Kompromisy w zabezpieczeniach

  • Artykuł

Zabezpieczenia zapewniają poufność, integralność i dostępność systemu obciążenia oraz dane użytkowników. Mechanizmy kontroli zabezpieczeń są wymagane dla obciążenia oraz dla składników programistycznych i operacyjnych systemu. Gdy zespoły projektują i obsługują obciążenie, prawie nigdy nie mogą naruszyć bezpieczeństwa w zakresie mechanizmów kontroli zabezpieczeń.

W fazie projektowania obciążenia ważne jest, aby wziąć pod uwagę, w jaki sposób decyzje oparte na zasadach projektowania zabezpieczeń i zalecenia na liście kontrolnej Przegląd projektu dla zabezpieczeń mogą mieć wpływ na cele i optymalizacje innych filarów. Niektóre decyzje dotyczące bezpieczeństwa mogą przynieść korzyści niektórym filarom, ale stanowią kompromisy dla innych. W tym artykule opisano przykładowe kompromisy, które zespół obciążeń może napotkać podczas ustanawiania zabezpieczeń.

Kompromisy z zabezpieczeniami z niezawodnością

Kompromis: Zwiększona złożoność. Filar niezawodności określa priorytety prostoty i zaleca zminimalizowanie punktów awarii.

  • Niektóre mechanizmy kontroli zabezpieczeń mogą zwiększyć ryzyko błędnej konfiguracji, co może prowadzić do zakłóceń w działaniu usługi. Przykłady mechanizmów kontroli zabezpieczeń, które mogą wprowadzać błędną konfigurację, to reguły ruchu sieciowego, dostawcy tożsamości, wykluczenia skanowania antywirusowego oraz przypisania kontroli dostępu oparte na rolach lub atrybutach.

  • Zwiększona segmentacja zwykle powoduje bardziej złożone środowisko pod względem topologii zasobów i sieci oraz dostępu operatora. Ta złożoność może prowadzić do większej liczby punktów awarii procesów i wykonywania obciążenia.

  • Narzędzia zabezpieczeń obciążeń są często uwzględniane w wielu warstwach wymagań dotyczących architektury, operacji i środowiska uruchomieniowego obciążenia. Te narzędzia mogą mieć wpływ na odporność, dostępność i planowanie pojemności. Niepowodzenie uwzględnienia ograniczeń w narzędziu może prowadzić do wystąpienia zdarzenia niezawodności, takiego jak wyczerpanie portów SNAT na zaporze ruchu wychodzącego.

Kompromis: Zwiększone zależności krytyczne. Filar niezawodności zaleca zminimalizowanie krytycznych zależności. Obciążenie, które minimalizuje krytyczne zależności, zwłaszcza zewnętrzne, ma większą kontrolę nad jego punktami awarii.

Filar zabezpieczeń wymaga, aby obciążenie jawnie weryfikowało tożsamości i akcje. Weryfikacja odbywa się za pośrednictwem krytycznych zależności od kluczowych składników zabezpieczeń. Jeśli te składniki nie są dostępne lub jeśli są one nieprawidłowe, weryfikacja może nie zostać ukończona. Ten błąd powoduje obniżenie wydajności obciążenia. Oto kilka przykładów tych krytycznych zależności pojedynczego punktu awarii:

  • Zapory ruchu przychodzącego i wychodzącego.
  • Listy odwołania certyfikatów.
  • Dokładny czas systemowy udostępniany przez serwer protokołu NTP (Network Time Protocol).
  • Dostawcy tożsamości, na przykład identyfikator Microsoft Entra.

Kompromis: Zwiększona złożoność odzyskiwania po awarii. Obciążenie musi niezawodnie odzyskać wszystkie formy awarii.

  • Mechanizmy kontroli zabezpieczeń mogą mieć wpływ na cele czasu odzyskiwania. Ten efekt może być spowodowany dodatkowymi krokami, które są potrzebne do odszyfrowywania danych kopii zapasowej lub przez opóźnienia dostępu operacyjnego utworzone przez klasyfikację niezawodności lokacji.

  • Same mechanizmy kontroli zabezpieczeń, na przykład magazyny wpisów tajnych i ich zawartość lub ochrona przed atakami DDoS brzegowych, muszą być częścią planu odzyskiwania po awarii obciążenia i muszą być weryfikowane za pośrednictwem próbnego odzyskiwania.

  • Wymagania dotyczące zabezpieczeń lub zgodności mogą ograniczać opcje przechowywania danych lub ograniczenia kontroli dostępu dla kopii zapasowych, co może dodatkowo komplikować odzyskiwanie przez segmentowanie nawet replik offline.

Kompromis: Zwiększony wskaźnik zmian. Obciążenie, które doświadcza zmiany środowiska uruchomieniowego, jest narażone na większe ryzyko wpływu na niezawodność z powodu tej zmiany.

  • Bardziej rygorystyczne stosowanie poprawek i zasad aktualizacji prowadzi do większej liczby zmian w środowisku produkcyjnym obciążenia. Ta zmiana pochodzi ze źródeł takich jak te:

    • Kod aplikacji jest udostępniany częściej z powodu aktualizacji bibliotek lub aktualizacji obrazów kontenerów bazowych
    • Zwiększone rutynowe stosowanie poprawek systemów operacyjnych
    • Pozostawanie na bieżąco z wersjami aplikacji lub platform danych
    • Stosowanie poprawek dostawcy do oprogramowania w środowisku

  • Działania rotacji kluczy, poświadczeń jednostki usługi i certyfikatów zwiększają ryzyko przejściowych problemów z powodu czasu rotacji i klientów przy użyciu nowej wartości.

Kompromisy z zabezpieczeniami za pomocą optymalizacji kosztów

Kompromis: Dodatkowa infrastruktura. Jednym z podejść do optymalizacji kosztów obciążenia jest wyszukanie sposobów zmniejszenia różnorodności i liczby składników oraz zwiększenia gęstości.

Niektóre składniki obciążenia lub decyzje projektowe istnieją tylko w celu ochrony zabezpieczeń (poufności, integralności i dostępności) systemów i danych. Te składniki, chociaż zwiększają bezpieczeństwo środowiska, zwiększają również koszty. Muszą one również podlegać optymalizacji kosztów. Oto przykładowe źródła dla tych dodatkowych zasobów lub kosztów licencjonowania skoncentrowanych na zabezpieczeniach:

  • Segmentacja zasobów obliczeniowych, sieciowych i danych w celu izolacji, która czasami obejmuje uruchamianie oddzielnych wystąpień, co uniemożliwia współlokację i zmniejsza gęstość.
  • Wyspecjalizowane narzędzia do obserwacji, takie jak rozwiązanie SIEM, które może wykonywać agregację i analizę zagrożeń.
  • Wyspecjalizowane urządzenia sieciowe lub możliwości, takie jak zapory lub rozproszone zapobieganie odmowie usługi.
  • Narzędzia do klasyfikacji danych wymagane do przechwytywania etykiet poufności i typów informacji.
  • Wyspecjalizowane funkcje magazynu lub obliczeń do obsługi szyfrowania magazynowanych i przesyłanych, takich jak moduł HSM lub funkcje poufne obliczeniowe.
  • Dedykowane środowiska testowe i narzędzia do testowania umożliwiające sprawdzenie, czy mechanizmy kontroli zabezpieczeń działają, oraz aby odkryć wcześniej nieodkryte luki w zasięgu.

Powyższe elementy często istnieją również poza środowiskami produkcyjnymi, w zasobach przedprodukcyjnych i odzyskiwania po awarii.

Kompromis: Zwiększone zapotrzebowanie na infrastrukturę. Filar optymalizacji kosztów określa priorytet zmniejszania zapotrzebowania na zasoby w celu umożliwienia korzystania z tańszych jednostek SKU, mniejszej liczby wystąpień lub zmniejszenia zużycia.

  • Jednostki SKU w warstwie Premium: niektóre środki zabezpieczeń w usługach w chmurze i dostawcach, które mogą przynieść korzyści ze stanu zabezpieczeń obciążenia, mogą znajdować się tylko w droższych jednostkach SKU lub warstwach.

  • Magazyn dzienników: monitorowanie zabezpieczeń o wysokiej wierności i inspekcja danych, które zapewniają szeroki zasięg, zwiększają koszty magazynowania. Dane z zakresu obserwacji zabezpieczeń są również często przechowywane przez dłuższy czas niż zwykle potrzebne w przypadku szczegółowych informacji operacyjnych.

  • Zwiększone zużycie zasobów: mechanizmy kontroli zabezpieczeń w procesie i na hoście mogą wprowadzać dodatkowe zapotrzebowanie na zasoby. Szyfrowanie danych magazynowanych i przesyłanych może również zwiększyć zapotrzebowanie. Oba scenariusze mogą wymagać wyższych liczby wystąpień lub większych jednostek SKU.

Kompromis: Zwiększony koszt procesu i kosztów operacyjnych. Koszty procesów kadrowych są częścią całkowitego kosztu posiadania i są uwzględniane w zwrotach z inwestycji w obciążenie. Optymalizacja tych kosztów jest zaleceniem filaru optymalizacji kosztów.

  • Bardziej kompleksowy i rygorystyczny system zarządzania poprawkami prowadzi do zwiększenia czasu i pieniędzy wydanych na te rutynowe zadania. Ten wzrost jest często powiązany z oczekiwaniami inwestowania w gotowość do stosowania poprawek ad hoc w przypadku wyczynów zero-dniowych.

  • Bardziej rygorystyczne mechanizmy kontroli dostępu w celu zmniejszenia ryzyka nieautoryzowanego dostępu mogą prowadzić do bardziej złożonego zarządzania użytkownikami i dostępu operacyjnego.

  • Szkolenia i świadomość narzędzi i procesów zabezpieczeń zajmują czas pracownika, a także generują koszty materiałów, instruktorów i ewentualnie środowisk szkoleniowych.

  • Przestrzeganie przepisów może wymagać dodatkowych inwestycji na potrzeby inspekcji i generowania raportowania zgodności.

  • Planowanie i przeprowadzanie przeglądania szczegółowego na potrzeby gotowości reagowania na zdarzenia związane z zabezpieczeniami zajmuje trochę czasu.

  • Należy przydzielić czas na projektowanie i wykonywanie rutynowych i ad hoc procesów skojarzonych z zabezpieczeniami, takich jak rotacja kluczy lub certyfikatów.

  • Weryfikacja zabezpieczeń sdLC zwykle wymaga wyspecjalizowanych narzędzi. Twoja organizacja może wymagać zapłaty za te narzędzia. Ustalanie priorytetów i korygowanie problemów znalezionych podczas testowania wymaga również czasu.

  • Zatrudnianie praktyków zabezpieczeń innych firm w celu przeprowadzania testów w białym polu lub testowania, które są wykonywane bez znajomości wewnętrznej pracy systemu (czasami znanej jako testowanie czarnej skrzynki), w tym testowania penetracyjnego, wiąże się z kosztami.

Kompromisy w zakresie bezpieczeństwa z doskonałością operacyjną

Kompromis: Komplikacje w obserwacji i możliwości obsługi. Doskonałość operacyjna wymaga, aby architektury można było obsługiwać i obserwować. Najbardziej możliwe do obsługi architektury są te, które są najbardziej przejrzyste dla wszystkich zaangażowanych.

  • Korzyści z zabezpieczeń wynikające z rozbudowanego rejestrowania, które zapewnia szczegółowe informacje na temat obciążenia w celu zgłaszania alertów dotyczących odchyleń od punktów odniesienia i reagowania na zdarzenia. To rejestrowanie może wygenerować znaczną liczbę dzienników, co może utrudnić zapewnienie szczegółowych informacji, które są ukierunkowane na niezawodność lub wydajność.

  • W przypadku przestrzegania wytycznych dotyczących zgodności dotyczących maskowania danych określone segmenty dzienników lub nawet duże ilości danych tabelarycznych są redagowane w celu ochrony poufności. Zespół musi ocenić, w jaki sposób ta luka w obserwacji może mieć wpływ na alerty lub utrudnić reagowanie na zdarzenia.

  • Silna segmentacja zasobów zwiększa złożoność obserwacji, wymagając dodatkowego śledzenia rozproszonego między usługami i korelacji w celu przechwytywania śladów przepływu. Segmentacja zwiększa również obszar powierzchni zasobów obliczeniowych i danych do usługi.

  • Niektóre mechanizmy kontroli zabezpieczeń utrudniają dostęp zgodnie z projektem. Podczas reagowania na zdarzenia te mechanizmy kontroli mogą spowalniać dostęp operatorów obciążeń w nagłych wypadkach. W związku z tym plany reagowania na zdarzenia muszą obejmować większy nacisk na planowanie i ćwiczenia w celu osiągnięcia akceptowalnej skuteczności.

Kompromis: zmniejszona elastyczność i zwiększona złożoność. Zespoły obciążeń mierzą swoją szybkość, aby w miarę upływu czasu mogły poprawić jakość, częstotliwość i wydajność działań związanych z dostarczaniem. Czynniki złożoności obciążenia związane z nakładem pracy i ryzykiem związanym z operacjami.

  • Bardziej rygorystyczne zasady kontroli zmian i zatwierdzania w celu zmniejszenia ryzyka wprowadzenia luk w zabezpieczeniach mogą spowolnić opracowywanie i bezpieczne wdrażanie nowych funkcji. Jednak oczekiwanie na rozwiązanie aktualizacji zabezpieczeń i poprawek może zwiększyć zapotrzebowanie na częstsze wdrożenia. Ponadto zasady zatwierdzania przez człowieka w procesach operacyjnych mogą utrudnić automatyzację tych procesów.

  • Wyniki testowania zabezpieczeń w wynikach, które muszą być priorytetowe, potencjalnie blokując planowane prace.

  • Procedury, ad hoc i procesy awaryjne mogą wymagać rejestrowania inspekcji w celu spełnienia wymagań dotyczących zgodności. To rejestrowanie zwiększa sztywność uruchamiania procesów.

  • Zespoły obciążeń mogą zwiększyć złożoność działań związanych z zarządzaniem tożsamościami, ponieważ zwiększa się stopień szczegółowości definicji ról i przypisań.

  • Zwiększona liczba rutynowych zadań operacyjnych skojarzonych z zabezpieczeniami, takich jak zarządzanie certyfikatami, zwiększa liczbę procesów do automatyzacji.

Kompromis: Zwiększone wysiłki koordynacji. Zespół, który minimalizuje zewnętrzne punkty kontaktowe i przegląd, może efektywniej kontrolować swoje operacje i oś czasu.

  • Wraz ze wzrostem wymagań dotyczących zgodności zewnętrznej z większej organizacji lub z jednostek zewnętrznych zwiększa się złożoność osiągania i potwierdzania zgodności z audytorami.

  • Zabezpieczenia wymagają wyspecjalizowanych umiejętności, których zespoły obciążeń zwykle nie mają. Te biegłości są często pozyskiwane z większej organizacji lub od osób trzecich. W obu przypadkach należy ustanowić koordynację wysiłku, dostępu i odpowiedzialności.

  • Wymagania dotyczące zgodności lub organizacji często wymagają utrzymania planów komunikacji w celu odpowiedzialnego ujawnienia naruszeń. Plany te muszą być uwzględniane w wysiłkach związanych z koordynacją bezpieczeństwa.

Kompromisy z zabezpieczeniami z wydajnością

Kompromis: Zwiększone opóźnienie i obciążenie. Wydajne obciążenie zmniejsza opóźnienia i obciążenie.

  • Mechanizmy kontroli zabezpieczeń, takie jak zapory i filtry zawartości, znajdują się w przepływach, które są bezpieczne. W związku z tym przepływy te podlegają dodatkowej weryfikacji, co dodaje opóźnienie do żądań.

  • Kontrolki tożsamości wymagają jawnego zweryfikowania każdego wywołania kontrolowanego składnika. Ta weryfikacja korzysta z cykli obliczeniowych i może wymagać przechodzenia przez sieć do autoryzacji.

  • Szyfrowanie i odszyfrowywanie wymagają dedykowanych cykli obliczeniowych. Te cykle zwiększają czas i zasoby zużywane przez te przepływy. Ten wzrost jest zwykle skorelowany ze złożonością algorytmu i generowaniem wektorów o wysokiej entropii i zróżnicowanych wektorów inicjowania (IV).

  • Wraz ze wzrostem rozległości rejestrowania wpływ na zasoby systemowe i przepustowość sieci do przesyłania strumieniowego tych dzienników może również wzrosnąć.

  • Segmentacja zasobów często wprowadza przeskoki sieciowe w architekturze obciążenia.

Kompromis: Zwiększona szansa na błędną konfigurację. Niezawodne spełnianie celów wydajności zależy od przewidywalnych implementacji projektu.

Błędna konfiguracja lub nadmierne rozszerzanie mechanizmów kontroli zabezpieczeń może mieć wpływ na wydajność z powodu nieefektywnej konfiguracji. Przykłady konfiguracji kontroli zabezpieczeń, które mogą mieć wpływ na wydajność, to:

  • Kolejność reguł zapory, złożoność i ilość (stopień szczegółowości).

  • Nie można wykluczyć kluczy z monitorów integralności plików lub skanerów wirusów. Zaniedbanie tego kroku może prowadzić do rywalizacji o blokadę.

  • Zapory aplikacji internetowej przeprowadzają głęboką inspekcję pakietów dla języków lub platform, które nie mają znaczenia dla składników, które są chronione.

Zapoznaj się z kompromisami dla innych filarów: