你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

安全权衡

  • 项目

安全性为工作负载的系统及其用户数据提供保密性、完整性和可用性保证。 工作负荷以及系统的软件开发和操作组件需要安全控制。 当团队设计和操作工作负载时,他们几乎永远不会在安全控制上妥协。

在工作负荷的设计阶段,请务必考虑基于安全设计原则和安全性设计评审清单中的建议的决策如何影响其他支柱的目标和优化。 某些安全决策可能有利于某些支柱,但对其他支柱构成权衡。 本文介绍工作负载团队在建立安全保障时可能遇到的权衡示例。

安全性与可靠性的权衡

权衡:复杂性增加。 可靠性支柱优先考虑简单性,并建议最大程度地减少故障点。

  • 某些安全控制可能会增加配置错误的风险,从而导致服务中断。 可能导致错误配置的安全控制示例包括网络流量规则、标识提供者、病毒扫描排除项以及基于角色或基于属性的访问控制分配。

  • 增加分段通常会导致在资源和网络拓扑以及操作员访问方面环境更加复杂。 这种复杂性可能会导致进程和工作负载执行中出现更多故障点。

  • 工作负载安全工具通常合并到工作负载的体系结构、操作和运行时要求的许多层中。 这些工具可能会影响复原能力、可用性和容量规划。 如果不考虑工具中的限制,可能会导致可靠性事件,例如出口防火墙上的 SNAT 端口耗尽。

权衡:增加关键依赖项。 可靠性支柱建议最大程度地减少关键依赖项。 最大程度地减少关键依赖项(尤其是外部依赖项)的工作负荷可以更好地控制其故障点。

安全支柱要求工作负载显式验证标识和操作。 验证是通过关键安全组件上的关键依赖项进行的。 如果这些组件不可用或发生故障,则验证可能无法完成。 此故障会使工作负荷处于降级状态。 这些关键单一故障点依赖项的一些示例包括:

  • 入口和出口防火墙。
  • 证书吊销列表。
  • 网络时间协议 (NTP) 服务器提供的准确系统时间。
  • 标识提供者,如Microsoft Entra ID。

权衡:灾难恢复的复杂性增加。 工作负荷必须可靠地从各种形式的灾难中恢复。

  • 安全控制可能会影响恢复时间目标。 这种影响可能是由于解密备份的数据所需的其他步骤,或者由站点可靠性会审造成的操作访问延迟造成的。

  • 安全控制本身(例如机密保管库及其内容或边缘 DDoS 防护)需要成为工作负载灾难恢复计划的一部分,并且必须通过恢复演练进行验证。

  • 安全性或符合性要求可能会限制备份的数据驻留选项或访问控制限制,甚至可能会使脱机副本分段进一步使恢复复杂化。

权衡:更改率增加。 遇到运行时更改的工作负载由于此更改而面临更大的可靠性影响风险。

  • 更严格的修补和更新策略会导致工作负载的生产环境发生更多更改。 此更改来自以下来源:

    • 由于库的更新或基础容器映像的更新,应用程序代码的发布频率更高
    • 增加了操作系统的例行修补
    • 与版本控制的应用程序或数据平台保持最新状态
    • 将供应商修补程序应用于环境中的软件

  • 密钥、服务主体凭据和证书的轮换活动会增加暂时性问题的风险,因为轮换的时间安排和客户端使用新值。

成本优化的安全权衡

权衡:其他基础结构。 优化工作负荷的成本的一种方法是寻找减少组件多样性和数量以及增加密度的方法。

某些工作负载组件或设计决策只是为了保护系统和数据的安全 (机密性、完整性和可用性) 。 这些组件虽然增强了环境的安全性,但也会增加成本。 它们还必须自行进行成本优化。 这些以安全为中心的附加资源或许可成本的一些示例来源如下:

  • 用于隔离的计算、网络和数据分段,有时涉及运行单独的实例,防止并置并降低密度。
  • 专用的可观测性工具,例如可以执行聚合和威胁情报的 SIEM。
  • 专用网络设备或功能,如防火墙或分布式拒绝服务防护。
  • 捕获敏感度和信息类型标签所需的数据分类工具。
  • 专用存储或计算功能,支持静态加密和传输中加密,例如 HSM 或机密计算功能。
  • 专用测试环境和测试工具,用于验证安全控制是否正常运行,并发现以前未发现的覆盖范围差距。

上述项通常也存在于生产环境之外的预生产和灾难恢复资源中。

权衡:对基础结构的需求增加。 成本优化支柱优先考虑降低资源需求,以便能够使用更便宜的 SKU、更少的实例或减少消耗。

  • 高级 SKU:云和供应商服务中某些可有利于工作负荷安全状况的安全措施可能仅在更昂贵的 SKU 或层中找到。

  • 日志存储:提供广泛覆盖的高保真安全监视和审核数据会增加存储成本。 安全可观测性数据的存储时间通常也比操作见解通常需要的时间长。

  • 增加资源消耗:进程内和主机安全控制可能会引入对资源的额外需求。 静态数据和传输中的数据加密也会增加需求。 这两种方案都可能需要更高的实例计数或更大的 SKU。

权衡:过程和运营成本增加。 人事流程成本是总拥有成本的一部分,并计入工作负载的投资回报。 优化这些成本是成本优化支柱的建议。

  • 更全面和更严格的补丁管理制度会导致在这些日常任务上花费的时间和金钱增加。 这种增加通常与投资准备准备零日漏洞的临时修补相结合。

  • 为了降低未经授权的访问风险,更严格的访问控制可能会导致更复杂的用户管理和操作访问。

  • 安全工具和流程的培训和意识会占用员工的时间,还会产生材料、讲师和可能的培训环境成本。

  • 遵守法规可能需要对审核和生成合规性报告进行额外的投资。

  • 规划和执行安全事件响应准备演练需要一段时间。

  • 需要为设计和执行与安全性相关的例程和临时流程(如密钥或证书轮换)分配时间。

  • SDLC 的安全验证通常需要专用工具。 你的组织可能需要为这些工具付费。 确定在测试期间发现的问题的优先级和修正也需要一定的时间。

  • 聘请第三方安全从业者执行白盒测试或测试,这些测试在系统内部工作 (有时称为 黑盒测试) (包括渗透测试)会产生成本。

安全权衡与卓越运营

权衡:可观测性和可维护性的复杂性。 卓越运营要求体系结构可维护且可观察。 最可维护的体系结构是那些对所有相关人员最透明的体系结构。

  • 安全性受益于广泛的日志记录,这些日志记录提供对工作负载的高保真度见解,以便在偏离基线时发出警报并做出事件响应。 此日志记录可以生成大量日志,这使得提供针对可靠性或性能的见解变得更加困难。

  • 遵循数据掩码的符合性准则时,会编修特定的日志段,甚至大量表格数据,以保护机密性。 团队需要评估这种可观测性差距如何影响警报或阻碍事件响应。

  • 强资源分段要求使用额外的跨服务分布式跟踪和关联来捕获流跟踪,从而增加可观测性的复杂性。 分段还会增加计算和服务的数据的外围应用。

  • 某些安全控制在设计上会妨碍访问。 在事件响应期间,这些控制可能会降低工作负载操作员的紧急访问速度。 因此,事件响应计划需要更加强调规划和演练,以便达到可接受的效果。

权衡:灵活性降低,复杂性增加。 工作负载团队测量其速度,以便他们可以随时间推移提高交付活动的质量、频率和效率。 工作负载复杂性会影响操作所涉及的工作量和风险。

  • 为了降低引入安全漏洞的风险,更严格的变更控制和审批策略可能会减慢新功能的开发和安全部署的速度。 但是,对安全更新和修补的预期可能会增加对更频繁部署的需求。 此外,操作流程中人工封闭的审批策略可能使自动化这些流程变得更加困难。

  • 安全测试结果导致需要确定优先级的发现,这可能会阻止计划的工作。

  • 常规、临时和紧急流程可能需要审核日志记录以满足合规性要求。 此日志记录增加了运行进程的刚性。

  • 随着角色定义和分配粒度的提高,工作负载团队可能会增加标识管理活动的复杂性。

  • 与安全相关的日常操作任务(如证书管理)数量增加,将增加要自动化的流程数。

权衡:加强协调工作。尽量减少外部联系点和评审的团队可以更有效地控制其操作和时间线。

  • 随着大型组织或外部实体的外部合规性要求增加,实现和证明审核员合规性的复杂性也随之增加。

  • 安全性需要工作负载团队通常没有的专业技能。 这些熟练度通常来自大型组织或第三方。 在这两种情况下,都需要建立工作、访问和责任的协调。

  • 合规性或组织要求通常需要维护的通信计划来负责任地披露违规行为。 这些计划必须纳入安全协调工作。

安全权衡与性能效率

权衡:延迟和开销增加。 高性能工作负载可降低延迟和开销。

  • 检查安全控制措施(如防火墙和内容筛选器)位于它们保护的流中。 因此,这些流受到额外的验证,这会增加请求的延迟。

  • 标识控件要求显式验证受控组件的每次调用。 此验证使用计算周期,可能需要网络遍历进行授权。

  • 加密和解密需要专用的计算周期。 这些周期会增加这些流所消耗的时间和资源。 这种增加通常与算法的复杂性以及高熵和多样化初始化向量 (IV) 生成有关。

  • 随着日志记录范围的增加,流式传输这些日志对系统资源和网络带宽的影响也会增加。

  • 资源分段经常在工作负载的体系结构中引入网络跃点。

权衡:增加错误配置的可能性。 能否可靠地满足性能目标取决于设计的可预测实现。

由于配置效率低下,安全控件配置错误或过度扩展可能会影响性能。 可能影响性能的安全控制配置的示例包括:

  • 防火墙规则排序、复杂性和数量 (粒度) 。

  • 无法从文件完整性监视器或病毒扫描程序中排除关键文件。 忽略此步骤可能会导致锁争用。

  • Web 应用程序防火墙对与受保护组件无关的语言或平台执行深度数据包检查。

了解其他支柱的权衡: