Share via

Compensações de segurança

  • Artigo

A segurança fornece garantias de confidencialidade, integridade e disponibilidade do sistema de uma carga de trabalho e dos dados de seus usuários. Os controles de segurança são necessários para a carga de trabalho e para o desenvolvimento de software e os componentes operacionais do sistema. Quando as equipes projetam e operam uma carga de trabalho, elas quase nunca podem comprometer os controles de segurança.

Durante a fase de design de uma carga de trabalho, é importante considerar como as decisões com base nos princípios de design de segurança e nas recomendações na lista de verificação revisão de design para Segurança podem influenciar as metas e otimizações de outros pilares. Certas decisões de segurança podem beneficiar alguns pilares, mas constituem compensações para outros. Este artigo descreve as compensações de exemplo que uma equipe de carga de trabalho pode encontrar ao estabelecer garantias de segurança.

Compensações de segurança com confiabilidade

Compensação: maior complexidade. O pilar Confiabilidade prioriza a simplicidade e recomenda que os pontos de falha sejam minimizados.

  • Alguns controles de segurança podem aumentar o risco de configuração incorreta, o que pode levar à interrupção do serviço. Exemplos de controles de segurança que podem introduzir configurações incorretas incluem regras de tráfego de rede, provedores de identidade, exclusões de verificação de vírus e atribuições de controle de acesso baseadas em função ou atributo.

  • O aumento da segmentação geralmente resulta em um ambiente mais complexo em termos de topologia de recursos e rede e acesso ao operador. Essa complexidade pode levar a mais pontos de falha em processos e na execução da carga de trabalho.

  • As ferramentas de segurança de carga de trabalho geralmente são incorporadas em muitas camadas dos requisitos de arquitetura, operações e runtime de uma carga de trabalho. Essas ferramentas podem afetar a resiliência, a disponibilidade e o planejamento da capacidade. A falha ao considerar as limitações nas ferramentas pode levar a um evento de confiabilidade, como o esgotamento da porta SNAT em um firewall de saída.

Compensação: dependências críticas aumentadas. O pilar confiabilidade recomenda minimizar dependências críticas. Uma carga de trabalho que minimiza dependências críticas, especialmente as externas, tem mais controle sobre seus pontos de falha.

O pilar segurança requer uma carga de trabalho para verificar explicitamente identidades e ações. A verificação ocorre por meio de dependências críticas nos principais componentes de segurança. Se esses componentes não estiverem disponíveis ou se apresentarem mau funcionamento, a verificação poderá não ser concluída. Essa falha coloca a carga de trabalho em um estado degradado. Alguns exemplos dessas dependências críticas de ponto único de falha são:

  • Firewalls de entrada e saída.
  • Listas de revogação de certificado.
  • Tempo preciso do sistema fornecido por um servidor NTP (Protocolo de Tempo de Rede).
  • Provedores de identidade, como Microsoft Entra ID.

Compensação: maior complexidade da recuperação de desastres. Uma carga de trabalho deve se recuperar de forma confiável de todas as formas de desastre.

  • Os controles de segurança podem afetar os objetivos de tempo de recuperação. Esse efeito pode ser causado pelas etapas adicionais necessárias para descriptografar dados de backup ou por atrasos de acesso operacional criados pela triagem de confiabilidade do site.

  • Os próprios controles de segurança, por exemplo, cofres secretos e seu conteúdo ou proteção contra DDoS de borda, precisam fazer parte do plano de recuperação de desastre da carga de trabalho e devem ser validados por meio de análises de recuperação.

  • Os requisitos de segurança ou conformidade podem limitar opções de residência de dados ou restrições de controle de acesso para backups, potencialmente complicando ainda mais a recuperação segmentando até mesmo réplicas offline.

Compensação: aumento da taxa de alteração. Uma carga de trabalho que experimenta a alteração do runtime é exposta a mais risco de impacto na confiabilidade devido a essa alteração.

  • Políticas de atualização e aplicação de patch mais rigorosas levam a mais alterações no ambiente de produção de uma carga de trabalho. Essa alteração vem de fontes como estas:

    • Código do aplicativo sendo lançado com mais frequência devido a atualizações em bibliotecas ou atualizações para imagens de contêiner base
    • Aumento da aplicação de patch de rotina de sistemas operacionais
    • Manter-se atualizado com aplicativos ou plataformas de dados com controle de versão
    • Aplicando patches de fornecedor ao software no ambiente

  • As atividades de rotação para chaves, credenciais de entidade de serviço e certificados aumentam o risco de problemas transitórios devido ao tempo da rotação e dos clientes que usam o novo valor.

Compensações de segurança com Otimização de Custos

Compensação: infraestrutura adicional. Uma abordagem para otimizar o custo de uma carga de trabalho é procurar maneiras de reduzir a diversidade e o número de componentes e aumentar a densidade.

Alguns componentes de carga de trabalho ou decisões de design existem apenas para proteger a segurança (confidencialidade, integridade e disponibilidade) de sistemas e dados. Esses componentes, embora aprimorem a segurança do ambiente, também aumentam os custos. Eles também devem estar sujeitos à otimização de custos por conta própria. Algumas fontes de exemplo para esses recursos adicionais centrados em segurança ou custos de licenciamento são:

  • Computação, rede e segmentação de dados para isolamento, o que às vezes envolve a execução de instâncias separadas, impedindo a co-localização e reduzindo a densidade.
  • Ferramentas de observabilidade especializadas, como um SIEM que pode executar a agregação e a inteligência contra ameaças.
  • Dispositivos ou funcionalidades de rede especializados, como firewalls ou prevenção de negação de serviço distribuída.
  • Ferramentas de classificação de dados necessárias para capturar rótulos de confidencialidade e tipo de informação.
  • Funcionalidades especializadas de armazenamento ou computação para dar suporte à criptografia em repouso e em trânsito, como um HSM ou uma funcionalidade de computação confidencial.
  • Ambientes de teste dedicados e ferramentas de teste para validar se os controles de segurança estão funcionando e para descobrir lacunas não descobertas anteriormente na cobertura.

Os itens anteriores geralmente também existem fora dos ambientes de produção, em recursos de pré-produção e recuperação de desastre.

Compensação: aumento da demanda por infraestrutura. O pilar de Otimização de Custos prioriza reduzir a demanda por recursos para permitir o uso de SKUs mais baratas, menos instâncias ou consumo reduzido.

  • SKUs Premium: algumas medidas de segurança em serviços de nuvem e fornecedores que podem beneficiar a postura de segurança de uma carga de trabalho só podem ser encontradas em SKUs ou camadas mais caras.

  • Armazenamento de logs: monitoramento de segurança de alta fidelidade e dados de auditoria que fornecem ampla cobertura aumentam os custos de armazenamento. Os dados de observabilidade de segurança também geralmente são armazenados por períodos mais longos do que normalmente seriam necessários para insights operacionais.

  • Aumento do consumo de recursos: os controles de segurança em processo e no host podem introduzir demanda adicional por recursos. A criptografia de dados inativos e em trânsito também pode aumentar a demanda. Ambos os cenários podem exigir contagens de instâncias mais altas ou SKUs maiores.

Compensação: aumento dos custos operacionais e do processo. Os custos do processo de pessoal fazem parte do custo total total de propriedade e são fatorados no retorno sobre o investimento de uma carga de trabalho. Otimizar esses custos é uma recomendação do pilar de Otimização de Custos.

  • Um regime de gerenciamento de patch mais abrangente e estrito leva a um aumento no tempo e no dinheiro gasto nessas tarefas rotineiras. Esse aumento geralmente é associado à expectativa de investir em preparação para aplicação de patch ad hoc para explorações de dia zero.

  • Controles de acesso mais rigorosos para reduzir o risco de acesso não autorizado podem levar a um gerenciamento de usuário mais complexo e acesso operacional.

  • O treinamento e a conscientização para ferramentas e processos de segurança levam tempo para os funcionários e também incorrem em custos para materiais, instrutores e possivelmente ambientes de treinamento.

  • O cumprimento das regulamentações pode exigir investimentos adicionais para auditorias e geração de relatórios de conformidade.

  • O planejamento e a realização de análises para a preparação da resposta a incidentes de segurança levam tempo.

  • O tempo precisa ser alocado para projetar e executar processos de rotina e ad hoc associados à segurança, como rotação de chave ou certificado.

  • A validação de segurança do SDLC geralmente requer ferramentas especializadas. Talvez sua organização precise pagar por essas ferramentas. Priorizar e corrigir problemas encontrados durante o teste também leva tempo.

  • A contratação de profissionais de segurança de terceiros para executar testes ou testes de caixa branca executados sem o conhecimento do funcionamento interno de um sistema (às vezes conhecido como teste de caixa preta), incluindo testes de penetração, gera custos.

Compensações de segurança com Excelência Operacional

Compensação: complicações na observabilidade e na capacidade de serviço. A Excelência Operacional exige que as arquiteturas sejam servíveis e observáveis. As arquiteturas mais serviceable são aquelas que são as mais transparentes para todos os envolvidos.

  • A segurança se beneficia de um registro em log extensivo que fornece insights de alta fidelidade sobre a carga de trabalho para alertar sobre desvios de linhas de base e para resposta a incidentes. Esse log pode gerar um volume significativo de logs, o que pode tornar mais difícil fornecer insights direcionados à confiabilidade ou ao desempenho.

  • Quando as diretrizes de conformidade para mascaramento de dados são seguidas, segmentos específicos de logs ou até mesmo grandes quantidades de dados tabulares são redigidos para proteger a confidencialidade. A equipe precisa avaliar como essa lacuna de observabilidade pode afetar os alertas ou dificultar a resposta a incidentes.

  • A forte segmentação de recursos aumenta a complexidade da observabilidade exigindo rastreamento distribuído entre serviços adicionais e correlação para capturar rastreamentos de fluxo. A segmentação também aumenta a área de superfície de computação e dados para serviço.

  • Alguns controles de segurança impedem o acesso por design. Durante a resposta a incidentes, esses controles podem retardar o acesso de emergência dos operadores de carga de trabalho. Portanto, os planos de resposta a incidentes precisam incluir mais ênfase no planejamento e nos exercícios para alcançar a eficácia aceitável.

Compensação: diminuição da agilidade e maior complexidade. As equipes de carga de trabalho medem sua velocidade para que possam melhorar a qualidade, a frequência e a eficiência das atividades de entrega ao longo do tempo. Fatores de complexidade da carga de trabalho no esforço e no risco envolvidos nas operações.

  • Políticas mais rigorosas de controle de alterações e aprovação para reduzir o risco de introduzir vulnerabilidades de segurança podem retardar o desenvolvimento e a implantação segura de novos recursos. No entanto, a expectativa de lidar com atualizações de segurança e aplicação de patch pode aumentar a demanda por implantações mais frequentes. Além disso, as políticas de aprovação restritas por humanos em processos operacionais podem dificultar a automatização desses processos.

  • Os testes de segurança resultam em descobertas que precisam ser priorizadas, potencialmente bloqueando o trabalho planejado.

  • Processos rotineiros, ad hoc e de emergência podem exigir registro em log de auditoria para atender aos requisitos de conformidade. Esse registro em log aumenta a rigidez da execução dos processos.

  • As equipes de carga de trabalho podem aumentar a complexidade das atividades de gerenciamento de identidade à medida que a granularidade das definições e atribuições de função aumenta.

  • Um número maior de tarefas operacionais de rotina associadas à segurança, como o gerenciamento de certificados, aumenta o número de processos a serem automatizados.

Compensação: aumento dos esforços de coordenação. Uma equipe que minimiza pontos externos de contato e revisão pode controlar suas operações e linha do tempo com mais eficiência.

  • À medida que os requisitos de conformidade externa da organização maior ou de entidades externas aumentam, a complexidade de alcançar e provar a conformidade com os auditores também aumenta.

  • A segurança requer habilidades especializadas que as equipes de carga de trabalho normalmente não têm. Essas proficiências geralmente são provenientes da organização maior ou de terceiros. Em ambos os casos, é necessário estabelecer a coordenação do esforço, do acesso e da responsabilidade.

  • A conformidade ou os requisitos organizacionais geralmente exigem planos de comunicação mantidos para divulgação responsável de violações. Esses planos devem ser fatorados nos esforços de coordenação de segurança.

Compensações de segurança com eficiência de desempenho

Compensação: maior latência e sobrecarga. Uma carga de trabalho com desempenho reduz a latência e a sobrecarga.

  • Os controles de segurança de inspeção, como firewalls e filtros de conteúdo, estão localizados nos fluxos que eles protegem. Portanto, esses fluxos estão sujeitos a verificações adicionais, o que adiciona latência às solicitações.

  • Os controles de identidade exigem que cada invocação de um componente controlado seja verificada explicitamente. Essa verificação consome ciclos de computação e pode exigir passagem de rede para autorização.

  • A criptografia e a descriptografia exigem ciclos de computação dedicados. Esses ciclos aumentam o tempo e os recursos consumidos por esses fluxos. Esse aumento geralmente está correlacionado com a complexidade do algoritmo e a geração de IVs (vetores de inicialização) de alta entropia e diversos.

  • À medida que a extensividade do registro em log aumenta, o impacto nos recursos do sistema e na largura de banda da rede para transmitir esses logs também pode aumentar.

  • A segmentação de recursos frequentemente introduz saltos de rede na arquitetura de uma carga de trabalho.

Compensação: maior chance de configuração incorreta. O cumprimento confiável das metas de desempenho depende de implementações previsíveis do design.

Uma configuração incorreta ou uma superextensão de controles de segurança pode afetar o desempenho devido à configuração ineficiente. Exemplos de configurações de controle de segurança que podem afetar o desempenho incluem:

  • Ordenação, complexidade e quantidade de regras de firewall (granularidade).

  • Falha ao excluir arquivos-chave de monitores de integridade de arquivos ou scanners de vírus. Negligenciar essa etapa pode levar à contenção de bloqueio.

  • Firewalls de aplicativo Web executando uma inspeção profunda de pacotes para linguagens ou plataformas irrelevantes para os componentes que estão sendo protegidos.

Explore as compensações para os outros pilares: