Modelli di progettazione cloud che supportano la sicurezza
Quando si progettano architetture del carico di lavoro, è consigliabile usare modelli di settore che affrontano le sfide comuni. I modelli consentono di effettuare compromessi intenzionali all'interno dei carichi di lavoro e ottimizzare per il risultato desiderato. Possono anche contribuire a mitigare i rischi che provengono da problemi specifici, che possono influire sull'affidabilità, sulle prestazioni, sui costi e sulle operazioni. Tali rischi potrebbero essere indicativi della mancanza di garanzie di sicurezza, se non è in corso un'esecuzione automatica possono rappresentare rischi significativi per l'azienda. Questi modelli sono supportati dall'esperienza reale, sono progettati per la scalabilità cloud e i modelli operativi e sono intrinsecamente fornitori agnostici. L'uso di modelli noti come un modo per standardizzare la progettazione del carico di lavoro è un componente dell'eccellenza operativa.
Molti modelli di progettazione supportano direttamente uno o più pilastri dell'architettura. Modelli di progettazione che supportano i concetti di priorità del pilastro sicurezza, ad esempio segmentazione e isolamento, autorizzazione avanzata, sicurezza uniforme delle applicazioni e protocolli moderni.
Modelli di progettazione per la sicurezza
La tabella seguente riepiloga i modelli di progettazione cloud che supportano gli obiettivi della sicurezza.
Modello | Summary |
---|---|
Ambasciata | Incapsula e gestisce le comunicazioni di rete eseguendo l'offload di attività di taglio incrociato correlate alla comunicazione di rete. I servizi helper risultanti avviano la comunicazione per conto del client. Questo punto di mediazione offre l'opportunità di aumentare la sicurezza sulle comunicazioni di rete. |
Back-end per front-end | Consente di individualizzare il livello di servizio di un carico di lavoro creando servizi separati esclusivi di un'interfaccia front-end specifica. A causa di questa separazione, la sicurezza e l'autorizzazione nel livello di servizio che supportano un client possono essere personalizzate per la funzionalità fornita dal client, riducendo potenzialmente l'area di superficie di un'API e lo spostamento laterale tra diversi back-end che potrebbero esporre funzionalità diverse. |
A scomparti | Introduce la segmentazione intenzionale e completa tra i componenti per isolare il raggio di esplosione di malfunzionamenti. È anche possibile usare questa strategia per contenere eventi imprevisti di sicurezza alla testa compromessa. |
Scontrino | Separa i dati dal flusso di messaggistica, fornendo un modo per recuperare separatamente i dati correlati a un messaggio. Questo modello supporta la conservazione dei dati sensibili dal corpo dei messaggi, mantenendolo gestito in un archivio dati protetto. Questa configurazione consente di stabilire un'autorizzazione più restrittiva per supportare l'accesso ai dati sensibili dai servizi previsti per l'uso dei dati, ma rimuovere visibilità dai servizi ausiliari come soluzioni di monitoraggio della coda. |
Identità federativa | Delega l'attendibilità a un provider di identità esterno al carico di lavoro per la gestione degli utenti e la fornitura dell'autenticazione per l'applicazione. Esternando la gestione degli utenti e l'autenticazione, è possibile ottenere funzionalità avanzate per il rilevamento e la prevenzione delle minacce basate su identità senza dover implementare queste funzionalità nel carico di lavoro. I provider di identità esterni usano protocolli di autenticazione interoperabili moderni. |
Gatekeeper | Offload dell'elaborazione delle richieste specificamente per l'applicazione del controllo di sicurezza e accesso prima e dopo l'inoltro della richiesta a un nodo back-end. L'aggiunta di un gateway al flusso di richiesta consente di centralizzare le funzionalità di sicurezza, ad esempio firewall applicazioni Web, protezione DDoS, rilevamento bot, manipolazione delle richieste, avvio dell'autenticazione e controlli di autorizzazione. |
Aggregazione gateway | Semplifica le interazioni client con il carico di lavoro aggregando chiamate a più servizi back-end in una singola richiesta. Questa topologia riduce spesso il numero di punti di tocco che un client ha con un sistema, che riduce l'area di superficie pubblica e i punti di autenticazione. I back-end aggregati possono rimanere completamente isolati dalla rete dai client. |
Offload del gateway | Offload dell'elaborazione delle richieste in un dispositivo gateway prima e dopo l'inoltro della richiesta a un nodo back-end. L'aggiunta di un gateway al flusso di richiesta consente di centralizzare le funzionalità di sicurezza, ad esempio firewall applicazioni Web e connessioni TLS con i client. Qualsiasi funzionalità offload fornita dalla piattaforma offre già una sicurezza avanzata. |
Autore/Sottoscrittore | Decodifica i componenti in un'architettura sostituendo la comunicazione diretta da client a servizio con comunicazione tramite un broker di messaggi intermedi o un bus di eventi. Questa sostituzione introduce un importante limite di segmentazione di sicurezza che consente ai sottoscrittori della coda di essere isolati dalla rete dal server di pubblicazione. |
Quarantena | Assicura che gli asset esterni soddisfino un livello di qualità concordato dal team prima di essere autorizzati a usarli nel carico di lavoro. Questo controllo funge da prima convalida della sicurezza degli artefatti esterni. La convalida in un artefatto viene eseguita in un ambiente segmentato prima che venga usato all'interno del ciclo di vita di sviluppo sicuro (SDL). |
Collaterale | Estende la funzionalità di un'applicazione incapsulando attività nonprimari o incrociate in un processo complementare presente insieme all'applicazione principale. Incapsulando queste attività e distribuendole fuori processo, è possibile ridurre l'area di superficie dei processi sensibili solo al codice necessario per eseguire l'attività. È anche possibile usare sidecar per aggiungere controlli di sicurezza incrociati a un componente dell'applicazione non progettato in modo nativo con tale funzionalità. |
Limitazione | Impone limiti alla velocità effettiva o alla velocità effettiva delle richieste in ingresso a una risorsa o a un componente. È possibile progettare i limiti per impedire l'esaurimento delle risorse che potrebbe causare l'abuso automatizzato del sistema. |
Passepartout | Concede l'accesso limitato alla sicurezza a una risorsa senza usare una risorsa intermediaria per delegare l'accesso. Questo modello consente a un client di accedere direttamente a una risorsa senza bisogno di credenziali permanenti o di lunga durata. Tutte le richieste di accesso iniziano con una transazione controllabile. L'accesso concesso è quindi limitato sia nell'ambito che nella durata. Questo modello semplifica anche la revoca dell'accesso concesso. |
Passaggi successivi
Esaminare i modelli di progettazione cloud che supportano gli altri pilastri di Azure Well-Architected Framework: