Veiligheidsrisico's

Beveiliging biedt vertrouwelijkheid, integriteit en beschikbaarheidsgaranties van het systeem van een workload en de gegevens van de gebruikers. Beveiligingscontroles zijn vereist voor de workload en voor de softwareontwikkeling en operationele onderdelen van het systeem. Wanneer teams een workload ontwerpen en gebruiken, kunnen ze bijna nooit inbreuk maken op beveiligingscontroles.

Tijdens de ontwerpfase van een workload is het belangrijk om na te denken over hoe beslissingen op basis van de principes van het beveiligingsontwerp en de aanbevelingen in de controlelijst voor ontwerpbeoordeling voor beveiliging van invloed kunnen zijn op de doelstellingen en optimalisaties van andere pijlers. Bepaalde beveiligingsbeslissingen kunnen enkele pijlers ten goede komen, maar vormen een compromis voor anderen. In dit artikel worden voorbeelden beschreven van compromissen die een workloadteam kan tegenkomen bij het vaststellen van beveiligingsgaranties.

Afruilingen voor beveiliging met betrouwbaarheid

Compromis: Verhoogde complexiteit. De pijler Betrouwbaarheid geeft prioriteit aan eenvoud en raadt aan dat storingspunten worden geminimaliseerd.

• Sommige beveiligingscontroles kunnen het risico op onjuiste configuratie verhogen, wat kan leiden tot serviceonderbrekingen. Voorbeelden van beveiligingscontroles die kunnen leiden tot onjuiste configuratie, zijn regels voor netwerkverkeer, id-providers, uitsluitingen voor virusscans en toewijzingen voor toegangsbeheer op basis van rollen of kenmerken.

• Verhoogde segmentatie resulteert meestal in een complexere omgeving in termen van resource- en netwerktopologie en operatortoegang. Deze complexiteit kan leiden tot meer storingspunten in processen en bij het uitvoeren van workloads.

• Hulpprogramma's voor workloadbeveiliging worden vaak opgenomen in veel lagen van de architectuur, bewerkingen en runtimevereisten van een workload. Deze hulpprogramma's kunnen van invloed zijn op tolerantie, beschikbaarheid en capaciteitsplanning. Als u geen rekening houdt met beperkingen in de hulpprogramma's, kan dit leiden tot een betrouwbaarheidsgebeurtenis, zoals SNAT-poortuitputting op een uitgaande firewall.

Compromis: Verhoogde kritieke afhankelijkheden. De pijler Betrouwbaarheid raadt aan kritieke afhankelijkheden te minimaliseren. Een workload die kritieke afhankelijkheden, met name externe, minimaliseert, heeft meer controle over de storingspunten.

De beveiligingspijler vereist een workload om identiteiten en acties expliciet te verifiëren. Verificatie vindt plaats via kritieke afhankelijkheden van belangrijke beveiligingsonderdelen. Als deze onderdelen niet beschikbaar zijn of als ze defect zijn, is de verificatie mogelijk niet voltooid. Met deze fout wordt de workload gedegradeerd. Enkele voorbeelden van deze kritieke single point-of-failure-afhankelijkheden zijn:

• Firewalls voor inkomend en uitgaand verkeer.
• Certificaatintrekkingslijsten.
• Nauwkeurige systeemtijd geleverd door een NTP-server (Network Time Protocol).
• Id-providers, zoals Microsoft Entra-id.

Compromis: Verhoogde complexiteit van herstel na noodgevallen. Een workload moet betrouwbaar worden hersteld na alle vormen van noodgeval.

• Beveiligingscontroles kunnen van invloed zijn op de beoogde hersteltijd. Dit effect kan worden veroorzaakt door de extra stappen die nodig zijn voor het ontsleutelen van back-ups van gegevens of door operationele toegangsvertragingen die zijn gemaakt door het sorteren van sitebetrouwbaarheid.

• Beveiliging beheert zichzelf, bijvoorbeeld geheime kluizen en hun inhoud of edge DDoS-beveiliging, moeten deel uitmaken van het noodherstelplan van de workload en moeten worden gevalideerd via herstelanalyses.

• Beveiligings- of nalevingsvereisten kunnen de opties voor gegevenslocatie of beperkingen voor toegangsbeheer voor back-ups beperken, waardoor herstel mogelijk verder wordt gecomppliceerd door zelfs offlinereplica's te segmenteren.

Compromis: Verhoogd wijzigingspercentage. Een workload die runtimewijziging ondervindt, wordt blootgesteld aan meer risico's op betrouwbaarheidsimpact vanwege die wijziging.

• Strenger patch- en updatebeleid leidt tot meer wijzigingen in de productieomgeving van een workload. Deze wijziging is afkomstig van bronnen zoals deze:

  • Toepassingscode die vaker wordt uitgebracht vanwege updates voor bibliotheken of updates voor basiscontainerinstallatiekopieën
  • Verbeterde routinepatching van besturingssystemen
  • Op de hoogte blijven van versies van toepassingen of gegevensplatforms
  • Leverancierpatches toepassen op software in de omgeving

• Rotatieactiviteiten voor sleutels, referenties van de service-principal en certificaten verhogen het risico op tijdelijke problemen vanwege de timing van de rotatie en clients die de nieuwe waarde gebruiken.

Beveiligingsproblemen met Kostenoptimalisatie

Compromis: extra infrastructuur. Een benadering van het optimaliseren van een workload is het zoeken naar manieren om de diversiteit en het aantal onderdelen te verminderen en de dichtheid te verhogen.

Sommige workloadonderdelen of ontwerpbeslissingen bestaan alleen om de beveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) van systemen en gegevens te beschermen. Deze onderdelen verbeteren de beveiliging van de omgeving, maar verhogen ook de kosten. Ze moeten ook zelf onderhevig zijn aan kostenoptimalisatie. Enkele voorbeelden van bronnen voor deze beveiligingsgerichte extra resources of licentiekosten zijn:

• Berekening, netwerk en gegevenssegmentatie voor isolatie, waarbij soms afzonderlijke exemplaren worden uitgevoerd, waardoor co-locatie wordt voorkomen en de dichtheid wordt verminderd.
• Gespecialiseerde hulpprogramma's voor waarneembaarheid, zoals een SIEM die aggregatie en bedreigingsinformatie kan uitvoeren.
• Gespecialiseerde netwerkapparaten of -mogelijkheden, zoals firewalls of gedistribueerde denial-of-service-preventie.
• Hulpprogramma's voor gegevensclassificatie die vereist zijn voor het vastleggen van vertrouwelijkheids- en informatietypelabels.
• Gespecialiseerde opslag- of rekenmogelijkheden ter ondersteuning van versleuteling in rust en in transit, zoals een HSM- of confidential-compute-functionaliteit.
• Toegewezen testomgevingen en testhulpprogramma's om te controleren of beveiligingscontroles functioneren en om eerder niet-gedetecteerde hiaten in dekking te ontdekken.

De voorgaande items bestaan vaak ook buiten productieomgevingen, in preproductie- en noodherstelbronnen.

Compromis: toegenomen vraag naar infrastructuur. De pijler Kostenoptimalisatie geeft prioriteit aan het verminderen van de vraag naar resources om het gebruik van goedkopere SKU's, minder exemplaren of minder verbruik mogelijk te maken.

• Premium-SKU's: Sommige beveiligingsmaatregelen in cloud- en leveranciersservices die kunnen profiteren van de beveiligingspostuur van een workload, zijn mogelijk alleen te vinden in duurdere SKU's of lagen.

• Logboekopslag: bewakings- en controlegegevens van hoge kwaliteit die een brede dekking bieden, verhogen de opslagkosten. Gegevens over waarneembaarheid van beveiliging worden ook vaak gedurende langere tijd opgeslagen dan doorgaans nodig zou zijn voor operationele inzichten.

• Verhoogd resourceverbruik: in-proces- en on-hostbeveiligingsmaatregelen kunnen extra vraag naar resources veroorzaken. Versleuteling voor data-at-rest en in transit kan ook de vraag verhogen. Beide scenario's kunnen hogere exemplaren of grotere SKU's vereisen.

Compromis: Verhoogde proces- en operationele kosten. De kosten van personeelsprocessen maken deel uit van de totale eigendomskosten en worden meegenomen in het rendement van een workload op investeringen. Het optimaliseren van deze kosten is een aanbeveling van de pijler Kostenoptimalisatie.

• Een uitgebreidere en striktere patchbeheerregeling leidt tot een toename van de tijd en het geld dat aan deze routinetaken wordt besteed. Deze toename is vaak gekoppeld aan de verwachting om te investeren in paraatheid voor ad hoc patching voor zero-day exploits.

• Strengere toegangscontroles om het risico op onbevoegde toegang te verminderen, kan leiden tot complexere gebruikersbeheer en operationele toegang.

• Training en bewustzijn voor beveiligingshulpmiddelen en -processen nemen de tijd van werknemers in beslag en brengen ook kosten in rekening voor materialen, instructeurs en eventueel trainingsomgevingen.

• Naleving van regelgeving vereist mogelijk extra investeringen voor audits en het genereren van nalevingsrapportage.

• Het plannen en uitvoeren van drills voor reactie op beveiligingsincidenten kost tijd.

• Er moet tijd worden toegewezen voor het ontwerpen en uitvoeren van routine- en ad-hocprocessen die zijn gekoppeld aan beveiliging, zoals sleutel- of certificaatrotatie.

• Voor de beveiligingsvalidatie van de SDLC zijn meestal speciale hulpprogramma's vereist. Uw organisatie moet mogelijk betalen voor deze hulpprogramma's. Het prioriteren en oplossen van problemen die tijdens het testen zijn gevonden, kost ook tijd.

• Het inhuren van beveiligingsbeoefenaars van derden om white-box testen of testen uit te voeren die worden uitgevoerd zonder kennis van de interne werking van een systeem (ook wel bekend als black-box testen), inclusief penetratietests, kosten in rekening gebracht.

Veiligheidsproblemen met Operational Excellence

Compromis: Complicaties in waarneembaarheid en servicebaarheid. Operational Excellence vereist dat architecturen servicebaar en waarneembaar zijn. De meest bruikbare architecturen zijn de architecturen die het meest transparant zijn voor iedereen die erbij betrokken is.

• Beveiliging profiteert van uitgebreide logboekregistratie die inzicht biedt in de workload voor waarschuwingen over afwijkingen van basislijnen en voor incidentrespons. Deze logboekregistratie kan een aanzienlijk aantal logboeken genereren, waardoor het moeilijker wordt om inzichten te bieden die gericht zijn op betrouwbaarheid of prestaties.

• Wanneer nalevingsrichtlijnen voor gegevensmaskering worden gevolgd, worden specifieke segmenten van logboeken of zelfs grote hoeveelheden tabelgegevens redacted om vertrouwelijkheid te beschermen. Het team moet evalueren hoe deze waarneembaarheidsverschil van invloed kan zijn op waarschuwingen of het voorkomen van reacties op incidenten.

• Sterke resourcesegmentatie verhoogt de complexiteit van waarneembaarheid door extra gedistribueerde tracering en correlatie tussen services te vereisen voor het vastleggen van stroomtraceringen. De segmentatie verhoogt ook het oppervlak van rekenkracht en gegevens naar service.

• Sommige beveiligingscontroles belemmeren de toegang standaard. Tijdens het reageren op incidenten kunnen deze besturingselementen de toegang tot noodgeval van workloadoperators vertragen. Daarom moeten incidentresponsplannen meer nadruk leggen op planning en analyse om acceptabele werkzaamheid te bereiken.

Compromis: Verminderde flexibiliteit en verhoogde complexiteit. Workloadteams meten hun snelheid, zodat ze de kwaliteit, frequentie en efficiëntie van leveringsactiviteiten in de loop van de tijd kunnen verbeteren. Complexiteitsfactoren voor workloads in de inspanning en het risico van bewerkingen.

• Strenger wijzigingsbeheer en goedkeuringsbeleid om het risico op het introduceren van beveiligingsproblemen te verminderen, kan de ontwikkeling en veilige implementatie van nieuwe functies vertragen. De verwachting van het aanpakken van beveiligingsupdates en patching kan de vraag naar frequentere implementaties echter verhogen. Bovendien kan het door mensen gated goedkeuringsbeleid in operationele processen het moeilijker maken om deze processen te automatiseren.

• Het testen van de beveiliging resulteert in bevindingen die prioriteit moeten krijgen, waardoor gepland werk mogelijk wordt geblokkeerd.

• Routine-, ad-hoc- en noodprocessen vereisen mogelijk auditlogboekregistratie om te voldoen aan de nalevingsvereisten. Deze logboekregistratie verhoogt de starheid van het uitvoeren van de processen.

• Workloadteams kunnen de complexiteit van identiteitsbeheeractiviteiten verhogen naarmate de granulariteit van roldefinities en toewijzingen wordt verhoogd.

• Een verhoogd aantal routine operationele taken die zijn gekoppeld aan beveiliging, zoals certificaatbeheer, verhoogt het aantal processen dat moet worden geautomatiseerd.

Compromis: meer coördinatie-inspanningen. Een team dat externe contactpunten minimaliseert en controleert, kan hun activiteiten en tijdlijn effectiever beheren.

• Naarmate de externe nalevingsvereisten van de grotere organisatie of van externe entiteiten toenemen, neemt de complexiteit van het bereiken en bewijzen van naleving met auditors ook toe.

• Beveiliging vereist gespecialiseerde vaardigheden die workloadteams doorgaans niet hebben. Deze tekortkomingen zijn vaak afkomstig van de grotere organisatie of van derden. In beide gevallen moet de coördinatie van de inspanningen, de toegang en de verantwoordelijkheid worden vastgesteld.

• Nalevings- of organisatievereisten vereisen vaak onderhouden communicatieplannen voor de verantwoordelijke openbaarmaking van inbreuken. Deze plannen moeten worden meegenomen in de inspanningen van veiligheidscoördinatie.

Beveiligingsproblemen met prestatie-efficiëntie

Compromis: verhoogde latentie en overhead. Een goed presterende workload vermindert de latentie en overhead.

• Controlebeveiligingscontroles, zoals firewalls en filters voor inhoudsveiligheid, bevinden zich in de stromen die ze beveiligen. Deze stromen zijn daarom onderworpen aan aanvullende verificatie, waardoor latentie aan aanvragen wordt toegevoegd. In een zeer losgekoppelde architectuur kan de gedistribueerde aard ertoe leiden dat deze inspecties meerdere keren plaatsvinden voor één gebruiker of gegevensstroomtransactie.

• Voor identiteitsbesturingselementen moet elke aanroep van een beheerd onderdeel expliciet worden geverifieerd. Deze verificatie verbruikt rekencycli en vereist mogelijk netwerkkruising voor autorisatie.

• Versleuteling en ontsleuteling vereisen toegewezen rekencycli. Deze cycli verhogen de tijd en resources die door deze stromen worden verbruikt. Deze toename wordt meestal gecorreleerd met de complexiteit van het algoritme en de generatie van high-entropy en diverse initialisatievectoren (IVs).

• Naarmate de uitgebreidheid van logboekregistratie toeneemt, kan de impact op systeembronnen en netwerkbandbreedte voor het streamen van deze logboeken ook toenemen.

• Resourcesegmentatie introduceert vaak netwerkhops in de architectuur van een workload.

Compromis: Verhoogde kans op onjuiste configuratie. Betrouwbaar voldoen aan prestatiedoelen is afhankelijk van voorspelbare implementaties van het ontwerp.

Een onjuiste configuratie of overextensie van beveiligingscontroles kan van invloed zijn op de prestaties vanwege inefficiënte configuratie. Voorbeelden van configuraties voor beveiligingsbeheer die van invloed kunnen zijn op de prestaties zijn onder andere:

• Volgorde, complexiteit en hoeveelheid van firewallregels (granulariteit).

• Het uitsluiten van sleutelbestanden van bestandsintegriteitscontroles of virusscanners is mislukt. Als u deze stap negeert, kan dit tot conflicten leiden.

• Web Application Firewalls die grondige pakketinspectie uitvoeren voor talen of platforms die niet relevant zijn voor de onderdelen die worden beveiligd.

Verwante koppelingen

Verken de compromissen voor de andere pijlers:

• Reliability tradeoffs
• Compromissen voor kostenoptimalisatie
• Compromissen voor operationele uitmuntendheid
• Compromissen voor prestatie-efficiëntie