你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

安全权衡

安全性提供工作负荷系统及其用户数据的机密性、完整性和可用性保证。 工作负荷和系统的软件开发和操作组件需要安全控制。 当团队设计和操作工作负荷时，他们几乎永远不会在安全控制方面受到损害。

在工作负荷的设计阶段，请务必考虑如何根据 安全设计原则 和建议在 安全设计评审清单 中做出决策可能会影响其他支柱的目标和优化。 某些安全决策可能会有利于一些支柱，但对其他人构成权衡。 本文介绍在建立安全保证时工作负荷团队可能会遇到的示例权衡。

安全性权衡与可靠性

权衡：复杂性增加。 可靠性支柱优先考虑简单性，并建议最小化故障点。

• 某些安全控制可能会增加配置错误的风险，这可能导致服务中断。 可以引入错误配置的安全控制示例包括网络流量规则、标识提供者、病毒扫描排除项和基于角色或基于属性的访问控制分配。

• 增加的分段通常会导致在资源和网络拓扑和操作员访问方面更复杂的环境。 这种复杂性可能导致进程和工作负荷执行中出现更多故障点。

• 工作负荷安全工具通常合并到工作负荷的体系结构、操作和运行时要求的许多层中。 这些工具可能会影响复原能力、可用性和容量规划。 由于工具中存在限制，可能会导致可靠性事件，例如出口防火墙上的 SNAT 端口耗尽。

权衡：增加关键依赖项。 可靠性支柱建议最大程度地减少关键依赖项。 最小化关键依赖项（尤其是外部依赖项）的工作负荷可以更好地控制其故障点。

安全支柱要求工作负荷显式验证标识和操作。 验证是通过关键依赖项对关键安全组件进行的。 如果这些组件不可用或它们出现故障，则验证可能无法完成。 此故障会使工作负荷处于降级状态。 这些关键单一故障点依赖项的一些示例包括：

• 入口和出口防火墙。
• 证书吊销列表。
• 网络时间协议 （NTP） 服务器提供的准确系统时间。
• 标识提供者，如Microsoft Entra ID。

权衡：灾难恢复的复杂性增加。 工作负荷必须可靠地从各种形式的灾难中恢复。

• 安全控制可能会影响恢复时间目标。 这种影响可能是由于解密备份数据所需的其他步骤或站点可靠性会审创建的操作访问延迟造成的。

• 安全控制本身（例如机密保管库及其内容或边缘 DDoS 保护）需要成为工作负荷灾难恢复计划的一部分，并且必须通过恢复演练进行验证。

• 安全或符合性要求可能会限制备份的数据驻留选项或访问控制限制，从而通过分段甚至脱机副本进一步使恢复复杂化。

权衡：提高变化率。 体验运行时更改的工作负荷因该更改而面临更大的可靠性影响风险。

• 更严格的修补和更新策略会导致工作负荷的生产环境中发生更多更改。 此更改来自如下所示的源：

  • 由于库更新或基本容器映像更新，应用程序代码的发布频率更高
  • 增加了操作系统的例程修补
  • 使用版本控制的应用程序或数据平台保持最新状态
  • 将供应商修补程序应用于环境中的软件

• 密钥、服务主体凭据和证书的轮换活动会增加暂时性问题的风险，因为轮换时间和客户端使用新值的时间。

成本优化的安全性权衡

权衡：其他基础结构。 优化工作负荷的成本的一种方法是寻找减少组件多样性和数量以及增加密度的方法。

某些工作负荷组件或设计决策仅用于保护系统和数据的安全性（机密性、完整性和可用性）。 尽管这些组件增强了环境的安全性，但也增加了成本。 它们还必须自行进行成本优化。 这些以安全为中心的其他资源或许可成本的一些示例来源包括：

• 用于隔离的计算、网络和数据分段，有时涉及运行单独的实例、防止共同定位和降低密度。
• 专用可观测性工具，如可执行聚合和威胁情报的 SIEM。
• 专用网络设备或功能，如防火墙或分布式拒绝服务防护。
• 捕获敏感度和信息类型标签所需的数据分类工具。
• 专用存储或计算功能，以支持静态加密和传输中加密，例如 HSM 或机密计算功能。
• 专用测试环境和测试工具，用于验证安全控制是否正常运行，并发现以前未发现的覆盖范围差距。

在预生产资源和灾难恢复资源中，上述项通常也存在于生产环境之外。

权衡：基础结构需求增加。 成本优化支柱优先考虑资源需求下降，以便使用更便宜的 SKU、更少的实例或减少消耗。

• 高级 SKU：云和供应商服务中的一些安全措施可能会使工作负荷的安全状况受益，但只能在更昂贵的 SKU 或层中找到。

• 日志存储：高保真度安全监视和审核数据，可广泛覆盖存储成本。 安全可观测性数据通常也存储的时间长于操作见解通常需要的时间。

• 资源消耗增加：进程内和主机上的安全控制可以引入对资源的额外需求。 静态数据和传输中的数据加密还可以增加需求。 这两种方案可能需要更高的实例计数或更大的 SKU。

权衡：提高流程和运营成本。 人事流程成本是总拥有成本的一部分，并纳入工作负荷的投资回报。 优化这些成本是成本优化支柱的建议。

• 更全面、更严格的修补管理制度导致花费在这些例行任务上的时间和金钱增加。 这一增长往往与投资准备零天攻击的预期相加。

• 更严格的访问控制，以降低未经授权的访问风险可能导致更复杂的用户管理和操作访问。

• 对安全工具和流程的培训和意识占用员工时间，还会产生材料、讲师和可能的培训环境的成本。

• 遵守法规可能需要对审核进行额外投资，并生成合规性报告。

• 规划和执行安全事件响应准备演练需要时间。

• 需要分配时间，以便设计和执行与安全性相关的例程和即席进程，例如密钥或证书轮换。

• SDLC 的安全验证通常需要专用工具。 你的组织可能需要为这些工具付费。 在测试期间发现的问题的优先级和修正问题也需要时间。

• 雇用第三方安全从业者执行白盒测试或测试，无需了解系统的内部工作（有时称为 黑盒测试），包括渗透测试，会产生成本。

与卓越运营的安全权衡

权衡：可观测性和可观测性的复杂性。 卓越运营要求体系结构可维护且可观察。 最可维护的体系结构是那些对所涉及的所有人最透明的体系结构。

• 安全优势在于广泛的日志记录，可提供对工作负荷的高保真见解，以便针对基线的偏差和事件响应发出警报。 此日志记录可以生成大量日志，从而更难提供针对可靠性或性能的见解。

• 遵循数据掩码的符合性准则时，会对日志的特定段甚至大量表格数据进行修订以保护机密性。 团队需要评估这种可观测性差距如何影响警报或阻碍事件响应。

• 强资源分段需要额外的跨服务分布式跟踪和关联来捕获流跟踪，从而提高可观测性的复杂性。 分段还会增加计算和数据到服务的外围应用。

• 某些安全控制通过设计阻碍访问。 在事件响应期间，这些控制可能会降低工作负荷操作员的紧急访问速度。 因此，事件响应计划需要更加注重规划和演练，才能达到可接受的效能。

权衡：降低敏捷性和提高复杂性。 工作负荷团队衡量其速度，以便随着时间的推移提高交付活动的质量、频率和效率。 工作负荷复杂性因素会影响操作所涉及的工作量和风险。

• 更严格的变更控制和审批策略，以减少引入安全漏洞的风险，可能会减缓新功能的开发和安全部署。 但是，解决安全更新和修补的预期可能会增加对更频繁的部署的需求。 此外，操作流程中的人工控制审批策略可能会使自动化这些流程变得更加困难。

• 安全测试结果导致需要确定优先级的发现，从而可能阻止计划内的工作。

• 例程、即席和紧急流程可能需要审核日志记录来满足合规性要求。 此日志记录增加了运行进程的刚性。

• 随着角色定义和分配的粒度增加，工作负荷团队可能会增加标识管理活动的复杂性。

• 与安全性关联的例程操作任务（如证书管理）增加了自动执行的过程数。

权衡：加大协调力度。 最小化外部接触点和评审的团队可以更有效地控制其操作和时间线。

• 随着大型组织或外部实体的外部合规性要求的增加，实现和证明与审核员的合规性的复杂性也会增加。

• 安全性需要工作负荷团队通常没有的专业技能。 这些熟练程度通常源自大型组织或第三方。 在这两种情况下，都需要建立工作协调、访问和责任。

• 合规性或组织要求通常需要维护的通信计划来负责泄露违规。 这些计划必须纳入安全协调工作。

性能效率的安全权衡

权衡：延迟和开销增加。 高性能工作负荷可降低延迟和开销。

• 检查安全控制（如防火墙和内容安全筛选器）位于它们安全的流中。 因此，这些流受其他验证的约束，这会增加请求的延迟。 在高度分离的体系结构中，分布式性质可能导致单个用户或数据流事务多次进行这些检查。

• 标识控制要求显式验证受控组件的每次调用。 此验证使用计算周期，可能需要网络遍历进行授权。

• 加密和解密需要专用计算周期。 这些周期会增加这些流消耗的时间和资源。 这种增加通常与算法的复杂性和生成高萎缩性和不同的初始化向量（IV）相关。

• 随着日志记录的扩大，对流式传输这些日志的系统资源和网络带宽的影响也会增加。

• 资源分段经常在工作负荷的体系结构中引入网络跃点。

权衡：增加配置错误的可能性。 可靠地满足性能目标取决于设计的可预测实现。

由于配置效率低下，安全控件的配置错误或过度扩展可能会影响性能。 可能影响性能的安全控制配置的示例包括：

• 防火墙规则排序、复杂性和数量（粒度）。

• 无法从文件完整性监视器或病毒扫描程序中排除密钥文件。 忽略此步骤可能会导致锁定争用。

• Web 应用程序防火墙对与受保护组件无关的语言或平台执行深度数据包检查。

相关链接

探索其他支柱的权衡：

• 可靠性权衡
• 成本优化权衡
• 卓越运营权衡因素
• 性能效率权衡