Compromissos de segurança

  • Artigo

A segurança fornece garantias de confidencialidade, integridade e disponibilidade do sistema de uma carga de trabalho e dos dados dos respetivos utilizadores. Os controlos de segurança são necessários para a carga de trabalho e para o desenvolvimento de software e componentes operacionais do sistema. Quando as equipas criam e operam uma carga de trabalho, quase nunca podem comprometer-se com os controlos de segurança.

Durante a fase de conceção de uma carga de trabalho, é importante considerar como as decisões baseadas nos princípios de estrutura de segurança e nas recomendações na lista de verificação De design para Segurança podem influenciar os objetivos e otimizações de outros pilares. Determinadas decisões de segurança podem beneficiar alguns pilares, mas constituem desvantagens para outros. Este artigo descreve as desvantagens de exemplo que uma equipa de carga de trabalho pode encontrar ao estabelecer garantias de segurança.

Compromissos de segurança com Fiabilidade

Desvantagem: maior complexidade. O pilar Fiabilidade prioriza a simplicidade e recomenda que os pontos de falha sejam minimizados.

  • Alguns controlos de segurança podem aumentar o risco de configuração incorreta, o que pode levar à interrupção do serviço. Exemplos de controlos de segurança que podem introduzir uma configuração incorreta incluem regras de tráfego de rede, fornecedores de identidade, exclusões de análise de vírus e atribuições de controlo de acesso baseadas em funções ou atributos.

  • O aumento da segmentação geralmente resulta num ambiente mais complexo em termos de topologia de recursos e de rede e acesso de operador. Esta complexidade pode levar a mais pontos de falha nos processos e na execução da carga de trabalho.

  • Muitas vezes, as ferramentas de segurança de cargas de trabalho são incorporadas em muitas camadas dos requisitos de arquitetura, operações e runtime de uma carga de trabalho. Estas ferramentas podem afetar a resiliência, a disponibilidade e o planeamento de capacidade. A não contabilização de limitações nas ferramentas pode levar a um evento de fiabilidade, como o esgotamento da porta SNAT numa firewall de saída.

Desvantagem: aumento das dependências críticas. O pilar Fiabilidade recomenda minimizar as dependências críticas. Uma carga de trabalho que minimiza as dependências críticas, especialmente as externas, tem mais controlo sobre os pontos de falha.

O pilar Segurança requer uma carga de trabalho para verificar explicitamente identidades e ações. A verificação ocorre através de dependências críticas em componentes de segurança principais. Se esses componentes não estiverem disponíveis ou se funcionarem mal, a verificação poderá não estar concluída. Esta falha coloca a carga de trabalho num estado degradado. Alguns exemplos destas dependências críticas de ponto único de falha são:

  • Firewalls de entrada e saída.
  • Listas de revogação de certificados.
  • Tempo de sistema preciso fornecido por um servidor NTP (Network Time Protocol).
  • Fornecedores de identidade, como Microsoft Entra ID.

Desvantagem: maior complexidade da recuperação após desastre. Uma carga de trabalho tem de recuperar de forma fiável de todas as formas de desastre.

  • Os controlos de segurança podem afetar os objetivos de tempo de recuperação. Este efeito pode ser causado pelos passos adicionais necessários para desencriptar dados de cópia de segurança ou por atrasos de acesso operacional criados pela triagem de fiabilidade do site.

  • Os próprios controlos de segurança, por exemplo cofres secretos e respetivos conteúdos ou proteção de DDoS edge, têm de fazer parte do plano de recuperação após desastre da carga de trabalho e têm de ser validados através de testes de recuperação.

  • Os requisitos de segurança ou conformidade podem limitar as opções de residência dos dados ou as restrições de controlo de acesso para cópias de segurança, o que pode complicar ainda mais a recuperação ao segmentar réplicas offline.

Contrapartida: aumento da taxa de alteração. Uma carga de trabalho que experimenta alterações no runtime está exposta a um maior risco de impacto na fiabilidade devido a essa alteração.

  • As políticas de correção e atualização mais rigorosas levam a mais alterações no ambiente de produção de uma carga de trabalho. Esta alteração provém de origens como estas:

    • O código da aplicação é lançado com mais frequência devido a atualizações a bibliotecas ou atualizações para imagens de contentor base
    • Maior aplicação de patches de rotina dos sistemas operativos
    • Manter-se atualizado com aplicações com versões ou plataformas de dados
    • Aplicar patches de fornecedor ao software no ambiente

  • As atividades de rotação para chaves, credenciais do principal de serviço e certificados aumentam o risco de problemas transitórios devido à temporização da rotação e dos clientes que utilizam o novo valor.

Compromissos de segurança com a Otimização de Custos

Contrapartida: infraestrutura adicional. Uma abordagem para otimizar os custos de uma carga de trabalho é procurar formas de reduzir a diversidade e o número de componentes e aumentar a densidade.

Alguns componentes da carga de trabalho ou decisões de conceção só existem para proteger a segurança (confidencialidade, integridade e disponibilidade) dos sistemas e dados. Estes componentes, embora melhorem a segurança do ambiente, também aumentam os custos. Também têm de estar sujeitos à otimização de custos. Algumas origens de exemplo para estes recursos adicionais centrados em segurança ou custos de licenciamento são:

  • Segmentação de dados, computação, rede e isolamento, que por vezes envolve a execução de instâncias separadas, a prevenção da co-localização e a redução da densidade.
  • Ferramentas de observabilidade especializadas, como um SIEM que pode realizar agregação e informações sobre ameaças.
  • Aplicações ou capacidades de rede especializadas, como firewalls ou prevenção denial-of-service distribuída.
  • Ferramentas de classificação de dados necessárias para capturar etiquetas de confidencialidade e de tipo de informação.
  • Capacidades de armazenamento ou computação especializadas para suportar a encriptação inativa e em trânsito, como um HSM ou uma funcionalidade de computação confidencial.
  • Ambientes de teste dedicados e ferramentas de teste para validar que os controlos de segurança estão a funcionar e para descobrir lacunas anteriormente não descobertas na cobertura.

Muitas vezes, os itens anteriores também existem fora dos ambientes de produção, em recursos de pré-produção e recuperação após desastre.

Contrapartida: aumento da procura de infra-estruturas. O pilar Otimização de Custos prioriza a redução da procura de recursos para permitir a utilização de SKUs mais baratos, menos instâncias ou consumo reduzido.

  • SKUs Premium: algumas medidas de segurança em serviços de fornecedor e cloud que podem beneficiar a postura de segurança de uma carga de trabalho só podem ser encontradas em SKUs ou escalões mais caros.

  • Armazenamento de registos: dados de monitorização e auditoria de segurança de alta fidelidade que proporcionam uma cobertura abrangente aumentam os custos de armazenamento. Os dados de observabilidade de segurança também são frequentemente armazenados por períodos de tempo mais longos do que seriam normalmente necessários para informações operacionais.

  • Aumento do consumo de recursos: os controlos de segurança no processo e no anfitrião podem introduzir procura adicional de recursos. A encriptação de dados inativos e em trânsito também pode aumentar a procura. Ambos os cenários podem exigir contagens de instâncias mais elevadas ou SKUs maiores.

Contrapartida: aumento do processo e dos custos operacionais. Os custos do processo de pessoal fazem parte do custo total global de propriedade e são contabilizados no retorno de uma carga de trabalho sobre o investimento. Otimizar estes custos é uma recomendação do pilar Otimização de Custos.

  • Um regime de gestão de patches mais abrangente e rigoroso leva a um aumento do tempo e do dinheiro gasto nestas tarefas de rotina. Este aumento é muitas vezes associado à expectativa de investir na preparação para patches ad hoc para explorações de dia zero.

  • Controlos de acesso mais rigorosos para reduzir o risco de acesso não autorizado podem levar a uma gestão de utilizadores e acesso operacional mais complexos.

  • A formação e a sensibilização para as ferramentas e processos de segurança ocupam tempo dos colaboradores e também incorrem em custos para materiais, instrutores e, possivelmente, ambientes de formação.

  • O cumprimento dos regulamentos pode exigir investimentos adicionais para auditorias e gerar relatórios de conformidade.

  • Planear e realizar exercícios para a preparação da resposta a incidentes de segurança demora tempo.

  • É necessário atribuir tempo para conceber e executar processos de rotina e ad hoc associados à segurança, como a rotação de chave ou certificado.

  • Normalmente, a validação de segurança do SDLC requer ferramentas especializadas. A sua organização poderá ter de pagar por estas ferramentas. Atribuir prioridades e remediar problemas encontrados durante os testes também demora tempo.

  • A contratação de profissionais de segurança de terceiros para realizar testes em caixas brancas ou testes realizados sem o conhecimento do funcionamento interno de um sistema (por vezes conhecido como teste de caixa preta), incluindo testes de penetração, implica custos.

Compromissos de segurança com Excelência Operacional

Desvantagem: Complicações na observabilidade e na capacidade de serviço. A Excelência Operacional requer que as arquiteturas sejam passíveis de assistência e observáveis. As arquiteturas mais passíveis de assistência são aquelas que são as mais transparentes para todos os envolvidos.

  • Benefícios de segurança do registo extensivo que fornece informações de alta fidelidade sobre a carga de trabalho para alertar sobre desvios de linhas de base e para resposta a incidentes. Este registo pode gerar um volume significativo de registos, o que pode dificultar a disponibilização de informações direcionadas para fiabilidade ou desempenho.

  • Quando são seguidas as diretrizes de conformidade para mascaramento de dados, são redigidos segmentos específicos de registos ou até grandes quantidades de dados tabulares para proteger a confidencialidade. A equipa tem de avaliar como esta lacuna de observabilidade pode afetar os alertas ou dificultar a resposta a incidentes.

  • A segmentação de recursos forte aumenta a complexidade da observabilidade ao exigir rastreio distribuído entre serviços adicionais e correlação para capturar rastreios de fluxo. A segmentação também aumenta a área de superfície da computação e dos dados para o serviço.

  • Alguns controlos de segurança impedem o acesso por predefinição. Durante a resposta a incidentes, estes controlos podem abrandar o acesso de emergência dos operadores de carga de trabalho. Por conseguinte, os planos de resposta a incidentes têm de incluir mais ênfase no planeamento e nos exercícios para alcançar uma eficácia aceitável.

Desvantagem: Diminuição da agilidade e maior complexidade. As equipas de cargas de trabalho medem a velocidade para que possam melhorar a qualidade, frequência e eficiência das atividades de entrega ao longo do tempo. Fatores de complexidade da carga de trabalho no esforço e no risco envolvidos nas operações.

  • Políticas de aprovação e controlo de alterações mais rigorosas para reduzir o risco de introdução de vulnerabilidades de segurança podem atrasar o desenvolvimento e a implementação segura de novas funcionalidades. No entanto, a expectativa de abordar as atualizações de segurança e a aplicação de patches pode aumentar a procura de implementações mais frequentes. Além disso, as políticas de aprovação com portas humanas em processos operacionais podem dificultar a automatização desses processos.

  • Os testes de segurança resultam em resultados que precisam de ser priorizados, o que pode estar a bloquear o trabalho planeado.

  • Os processos de rotina, ad hoc e de emergência podem exigir o registo de auditoria para cumprir os requisitos de conformidade. Este registo aumenta a rigidez da execução dos processos.

  • As equipas de cargas de trabalho podem aumentar a complexidade das atividades de gestão de identidades à medida que a granularidade das definições e atribuições de funções é aumentada.

  • Um maior número de tarefas operacionais de rotina associadas à segurança, como a gestão de certificados, aumenta o número de processos a automatizar.

Desvantagem: esforços de coordenação acrescidos. Uma equipa que minimize pontos externos de contacto e revisão pode controlar as operações e a linha cronológica de forma mais eficaz.

  • À medida que os requisitos de conformidade externos da organização maior ou de entidades externas aumentam, a complexidade de alcançar e provar a conformidade com auditores também aumenta.

  • A segurança requer competências especializadas que as equipas de carga de trabalho normalmente não têm. Essas proficiências são frequentemente provenientes da organização maior ou de terceiros. Em ambos os casos, é necessário estabelecer a coordenação do esforço, do acesso e da responsabilidade.

  • Os requisitos organizacionais ou de conformidade exigem frequentemente planos de comunicação mantidos para a divulgação responsável de violações. Estes planos têm de ser contabilizados nos esforços de coordenação de segurança.

Compromissos de segurança com Eficiência de Desempenho

Desvantagem: maior latência e sobrecarga. Uma carga de trabalho com desempenho reduz a latência e a sobrecarga.

  • Os controlos de segurança de inspeção, como firewalls e filtros de conteúdo, estão localizados nos fluxos que protegem. Por conseguinte, esses fluxos estão sujeitos a verificação adicional, o que adiciona latência aos pedidos.

  • Os controlos de identidade exigem que cada invocação de um componente controlado seja verificada explicitamente. Esta verificação consome ciclos de computação e pode exigir o percurso de rede para autorização.

  • A encriptação e a desencriptação requerem ciclos de computação dedicados. Estes ciclos aumentam o tempo e os recursos consumidos por esses fluxos. Este aumento está normalmente correlacionado com a complexidade do algoritmo e a geração de vetores de inicialização (IVs) de alta entropia e diversos.

  • À medida que a extensão do registo aumenta, o impacto nos recursos do sistema e na largura de banda de rede para a transmissão em fluxo desses registos também pode aumentar.

  • A segmentação de recursos apresenta frequentemente saltos de rede na arquitetura de uma carga de trabalho.

Desvantagem: maior probabilidade de configuração incorreta. O cumprimento fiável dos objetivos de desempenho depende de implementações previsíveis da conceção.

Uma configuração incorreta ou uma sobreextensão de controlos de segurança pode afetar o desempenho devido a uma configuração ineficiente. Exemplos de configurações de controlo de segurança que podem afetar o desempenho incluem:

  • Ordenação de regras de firewall, complexidade e quantidade (granularidade).

  • Falha ao excluir ficheiros chave de monitores de integridade de ficheiros ou detetores de vírus. Negligenciar este passo pode levar a uma disputa de bloqueio.

  • Firewalls de aplicações Web que realizam uma inspeção aprofundada de pacotes para idiomas ou plataformas que são irrelevantes para os componentes que estão a ser protegidos.

Explore as desvantagens dos outros pilares: