Udostępnij za pośrednictwem

Kompromisy w zabezpieczeniach

  • Artykuł

Zabezpieczenia zapewniają poufność, integralność i dostępność systemu obciążenia oraz dane użytkowników. Mechanizmy kontroli zabezpieczeń są wymagane dla obciążenia oraz dla składników programistycznych i operacyjnych systemu. Gdy zespoły projektują i obsługują obciążenie, prawie nigdy nie mogą naruszyć bezpieczeństwa w zakresie mechanizmów kontroli zabezpieczeń.

W fazie projektowania obciążenia ważne jest, aby wziąć pod uwagę, w jaki sposób decyzje oparte na zasadach projektowania zabezpieczeń i zalecenia z listy kontrolnej przeglądu projektu dla zabezpieczeń mogą mieć wpływ na cele i optymalizacje innych filarów. Niektóre decyzje w zakresie bezpieczeństwa mogą przynieść korzyści niektórym filarom, ale stanowią kompromisy dla innych. W tym artykule opisano przykładowe kompromisy, które zespół ds. obciążeń może napotkać podczas ustanawiania zabezpieczeń.

Kompromisy z zabezpieczeniami z niezawodnością

Kompromis: zwiększona złożoność. Filar niezawodności określa priorytety prostoty i zaleca zminimalizowanie punktów awarii.

  • Niektóre mechanizmy kontroli zabezpieczeń mogą zwiększyć ryzyko błędnej konfiguracji, co może prowadzić do zakłóceń w działaniu usługi. Przykłady mechanizmów kontroli zabezpieczeń, które mogą wprowadzać błędną konfigurację, to reguły ruchu sieciowego, dostawcy tożsamości, wykluczenia skanowania wirusów oraz przypisania kontroli dostępu oparte na rolach lub atrybutach.

  • Zwiększona segmentacja zwykle powoduje bardziej złożone środowisko pod względem topologii zasobów i sieci oraz dostępu operatora. Ta złożoność może prowadzić do większej liczby punktów awarii procesów i wykonywania obciążenia.

  • Narzędzia zabezpieczeń obciążeń są często uwzględniane w wielu warstwach wymagań dotyczących architektury, operacji i środowiska uruchomieniowego obciążenia. Te narzędzia mogą mieć wpływ na odporność, dostępność i planowanie pojemności. Niepowodzenie uwzględnienia ograniczeń w narzędziu może prowadzić do wystąpienia zdarzenia niezawodności, takiego jak wyczerpanie portów SNAT w zaporze ruchu wychodzącego.

Kompromis: Zwiększone zależności krytyczne. Filar niezawodności zaleca zminimalizowanie krytycznych zależności. Obciążenie, które minimalizuje krytyczne zależności, zwłaszcza zewnętrzne, ma większą kontrolę nad punktami awarii.

Filar zabezpieczeń wymaga obciążenia w celu jawnego zweryfikowania tożsamości i akcji. Weryfikacja odbywa się za pośrednictwem krytycznych zależności od kluczowych składników zabezpieczeń. Jeśli te składniki nie są dostępne lub jeśli działają nieprawidłowo, weryfikacja może nie zostać ukończona. Ten błąd powoduje, że obciążenie jest w stanie obniżonej wydajności. Oto kilka przykładów tych krytycznych zależności pojedynczego punktu awarii:

  • Zapory ruchu przychodzącego i wychodzącego.
  • Listy odwołania certyfikatów.
  • Dokładny czas systemowy zapewniany przez serwer protokołu NTP (Network Time Protocol).
  • Dostawcy tożsamości, tacy jak Microsoft Entra ID.

Kompromis: zwiększona złożoność odzyskiwania po awarii. Obciążenie musi niezawodnie odzyskać każdą formę awarii.

  • Mechanizmy kontroli zabezpieczeń mogą mieć wpływ na cele czasu odzyskiwania. Ten efekt może być spowodowany dodatkowymi krokami, które są wymagane do odszyfrowania danych kopii zapasowej lub przez opóźnienia dostępu operacyjnego utworzone przez klasyfikację niezawodności lokacji.

  • Same mechanizmy kontroli zabezpieczeń, na przykład magazyny wpisów tajnych i ich zawartość lub ochrona przed atakami DDoS brzegowymi, muszą być częścią planu odzyskiwania po awarii obciążenia i muszą być weryfikowane za pośrednictwem próbnych odzyskiwania.

  • Wymagania dotyczące zabezpieczeń lub zgodności mogą ograniczać opcje przechowywania danych lub ograniczenia kontroli dostępu dla kopii zapasowych, co może jeszcze bardziej komplikować odzyskiwanie, segmentując nawet repliki offline.

Kompromis: Zwiększony wskaźnik zmian. Obciążenie, które doświadcza zmiany w czasie wykonywania, jest narażone na większe ryzyko wpływu na niezawodność z powodu tej zmiany.

  • Bardziej rygorystyczne zasady stosowania poprawek i aktualizacji prowadzą do większej liczby zmian w środowisku produkcyjnym obciążenia. Ta zmiana pochodzi ze źródeł takich jak te:

    • Kod aplikacji jest udostępniany częściej z powodu aktualizacji bibliotek lub aktualizacji podstawowych obrazów kontenerów
    • Zwiększone rutynowe stosowanie poprawek systemów operacyjnych
    • Bądź na bieżąco z wersjami aplikacji lub platform danych
    • Stosowanie poprawek dostawcy do oprogramowania w środowisku

  • Działania rotacji kluczy, poświadczeń jednostki usługi i certyfikatów zwiększają ryzyko przejściowych problemów ze względu na czas rotacji i klientów przy użyciu nowej wartości.

Kompromisy z zabezpieczeniami za pomocą optymalizacji kosztów

Kompromis: Dodatkowa infrastruktura. Jednym z podejść do optymalizacji kosztów obciążenia jest wyszukanie sposobów zmniejszenia różnorodności i liczby składników oraz zwiększenia gęstości.

Niektóre składniki obciążenia lub decyzje projektowe istnieją tylko w celu ochrony zabezpieczeń (poufności, integralności i dostępności) systemów i danych. Te składniki, chociaż zwiększają bezpieczeństwo środowiska, zwiększają również koszty. Muszą również podlegać optymalizacji kosztów. Niektóre przykładowe źródła dla tych dodatkowych zasobów lub kosztów licencjonowania skoncentrowanych na zabezpieczeniach to:

  • Segmentacja zasobów obliczeniowych, sieciowych i danych w celu izolacji, która czasami obejmuje uruchamianie oddzielnych wystąpień, zapobieganie współlokowaniu i zmniejszaniu gęstości.
  • Wyspecjalizowane narzędzia do obserwacji, takie jak rozwiązanie SIEM, które może wykonywać agregację i analizę zagrożeń.
  • Wyspecjalizowane urządzenia sieciowe lub możliwości, takie jak zapory lub rozproszone zapobieganie atakom typu "odmowa usługi".
  • Narzędzia klasyfikacji danych wymagane do przechwytywania etykiet poufności i typów informacji.
  • Wyspecjalizowane funkcje magazynu lub obliczeń do obsługi szyfrowania magazynowanych i przesyłanych, takich jak moduł HSM lub funkcje poufnego obliczeniowego.
  • Dedykowane środowiska testowe i narzędzia do testowania, aby sprawdzić, czy mechanizmy kontroli zabezpieczeń działają, oraz wykrywać wcześniej nieodkryte luki w zasięgu.

Powyższe elementy często istnieją również poza środowiskami produkcyjnymi, w zasobach przedprodukcyjnych i odzyskiwania po awarii.

Kompromis: Zwiększone zapotrzebowanie na infrastrukturę. Filar optymalizacji kosztów określa priorytety ograniczania zapotrzebowania na zasoby w celu umożliwienia korzystania z tańszych jednostek SKU, mniejszej liczby wystąpień lub zmniejszenia zużycia.

  • Jednostki SKU w warstwie Premium: niektóre środki zabezpieczeń w usługach w chmurze i dostawcach, które mogą przynieść korzyści ze stanu zabezpieczeń obciążenia, mogą znajdować się tylko w droższych jednostkach SKU lub warstwach.

  • Magazyn dzienników: monitorowanie zabezpieczeń o wysokiej wierności i dane inspekcji, które zapewniają szeroki zakres, zwiększają koszty magazynowania. Dane dotyczące obserwacji zabezpieczeń są również często przechowywane przez dłuższy czas, niż zwykle są potrzebne w przypadku szczegółowych informacji operacyjnych.

  • Zwiększone użycie zasobów: mechanizmy kontroli zabezpieczeń w procesie i na hoście mogą wprowadzać dodatkowe zapotrzebowanie na zasoby. Szyfrowanie danych magazynowanych i przesyłanych może również zwiększyć zapotrzebowanie. Oba scenariusze mogą wymagać wyższych liczby wystąpień lub większych jednostek SKU.

Kompromis: Zwiększony koszt procesu i kosztów operacyjnych. Koszty procesów personelu są częścią ogólnego całkowitego kosztu posiadania i są uwzględniane w zwrotach obciążeń z inwestycji. Optymalizacja tych kosztów jest zaleceniem filaru optymalizacji kosztów.

  • Bardziej kompleksowy i rygorystyczny system zarządzania poprawkami prowadzi do zwiększenia czasu i pieniędzy wydanych na te rutynowe zadania. Ten wzrost jest często powiązany z oczekiwaniem na inwestowanie w gotowość do stosowania poprawek ad hoc w przypadku wyczynów zero-dniowych.

  • Bardziej rygorystyczne mechanizmy kontroli dostępu w celu zmniejszenia ryzyka nieautoryzowanego dostępu mogą prowadzić do bardziej złożonego zarządzania użytkownikami i dostępu operacyjnego.

  • Szkolenia i świadomość narzędzi i procesów zabezpieczeń zajmują czas pracownika, a także generują koszty materiałów, instruktorów i ewentualnie środowisk szkoleniowych.

  • Zgodność z przepisami może wymagać dodatkowych inwestycji w inspekcje i generowanie raportowania zgodności.

  • Planowanie i przeprowadzanie ćwiczeń dotyczących gotowości reagowania na zdarzenia związane z zabezpieczeniami wymaga czasu.

  • Należy przydzielić czas na projektowanie i wykonywanie rutynowych i ad hoc procesów, które są skojarzone z zabezpieczeniami, takimi jak rotacja kluczy lub certyfikatów.

  • Weryfikacja zabezpieczeń SDLC zwykle wymaga wyspecjalizowanych narzędzi. Twoja organizacja może wymagać płacenia za te narzędzia. Ustalanie priorytetów i korygowanie problemów znalezionych podczas testowania wymaga również czasu.

  • Zatrudnianie zewnętrznych praktyków ds. zabezpieczeń w celu przeprowadzania testów białych lub testów, które są wykonywane bez znajomości wewnętrznych procesów pracy systemu (czasami nazywanych testami black-box), w tym testów penetracyjnych, wiąże się z kosztami.

Kompromisy w zakresie bezpieczeństwa z doskonałością operacyjną

Kompromis: Komplikacje dotyczące obserwacji i możliwości obsługi. Doskonałość operacyjna wymaga, aby architektury można było obsługiwać i obserwować. Najbardziej możliwe do obsługi architektury są te, które są najbardziej przejrzyste dla wszystkich zaangażowanych.

  • Korzyści z zabezpieczeń wynikające z rozbudowanego rejestrowania, które zapewniają szczegółowe informacje o obciążeniu w celu zgłaszania alertów dotyczących odchyleń od punktów odniesienia i reagowania na zdarzenia. To rejestrowanie może wygenerować znaczną liczbę dzienników, co może utrudnić udostępnianie szczegółowych informacji, które są ukierunkowane na niezawodność lub wydajność.

  • W przypadku przestrzegania wytycznych dotyczących zgodności dotyczących maskowania danych określone segmenty dzienników lub nawet duże ilości danych tabelarycznych są redagowane w celu ochrony poufności. Zespół musi ocenić, w jaki sposób ta luka w obserwacji może mieć wpływ na alerty lub utrudnić reagowanie na zdarzenia.

  • Silna segmentacja zasobów zwiększa złożoność obserwowania, wymagając dodatkowego śledzenia rozproszonego między usługami i korelacji na potrzeby przechwytywania śladów przepływu. Segmentacja zwiększa również obszar powierzchni zasobów obliczeniowych i danych do usługi.

  • Niektóre mechanizmy kontroli zabezpieczeń utrudniają dostęp zgodnie z projektem. Podczas reagowania na zdarzenia te mechanizmy kontroli mogą spowolnić dostęp operatorów obciążeń w nagłych wypadkach. W związku z tym plany reagowania na zdarzenia muszą obejmować większy nacisk na planowanie i ćwiczenia w celu osiągnięcia akceptowalnej skuteczności.

Kompromis: zmniejszona elastyczność i zwiększona złożoność. Zespoły ds. obciążeń mierzą swoją szybkość, aby w miarę upływu czasu mogły poprawić jakość, częstotliwość i wydajność działań związanych z dostarczaniem. Złożoność obciążenia wpływa na nakład pracy i ryzyko związane z operacjami.

  • Ściślejsze zasady kontroli zmian i zatwierdzania w celu zmniejszenia ryzyka wprowadzenia luk w zabezpieczeniach mogą spowolnić opracowywanie i bezpieczne wdrażanie nowych funkcji. Jednak oczekiwanie na rozwiązanie problemów z aktualizacjami zabezpieczeń i stosowanie poprawek może zwiększyć zapotrzebowanie na częstsze wdrożenia. Ponadto zasady zatwierdzania przez człowieka w procesach operacyjnych mogą utrudnić automatyzację tych procesów.

  • Wyniki testów zabezpieczeń w wynikach ustaleń, które muszą być priorytetowe, potencjalnie blokujące planowane prace.

  • Procedury, ad hoc i procesy awaryjne mogą wymagać rejestrowania inspekcji w celu spełnienia wymagań dotyczących zgodności. To rejestrowanie zwiększa sztywność uruchamiania procesów.

  • Zespoły obciążeń mogą zwiększyć złożoność działań związanych z zarządzaniem tożsamościami, ponieważ zwiększa się stopień szczegółowości definicji ról i przypisań.

  • Zwiększona liczba rutynowych zadań operacyjnych skojarzonych z zabezpieczeniami, takich jak zarządzanie certyfikatami, zwiększa liczbę procesów do automatyzacji.

Kompromis: Zwiększone wysiłki w zakresie koordynacji. Zespół, który minimalizuje zewnętrzne punkty kontaktowe i przeglądy, może efektywniej kontrolować swoje operacje i oś czasu.

  • W miarę zwiększania się wymagań dotyczących zgodności zewnętrznej ze strony większej organizacji lub jednostek zewnętrznych zwiększa się również złożoność osiągania i potwierdzania zgodności z audytorami.

  • Zabezpieczenia wymagają wyspecjalizowanych umiejętności, których zespoły ds. obciążeń zwykle nie mają. Te biegłości są często pozyskiwane z większej organizacji lub z innych firm. W obu przypadkach należy ustanowić koordynację wysiłków, dostępu i odpowiedzialności.

  • Zgodność lub wymagania organizacyjne często wymagają utrzymania planów komunikacji w celu odpowiedzialnego ujawnienia naruszeń. Plany te muszą być uwzględniane w wysiłkach związanych z koordynacją zabezpieczeń.

Kompromisy z zabezpieczeniami z wydajnością

Kompromis: zwiększone opóźnienie i obciążenie. Wydajne obciążenie zmniejsza opóźnienie i obciążenie.

  • Mechanizmy kontroli zabezpieczeń inspekcji, takie jak zapory i filtry bezpieczeństwa zawartości, znajdują się w zabezpieczonych przepływach. Przepływy te podlegają zatem dodatkowej weryfikacji, co zwiększa opóźnienie żądań. W wysoce oddzielonej architekturze rozproszona natura może prowadzić do wielokrotnego przeprowadzania inspekcji dla jednej transakcji użytkownika lub przepływu danych.

  • Kontrolki tożsamości wymagają jawnego zweryfikowania każdego wywołania kontrolowanego składnika. Ta weryfikacja korzysta z cykli obliczeniowych i może wymagać przechodzenia przez sieć do autoryzacji.

  • Szyfrowanie i odszyfrowywanie wymagają dedykowanych cykli obliczeniowych. Te cykle zwiększają czas i zasoby używane przez te przepływy. Ten wzrost jest zwykle skorelowany ze złożonością algorytmu i generowaniem wektorów entropii i różnych wektorów inicjalizacji (IV).

  • Wraz ze wzrostem rozległości rejestrowania może również wzrosnąć wpływ na zasoby systemowe i przepustowość sieci na potrzeby przesyłania strumieniowego tych dzienników.

  • Segmentacja zasobów często wprowadza przeskoki sieciowe w architekturze obciążenia.

Kompromis: Zwiększona szansa na błędną konfigurację. Niezawodne spełnianie celów wydajności zależy od przewidywalnych implementacji projektu.

Błędna konfiguracja lub nadmierne rozszerzanie mechanizmów kontroli zabezpieczeń może mieć wpływ na wydajność z powodu nieefektywnej konfiguracji. Przykłady konfiguracji kontroli zabezpieczeń, które mogą mieć wpływ na wydajność, obejmują:

  • Kolejność, złożoność i ilość reguł zapory (stopień szczegółowości).

  • Nie można wykluczyć kluczowych plików z monitorów integralności plików lub skanerów wirusów. Zaniedbanie tego kroku może prowadzić do rywalizacji o blokadę.

  • Zapory aplikacji internetowej przeprowadzają głęboką inspekcję pakietów dla języków lub platform, które nie są istotne dla składników, które są chronione.

Zapoznaj się z kompromisami dotyczącymi innych filarów: