Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность обеспечивает конфиденциальность, целостность и гарантии доступности для систем рабочей нагрузки и данных пользователей. Средства управления безопасностью необходимы для всех уровней нагрузки, а также компонентов разработки и эксплуатационных компонентов программного обеспечения, которые её поддерживают. Команды, ответственные за рабочие нагрузки, практически никогда не могут идти на компромисс в управлении безопасностью.
При разработке рабочей нагрузки следует учитывать, как решения на основе принципов проектирования безопасности и рекомендаций в контрольном списке проверки проектирования для безопасности могут повлиять на цели и оптимизацию других основных компонентов. Некоторые решения по обеспечению безопасности приносят пользу одному столпу, но представляют собой компромиссы для другого. В этой статье описываются примеры компромиссов, с которыми может столкнуться команда рабочей нагрузки при установке гарантий безопасности.
Компромиссы безопасности с надежностью
Компромисс: повышенная сложность. Компонент надежности определяет простоту и рекомендует свести к минимуму точки сбоя.
Некоторые элементы управления безопасностью могут увеличить риск неправильной настройки, что может привести к нарушению работы службы. Примеры элементов управления безопасностью, которые могут привести к неправильной настройке, включают правила сетевого трафика, поставщики удостоверений, исключения сканирования вирусов, а также назначения управления доступом на основе ролей или атрибутов.
Увеличение сегментации обычно приводит к более сложной среде с точки зрения ресурсов и сетевой топологии и доступа операторов. Эта сложность может привести к большему объему сбоев в процессах и выполнении рабочей нагрузки.
Средства безопасности рабочей нагрузки охватывают множество уровней архитектуры, операций и среды выполнения рабочей нагрузки. Эти средства могут повлиять на устойчивость, доступность и планирование емкости. Невнимание к ограничениям средств может привести к инцидентам, связанным с надежностью, таким как исчерпание портов SNAT в брандмауэре исходящего трафика.
Компромисс: повышение критически важных зависимостей. Компонент надежности рекомендует свести к минимуму критически важные зависимости. Рабочая нагрузка, которая сводит к минимуму критически важные зависимости, особенно внешние, имеет больше контроля над точками сбоя.
Для компонента безопасности требуется рабочая нагрузка для явной проверки удостоверений и действий. Проверка происходит с помощью критически важных зависимостей от ключевых компонентов безопасности. Если эти компоненты недоступны или если они не работают, проверка может не завершиться. Этот сбой переводит рабочую нагрузку в ухудшенное состояние. Ниже приведены некоторые примеры таких критически важных зависимостей с одной точкой сбоя:
- Брандмауэры для входящего и исходящего трафиков.
- Списки отзыва сертификатов.
- Точное системное время, предоставленное сервером протокола NTP.
- Поставщики удостоверений, такие как Microsoft Entra ID.
Компромисс: повышенная сложность аварийного восстановления. Рабочая нагрузка должна надежно восстановиться после всех форм аварии.
Средства управления безопасностью могут расширить цели времени восстановления. Добавленное время может прийти из шагов, необходимых для расшифровки резервных копий или от задержек в рабочем доступе во время проверки надежности сайта.
Сами средства управления безопасностью, такие как хранилища секретов и защита от атак DDoS, должны быть частью плана аварийного восстановления рабочей среды и проверены на практике в ходе тренировочных упражнений по восстановлению.
Требования к безопасности или соответствию требованиям могут ограничивать размещение данных или управление доступом для резервных копий, что еще больше усложняет восстановление путем сегментирования даже автономных реплик.
Компромисс: повышение скорости изменения. Рабочая нагрузка, которая испытывает изменение среды выполнения, подвергается большему риску влияния на надежность из-за этого изменения.
Более строгие политики исправлений и обновлений приводят к большему изменению рабочей среды рабочей нагрузки. Это изменение происходит из таких источников:
- Код приложения выпускается чаще из-за обновлений библиотек или обновлений базовых образов контейнеров
- Увеличение регулярного исправления операционных систем
- Сохранение актуальности в версиях приложений или платформ данных
- Применение исправлений поставщика к программному обеспечению в среде
Смена ключей, учетных данных субъекта-службы и сертификатов может привести к временным сбоям во время перехода, так как клиенты начинают использовать новое значение.
Компромиссы безопасности с оптимизацией затрат
Компромисс: дополнительная инфраструктура. Одним из подходов к оптимизации затрат является поиск способов сокращения разнообразия и количества компонентов и увеличения плотности.
Некоторые компоненты рабочей нагрузки и решения по проектированию существуют только для защиты безопасности (конфиденциальности, целостности и доступности) систем и данных. Эти компоненты повышают безопасность среды, но повышают затраты. Они также должны быть подвержены оптимизации затрат. Примеры ресурсов, ориентированных на безопасность, или затраты на лицензирование:
- Сегментация вычислений, сетей и данных для изоляции, что иногда предполагает запуск отдельных экземпляров, для предотвращения совместного размещения и снижения плотности.
- Специализированные средства наблюдения, такие как SIEM, которые могут выполнять агрегирование и аналитику угроз.
- Специализированные сетевые устройства или возможности, такие как брандмауэры или распределенная защита от отказа в обслуживании.
- Средства классификации данных, необходимые для записи меток конфиденциальности и типов информации.
- Специализированное хранилище или вычислительные возможности для поддержки шифрования данных в состоянии покоя и при передаче, например HSM или функция конфиденциальных вычислений.
- Выделенные среды тестирования и средства тестирования для проверки функционирования элементов управления безопасностью и выявления ранее неокрытых пробелов в охвате.
Перечисленные элементы часто существуют вне производственных сред, в предпроизводственных и ресурсах восстановления после аварий.
Компромисс: увеличение нагрузки на инфраструктуру. Основное положение оптимизации затрат подразумевает снижение спроса на ресурсы, с целью использования более дешевых SKU, уменьшения количества экземпляров или уменьшения потребления.
Номера SKU уровня "Премиум": некоторые меры безопасности в облачных службах и службах поставщиков, которые могут повысить уровень безопасности рабочей нагрузки, могут находиться только в более дорогих номерах SKU или уровнях.
Хранилище журналов: высокая степень точности данных мониторинга безопасности и аудита, обеспечивающая широкий охват, приводит к увеличению затрат на хранение. Данные о наблюдаемости безопасности также обычно хранятся дольше, чем операционные аналитические данные.
Увеличение потребления ресурсов. Элементы управления безопасностью внутри процесса и на узле добавляют спрос на конкурирующие ресурсы, такие как циклы ЦП, память, операции ввода-вывода диска и пропускная способность сети. Шифрование при передаче и при хранении также добавляет спрос. Оба могут требовать увеличения количества экземпляров или более крупных SKU.
Компромисс: увеличение затрат на процессы и операционные расходы. Затраты на персонал являются частью общей стоимости владения и учитываются в окупаемости инвестиций рабочей нагрузки. Оптимизация этих затрат является рекомендацией столпа "Оптимизация затрат".
Комплексное и строгое управление исправлениями увеличивает время и деньги, потраченные на рутинные задачи, и обычно требует инвестиций в подготовку к своевременному устранению уязвимостей нулевого дня.
Более строгие средства управления доступом снижают риск несанкционированного доступа, но усложняют управление пользователями и рабочий доступ.
Обучение и осведомленность о средствах безопасности и процессах потребляют время сотрудника и влечет за собой затраты на материалы, инструкторы и учебные среды.
Соответствие нормативным требованиям может потребовать дополнительных инвестиций в аудит и отчеты о соответствии.
Планирование и проведение учений для готовности к реагированию на случай инцидентов безопасности требует времени.
Обычные и нерегламентированные процессы безопасности, такие как смена ключей или сертификатов, занимают время разработки и выполнения.
Проверка безопасности в SDLC обычно требует специализированных средств. Возможно, вашей организации потребуется платить за эти средства, а исправление результатов также занимает время.
Нанимать сторонних специалистов для выполнения тестирования безопасности, включая тестирование на проникновение, несет расходы.
Компромиссы безопасности с операционным превосходством
Компромисс: осложнения в наблюдаемости и работоспособности. Операционная эффективность требует, чтобы архитектура была обслуживаемой и наблюдаемой. Наиболее доступные для обслуживания архитектуры прозрачны для всех участников.
Преимущества безопасности заключаются в ведении высокоточного журналирования, которое поддерживает оповещение о базовом отклонении и реагирование на инциденты. Том может вытеснит аналитические сведения, предназначенные для надежности или производительности.
Маскирование данных скрывает сегменты журналов и даже большие объемы табличных данных для защиты конфиденциальности. Команда должна оценить, как этот разрыв наблюдаемости влияет на оповещения и препятствует реагированию на инциденты.
Строгое сегментирование ресурсов усложняет наблюдаемость. Требуется дополнительная распределенная трассировка и корреляция между службами для отслеживания трассировок потока. Сегментация также увеличивает область вычислений и данных для защиты.
Некоторые средства управления безопасностью изначально препятствуют доступу и могут замедлить экстренный доступ операторов во время реагирования на инциденты. Планы реагирования на инциденты нуждаются в дополнительном планировании и детализации, чтобы оставаться эффективным.
Компромисс: снижение гибкости и повышение сложности. Группы рабочей нагрузки измеряют скорость, чтобы они могли улучшить качество, частоту и эффективность действий доставки с течением времени. Сложность рабочей нагрузки влияет на усилия и риски, связанные с операциями.
Более строгие политики управления изменениями и утверждения снижают риск внедрения уязвимостей безопасности, но они замедляют разработку и безопасное развертывание новых функций. В то же время потребность в доставке обновлений системы безопасности и исправлений требует более частых развертываний. Кроме того, политики одобрения, осуществляемые вручную человеком в операционных процессах, могут затруднить автоматизацию этих процессов.
Тестирование безопасности выявляет проблемы, которым команда должна уделять приоритетное внимание, что может блокировать запланированные работы.
Для выполнения регулярных, нерегламентированных и чрезвычайных процессов может потребоваться ведение журнала аудита для соответствия требованиям. Система логирования усиливает надежность выполнений процессов.
Группы рабочей нагрузки могут увеличить сложность действий по управлению удостоверениями, так как увеличивается степень детализации определений ролей и назначений.
Рутинные задачи, связанные с безопасностью, такие как управление сертификатами, увеличивают количество процессов для автоматизации.
Торг/Компромисс: повышение координации усилий. Команда, которая сведёт к минимуму внешние точки контакта, и уменьшит обзор, может более эффективно контролировать свои операции и временные рамки.
По мере увеличения требований к внешнему соответствию от крупной организации или внешних организаций сложность достижения и подтверждения соответствия аудиторам также увеличивается.
Для обеспечения безопасности требуются специализированные навыки, которыми обычно не обладают команды, работающие с нагрузкой. Для обеспечения этих навыков от более крупной организации или от третьих сторон требуется координация усилий, доступа и ответственности.
Планы коммуникации для раскрытия информации об ответственном нарушении часто требуются в соответствии с требованиями или организационными мандатами и должны учитываться в координации безопасности.
Компромиссы безопасности с эффективностью производительности
Компромисс: увеличение задержки и накладных расходов. Производительность рабочей нагрузки снижает задержку и затраты.
Элементы управления безопасностью, такие как брандмауэры и фильтры для обеспечения безопасности контента, размещены в потоках, которые они защищают. Таким образом, эти потоки подвергаются дополнительной проверке, что добавляет задержку в запросы. В высокоразвязанных архитектурах проверки могут выполняться несколько раз для одной транзакции пользователя или потока данных.
Элементы управления удостоверениями требуют явной проверки каждого вызова управляемого компонента. Проверка использует циклы вычислений и может потребовать обхода сети для авторизации.
Шифрование и расшифровка используют циклы вычислений, что увеличивает время и ресурсы, потребляемые этими потоками. Увеличение обычно коррелирует с сложностью алгоритма и созданием векторов инициализации высокой энтропии (IV).
Для потоковой передачи этих журналов используется больше системных ресурсов и пропускной способности сети.
Сегментация ресурсов часто вводит сетевые переходы в архитектуре загрузки.
Компромисс: увеличение вероятности неправильной настройки. Надежное выполнение целевых показателей производительности зависит от прогнозируемых реализаций проектирования.
Неправильно настроенные или перегруженные элементы управления безопасностью могут повредить производительность из-за неэффективной конфигурации. Примеры конфигураций элементов управления безопасностью, которые могут повлиять на производительность:
Порядок правил брандмауэра, сложность и объем (гранулярность).
Не удалось исключить файлы ключей из мониторов целостности файлов или сканеров вирусов. Игнорирование этого шага может привести к возникновению конфликтов блокировки.
Брандмауэры веб-приложений выполняют глубокую проверку пакетов для языков или платформ, которые не относятся к защищенным компонентам.
Дополнительные ссылки
Изучите компромиссы для других столпов: