עבודה, הם כמעט אף פעם לא יכולים להתפשר על בקרות אבטחה.
במהלך שלב התכנון של עומס עבודה, הביאו בחשבון כיצד החלטות המבוססות על עקרונות עיצוב האבטחה ועל ההמלצות בתכנון רשימת בדיקה עבור אבטחה עשויות להשפיע על היעדים ומאמצי האופטימיזציה של עמודי תווך אחרים. החלטות מסוימות עשויות להועיל לחלק מעמודי התווך, ובמקביל להוות פשרה עם עמודי תווך אחרים. מאמר זה מפרט פשרות לדוגמה שצוות עומס עבודה עלול להיתקל בהן בעת תכנון ארכיטקטורה של עומס עבודה ותפעול למיטוב של חוויה.
פשרות אבטחה בתחום המהימנות
פשרה: מורכבות מוגברת. עמוד האמינות נותן עדיפות לפשטות וממליץ למזער את נקודות הכשל.
בקרות אבטחה מסוימות עלולות להגביר את הסיכון לתצורה שגויה, מה שעלול להוביל להפרעה בשירות. דוגמאות לבקרות אבטחה שעלולות לגרום לתצורה שגויה כוללות כללי תעבורה ברשת, הגדרות חומת אש של IP והקצאות של בקרת גישה על בסיס תפקידים או תכונות.
כלי אבטחת עומסי עבודה משולבים לרוב בשכבות רבות של דרישות הארכיטקטורה, התפעול וזמן הריצה של עומס העבודה. כלים אלה עשויים להשפיע על גמישות, זמינות ותכנון קיבולת. אי התחשבות במגבלות בכלי העבודה עלול להוביל לאירוע מהימנות, כמו מיצוי יציאת תרגום כתובות של רשת מקור (SNAT) בחומת אש יוצאת.
עמוד התווך של אבטחה דורש עומס עבודה כדי לאמת זהויות ופעולות במפורש. האימות מתרחש באמצעות תלות קריטית ברכיבי אבטחה מרכזיים. אם הרכיבים האלה אינם זמינים או אם הם לא תקינים, ייתכן שהאימות לא יושלם. כשל זה מעמיד את עומס העבודה במצב ירוד. הנה כמה דוגמאות ליחסי תלות קריטיים אלה של נקודת כשל בודדת:
- חומות אש של כניסה ויציאה
- רשימות של שלילת אישורים
- ספק זהויות, כמו Microsoft Entra ID
בקרות אבטחה עשויות להשפיע על יעדי זמן השחזור. השפעה זו יכולה להיגרם על-ידי השלבים הנוספים הדרושים כדי לפענח נתונים מגובים או על-ידי עיכובי גישה תפעוליים שנוצרו על-ידי ניסוי מהימנות האתר.
בקרות האבטחה עצמן, למשל מאגרי סודות ותכולתם, צריכות להיות חלק מתוכנית השחזור מאסון של עומס העבודה וחייבות לעבור אימות באמצעות תרגילי שחזור.
דרישות אבטחה או תאימות עשויות להגביל את אפשרויות מרכזי הנתונים או את הגבלות בקרת הגישה לגיבויים, מה שעלול לסבך עוד יותר את השחזור.
מדיניות עדכון פתרונות מחמירה יותר מובילה לשינויים רבים יותר בסביבת הייצור של עומס העבודה. שינוי זה מגיע ממקורות כמו אלה:
- הפצת קוד אפליקציה בתדירות גבוהה יותר בגלל עדכונים לפתרונות
- הפעלת עדכונים של גלי הפצה של Power Platform
- עדכון תצורות של הגדרות סביבת Power Platform בסביבה
- החלת תיקונים בספריות או רכיבים המשמשים בסביבה
פעילויות רוטציה של מפתחות, אישורי מנהל שירות ואישורים מגדילים את הסיכון לבעיות חולפות בגלל תזמון הרוטציה ושימוש של לקוחות בערך החדש.
פשרות אבטחה עם מצוינות תפעולית
האבטחה מרוויחה מרישום נרחב ביומן, המספק תובנות ברמת מהימנות גבוהה לגבי עומס העבודה לצורך התראה על חריגות מקווי הבסיס ולתגובה לאירועים. רישום זה יכול ליצור כמות משמעותית של יומנים, מה שיכול להקשות על מתן תובנות המכוונות למהימנות או ביצועים.
כאשר מקפידים על הנחיות תאימות למיסוך נתונים, מקטעים ספציפיים של יומנים או אפילו כמויות גדולות של נתונים טבלאיים נמחקים כדי להגן על סודיות. הצוות צריך להעריך כיצד פער זה יכול להשפיע על ההתראה או להפריע לתגובה לאירועים.
בקרות אבטחה מסוימות מונעות גישה כחלק מהתכנון. במהלך תגובה לתקריות, פקדים אלה יכולים להאט את הגישה של מפעילי עומסי העבודה בשעת חירום. לכן, תוכניות תגובה לאירועים צריכות לשים דגש רב יותר על תכנון ותרגילים על מנת להגיע ליעילות מקובלת.
מדיניות מחמירה יותר של בקרת שינויים ואישורים כדי למזער את הסיכון ליצירת נקודות תורפה באבטחה יכולה להאט את הפיתוח ואת הפריסה הבטוחה של תכונות חדשות. אבל הציפייה לטיפול בעדכוני אבטחה ותיקון יכולה להגביר את הביקוש לפריסות תכופות יותר. בנוסף, מדיניות אישור אנושי בתהליכים תפעוליים יכולה להקשות על האוטומציה של תהליכים אלה.
בדיקות אבטחה מביאות לממצאים שיש לתעדף, ועלולה לחסום עבודה מתוכננת.
תהליכים שגרתיים, תהליכי אד-הוק ותהליכי חירום עשויים לדרוש רישום ביקורת ביומן כדי לעמוד בדרישות התאימות. רישום זה מקשיח את הפעלת התהליכים.
צוותי עומס עבודה עשויים להגביר את המורכבות של פעילויות ניהול זהויות ככל שהפירוט של הגדרות תפקידים והקצאות גדל.
מספר מוגבר של משימות תפעוליות שגרתיות הקשורות לאבטחה, כמו ניהול אישורים, מגדיל את מספר התהליכים שיש להפוך לאוטומטיים.
ככל שדרישות התאימות החיצוניות מהארגון גדול או מגופים חיצוניים עולות, עולה גם המורכבות של השגת התאימות והוכחתה למבקרים.
האבטחה דורשת מיומנויות מיוחדות שאין לצוותי עומס עבודה בדרך כלל. מיומנויות אלה מקורן לעתים קרובות בארגון גדול יותר או ספקים חיצוניים. בשני המקרים, יש ליצור תיאום בתחומי מאמץ, גישה ואחריות.
תאימות או דרישות ארגוניות דורשות לעתים קרובות תוכניות תקשורת מתוחזקות לחשיפה אחראית של הפרות. תוכניות אלה חייבות לבוא בחשבון במאמצי התיאום הביטחוני.
פשרות אבטחה עם מיטוב חוויות
יש למזער את שטחי אבטחה, מה שעלול להשפיע לרעה על השימוש ברכיבים ואינטגרציות של ספקים חיצוניים – הרצויים למיטוב החוויה.
סיווג נתונים יכול להקשות על איתור וצריכה של נתונים בעומס העבודה.
פרוטוקולי אבטחה מגבירים את המורכבות של אינטראקציות משתמש ויכולים לגרום לאתגרים בשימושיות.
פשרות אבטחה עם יעילות ביצועים
בקרות אבטחה לבדיקה, כמו חומות אש ומסנני תוכן, ממוקמות בזרימות שהן מאבטחות. זרימות אלה כפופות אפוא לאימות נוספת, מה שמוסיף זמן אחזור לבקשות.
בקרות זהות דורשות אימות מפורש של כל הפעלת רכיב מבוקר. אימות זה צורך מחזורי חישוב ועלול לדרוש מעבר רשת לצורך הרשאה.
הצפנה ופענוח דורשים מחזורי מחשוב ייעודיים. מחזורים אלה מגדילים את הזמן והמשאבים הנצרכים על ידי זרימות אלה. עלייה זו נמצאת בדרך כלל בקורלציה עם מורכבות האלגוריתם ויצירת וקטורי אתחול (IVs) בעלי אנטרופיה גבוהה ומגוונים.
ככל שהרחבה של רישום הרישום עולה, ההשפעה על משאבי המערכת ורוחב הפס של הרשת להזרמת יומנים אלה יכולה גם היא לגדול.
פילוח משאבים מציג לעתים קרובות תנועות רשת בארכיטקטורת עומס העבודה.
תצורה שגויה או הרחבת יתר של בקרות האבטחה עלולות להשפיע על הביצועים בגלל תצורה לא יעילה. דוגמאות לתצורות בקרת אבטחה שיכולות להשפיע על הביצועים כוללות:
סדר, מורכבות וכמות של כלל חומת האש (פירוט).
אי הכללה של קבצי מפתח ממסכי תקינות הקבצים או סורקי וירוסים. הזנחת צעד זה עלולה להוביל לעימות נעילה.
חומות אש של יישומי אינטרנט המבצעות בדיקת מנות עמוקה עבור שפות או פלטפורמות שאינן רלוונטיות לרכיבים המוגנים.