Компромиссы по безопасности

Безопасность обеспечивает конфиденциальность, целостность и гарантии доступности для систем рабочей нагрузки и данных пользователей. Средства управления безопасностью необходимы для всех уровней нагрузки, а также компонентов разработки и эксплуатационных компонентов программного обеспечения, которые её поддерживают. Команды, ответственные за рабочие нагрузки, практически никогда не могут идти на компромисс в управлении безопасностью.

При разработке рабочей нагрузки следует учитывать, как решения на основе принципов проектирования безопасности и рекомендаций в контрольном списке проверки проектирования для безопасности могут повлиять на цели и оптимизацию других основных компонентов. Некоторые решения по обеспечению безопасности приносят пользу одному столпу, но представляют собой компромиссы для другого. В этой статье описываются примеры компромиссов, с которыми может столкнуться команда рабочей нагрузки при установке гарантий безопасности.

Компромиссы безопасности с надежностью

Компромисс: повышенная сложность. Компонент надежности определяет простоту и рекомендует свести к минимуму точки сбоя.

  • Некоторые элементы управления безопасностью могут увеличить риск неправильной настройки, что может привести к нарушению работы службы. Примеры элементов управления безопасностью, которые могут привести к неправильной настройке, включают правила сетевого трафика, поставщики удостоверений, исключения сканирования вирусов, а также назначения управления доступом на основе ролей или атрибутов.

  • Увеличение сегментации обычно приводит к более сложной среде с точки зрения ресурсов и сетевой топологии и доступа операторов. Эта сложность может привести к большему объему сбоев в процессах и выполнении рабочей нагрузки.

  • Средства безопасности рабочей нагрузки охватывают множество уровней архитектуры, операций и среды выполнения рабочей нагрузки. Эти средства могут повлиять на устойчивость, доступность и планирование емкости. Невнимание к ограничениям средств может привести к инцидентам, связанным с надежностью, таким как исчерпание портов SNAT в брандмауэре исходящего трафика.

Компромисс: повышение критически важных зависимостей. Компонент надежности рекомендует свести к минимуму критически важные зависимости. Рабочая нагрузка, которая сводит к минимуму критически важные зависимости, особенно внешние, имеет больше контроля над точками сбоя.

Для компонента безопасности требуется рабочая нагрузка для явной проверки удостоверений и действий. Проверка происходит с помощью критически важных зависимостей от ключевых компонентов безопасности. Если эти компоненты недоступны или если они не работают, проверка может не завершиться. Этот сбой переводит рабочую нагрузку в ухудшенное состояние. Ниже приведены некоторые примеры таких критически важных зависимостей с одной точкой сбоя:

  • Брандмауэры для входящего и исходящего трафиков.
  • Списки отзыва сертификатов.
  • Точное системное время, предоставленное сервером протокола NTP.
  • Поставщики удостоверений, такие как Microsoft Entra ID.

Компромисс: повышенная сложность аварийного восстановления. Рабочая нагрузка должна надежно восстановиться после всех форм аварии.

  • Средства управления безопасностью могут расширить цели времени восстановления. Добавленное время может прийти из шагов, необходимых для расшифровки резервных копий или от задержек в рабочем доступе во время проверки надежности сайта.

  • Сами средства управления безопасностью, такие как хранилища секретов и защита от атак DDoS, должны быть частью плана аварийного восстановления рабочей среды и проверены на практике в ходе тренировочных упражнений по восстановлению.

  • Требования к безопасности или соответствию требованиям могут ограничивать размещение данных или управление доступом для резервных копий, что еще больше усложняет восстановление путем сегментирования даже автономных реплик.

Компромисс: повышение скорости изменения. Рабочая нагрузка, которая испытывает изменение среды выполнения, подвергается большему риску влияния на надежность из-за этого изменения.

  • Более строгие политики исправлений и обновлений приводят к большему изменению рабочей среды рабочей нагрузки. Это изменение происходит из таких источников:

    • Код приложения выпускается чаще из-за обновлений библиотек или обновлений базовых образов контейнеров
    • Увеличение регулярного исправления операционных систем
    • Сохранение актуальности в версиях приложений или платформ данных
    • Применение исправлений поставщика к программному обеспечению в среде
  • Смена ключей, учетных данных субъекта-службы и сертификатов может привести к временным сбоям во время перехода, так как клиенты начинают использовать новое значение.

Компромиссы безопасности с оптимизацией затрат

Компромисс: дополнительная инфраструктура. Одним из подходов к оптимизации затрат является поиск способов сокращения разнообразия и количества компонентов и увеличения плотности.

Некоторые компоненты рабочей нагрузки и решения по проектированию существуют только для защиты безопасности (конфиденциальности, целостности и доступности) систем и данных. Эти компоненты повышают безопасность среды, но повышают затраты. Они также должны быть подвержены оптимизации затрат. Примеры ресурсов, ориентированных на безопасность, или затраты на лицензирование:

  • Сегментация вычислений, сетей и данных для изоляции, что иногда предполагает запуск отдельных экземпляров, для предотвращения совместного размещения и снижения плотности.
  • Специализированные средства наблюдения, такие как SIEM, которые могут выполнять агрегирование и аналитику угроз.
  • Специализированные сетевые устройства или возможности, такие как брандмауэры или распределенная защита от отказа в обслуживании.
  • Средства классификации данных, необходимые для записи меток конфиденциальности и типов информации.
  • Специализированное хранилище или вычислительные возможности для поддержки шифрования данных в состоянии покоя и при передаче, например HSM или функция конфиденциальных вычислений.
  • Выделенные среды тестирования и средства тестирования для проверки функционирования элементов управления безопасностью и выявления ранее неокрытых пробелов в охвате.

Перечисленные элементы часто существуют вне производственных сред, в предпроизводственных и ресурсах восстановления после аварий.

Компромисс: увеличение нагрузки на инфраструктуру. Основное положение оптимизации затрат подразумевает снижение спроса на ресурсы, с целью использования более дешевых SKU, уменьшения количества экземпляров или уменьшения потребления.

  • Номера SKU уровня "Премиум": некоторые меры безопасности в облачных службах и службах поставщиков, которые могут повысить уровень безопасности рабочей нагрузки, могут находиться только в более дорогих номерах SKU или уровнях.

  • Хранилище журналов: высокая степень точности данных мониторинга безопасности и аудита, обеспечивающая широкий охват, приводит к увеличению затрат на хранение. Данные о наблюдаемости безопасности также обычно хранятся дольше, чем операционные аналитические данные.

  • Увеличение потребления ресурсов. Элементы управления безопасностью внутри процесса и на узле добавляют спрос на конкурирующие ресурсы, такие как циклы ЦП, память, операции ввода-вывода диска и пропускная способность сети. Шифрование при передаче и при хранении также добавляет спрос. Оба могут требовать увеличения количества экземпляров или более крупных SKU.

Компромисс: увеличение затрат на процессы и операционные расходы. Затраты на персонал являются частью общей стоимости владения и учитываются в окупаемости инвестиций рабочей нагрузки. Оптимизация этих затрат является рекомендацией столпа "Оптимизация затрат".

  • Комплексное и строгое управление исправлениями увеличивает время и деньги, потраченные на рутинные задачи, и обычно требует инвестиций в подготовку к своевременному устранению уязвимостей нулевого дня.

  • Более строгие средства управления доступом снижают риск несанкционированного доступа, но усложняют управление пользователями и рабочий доступ.

  • Обучение и осведомленность о средствах безопасности и процессах потребляют время сотрудника и влечет за собой затраты на материалы, инструкторы и учебные среды.

  • Соответствие нормативным требованиям может потребовать дополнительных инвестиций в аудит и отчеты о соответствии.

  • Планирование и проведение учений для готовности к реагированию на случай инцидентов безопасности требует времени.

  • Обычные и нерегламентированные процессы безопасности, такие как смена ключей или сертификатов, занимают время разработки и выполнения.

  • Проверка безопасности в SDLC обычно требует специализированных средств. Возможно, вашей организации потребуется платить за эти средства, а исправление результатов также занимает время.

  • Нанимать сторонних специалистов для выполнения тестирования безопасности, включая тестирование на проникновение, несет расходы.

Компромиссы безопасности с операционным превосходством

Компромисс: осложнения в наблюдаемости и работоспособности. Операционная эффективность требует, чтобы архитектура была обслуживаемой и наблюдаемой. Наиболее доступные для обслуживания архитектуры прозрачны для всех участников.

  • Преимущества безопасности заключаются в ведении высокоточного журналирования, которое поддерживает оповещение о базовом отклонении и реагирование на инциденты. Том может вытеснит аналитические сведения, предназначенные для надежности или производительности.

  • Маскирование данных скрывает сегменты журналов и даже большие объемы табличных данных для защиты конфиденциальности. Команда должна оценить, как этот разрыв наблюдаемости влияет на оповещения и препятствует реагированию на инциденты.

  • Строгое сегментирование ресурсов усложняет наблюдаемость. Требуется дополнительная распределенная трассировка и корреляция между службами для отслеживания трассировок потока. Сегментация также увеличивает область вычислений и данных для защиты.

  • Некоторые средства управления безопасностью изначально препятствуют доступу и могут замедлить экстренный доступ операторов во время реагирования на инциденты. Планы реагирования на инциденты нуждаются в дополнительном планировании и детализации, чтобы оставаться эффективным.

Компромисс: снижение гибкости и повышение сложности. Группы рабочей нагрузки измеряют скорость, чтобы они могли улучшить качество, частоту и эффективность действий доставки с течением времени. Сложность рабочей нагрузки влияет на усилия и риски, связанные с операциями.

  • Более строгие политики управления изменениями и утверждения снижают риск внедрения уязвимостей безопасности, но они замедляют разработку и безопасное развертывание новых функций. В то же время потребность в доставке обновлений системы безопасности и исправлений требует более частых развертываний. Кроме того, политики одобрения, осуществляемые вручную человеком в операционных процессах, могут затруднить автоматизацию этих процессов.

  • Тестирование безопасности выявляет проблемы, которым команда должна уделять приоритетное внимание, что может блокировать запланированные работы.

  • Для выполнения регулярных, нерегламентированных и чрезвычайных процессов может потребоваться ведение журнала аудита для соответствия требованиям. Система логирования усиливает надежность выполнений процессов.

  • Группы рабочей нагрузки могут увеличить сложность действий по управлению удостоверениями, так как увеличивается степень детализации определений ролей и назначений.

  • Рутинные задачи, связанные с безопасностью, такие как управление сертификатами, увеличивают количество процессов для автоматизации.

Торг/Компромисс: повышение координации усилий. Команда, которая сведёт к минимуму внешние точки контакта, и уменьшит обзор, может более эффективно контролировать свои операции и временные рамки.

  • По мере увеличения требований к внешнему соответствию от крупной организации или внешних организаций сложность достижения и подтверждения соответствия аудиторам также увеличивается.

  • Для обеспечения безопасности требуются специализированные навыки, которыми обычно не обладают команды, работающие с нагрузкой. Для обеспечения этих навыков от более крупной организации или от третьих сторон требуется координация усилий, доступа и ответственности.

  • Планы коммуникации для раскрытия информации об ответственном нарушении часто требуются в соответствии с требованиями или организационными мандатами и должны учитываться в координации безопасности.

Компромиссы безопасности с эффективностью производительности

Компромисс: увеличение задержки и накладных расходов. Производительность рабочей нагрузки снижает задержку и затраты.

  • Элементы управления безопасностью, такие как брандмауэры и фильтры для обеспечения безопасности контента, размещены в потоках, которые они защищают. Таким образом, эти потоки подвергаются дополнительной проверке, что добавляет задержку в запросы. В высокоразвязанных архитектурах проверки могут выполняться несколько раз для одной транзакции пользователя или потока данных.

  • Элементы управления удостоверениями требуют явной проверки каждого вызова управляемого компонента. Проверка использует циклы вычислений и может потребовать обхода сети для авторизации.

  • Шифрование и расшифровка используют циклы вычислений, что увеличивает время и ресурсы, потребляемые этими потоками. Увеличение обычно коррелирует с сложностью алгоритма и созданием векторов инициализации высокой энтропии (IV).

  • Для потоковой передачи этих журналов используется больше системных ресурсов и пропускной способности сети.

  • Сегментация ресурсов часто вводит сетевые переходы в архитектуре загрузки.

Компромисс: увеличение вероятности неправильной настройки. Надежное выполнение целевых показателей производительности зависит от прогнозируемых реализаций проектирования.

Неправильно настроенные или перегруженные элементы управления безопасностью могут повредить производительность из-за неэффективной конфигурации. Примеры конфигураций элементов управления безопасностью, которые могут повлиять на производительность:

  • Порядок правил брандмауэра, сложность и объем (гранулярность).

  • Не удалось исключить файлы ключей из мониторов целостности файлов или сканеров вирусов. Игнорирование этого шага может привести к возникновению конфликтов блокировки.

  • Брандмауэры веб-приложений выполняют глубокую проверку пакетов для языков или платформ, которые не относятся к защищенным компонентам.

Изучите компромиссы для других столпов: