Compromessi per la sicurezza

  • Articolo

La sicurezza offre garanzie di riservatezza, integrità e disponibilità del sistema di un carico di lavoro e dei dati degli utenti. I controlli di sicurezza sono necessari per il carico di lavoro e per lo sviluppo software e i componenti operativi del sistema. Quando i team progettano e gestiscono un carico di lavoro, non possono quasi mai compromettere i controlli di sicurezza.

Durante la fase di progettazione di un carico di lavoro, è importante considerare come le decisioni basate sui principi di progettazione della sicurezza e le raccomandazioni nell'elenco di controllo di revisione della progettazione per la sicurezza potrebbero influenzare gli obiettivi e le ottimizzazioni di altri pilastri. Alcune decisioni sulla sicurezza potrebbero trarre vantaggio da alcuni pilastri, ma costituiscono compromessi per altri. Questo articolo descrive i compromessi di esempio che un team del carico di lavoro potrebbe riscontrare durante la definizione di garanzie di sicurezza.

Compromessi per la sicurezza con l'affidabilità

Compromesso: maggiore complessità. Il pilastro Affidabilità assegna priorità alla semplicità e consiglia di ridurre al minimo i punti di errore.

  • Alcuni controlli di sicurezza possono aumentare il rischio di errori di configurazione, che possono causare interruzioni del servizio. Esempi di controlli di sicurezza che possono introdurre errori di configurazione includono regole del traffico di rete, provider di identità, esclusioni di analisi dei virus e assegnazioni di controllo degli accessi in base al ruolo o basate su attributi.

  • L'aumento della segmentazione comporta in genere un ambiente più complesso in termini di topologia di risorsa e topologia di rete e accesso degli operatori. Questa complessità può causare più punti di errore nei processi e nell'esecuzione del carico di lavoro.

  • Gli strumenti di sicurezza del carico di lavoro vengono spesso incorporati in molti livelli dell'architettura, delle operazioni e dei requisiti di runtime di un carico di lavoro. Questi strumenti potrebbero influire sulla resilienza, sulla disponibilità e sulla pianificazione della capacità. L'impossibilità di tenere conto delle limitazioni negli strumenti può causare un evento di affidabilità, ad esempio l'esaurimento delle porte SNAT in un firewall in uscita.

Compromesso: aumento delle dipendenze critiche. Il pilastro Affidabilità consiglia di ridurre al minimo le dipendenze critiche. Un carico di lavoro che riduce al minimo le dipendenze critiche, in particolare quelle esterne, ha un maggiore controllo sui punti di errore.

Il pilastro Sicurezza richiede un carico di lavoro per verificare in modo esplicito le identità e le azioni. La verifica avviene tramite dipendenze critiche sui componenti di sicurezza principali. Se tali componenti non sono disponibili o se non funzionano correttamente, la verifica potrebbe non essere completata. Questo errore mette il carico di lavoro in uno stato danneggiato. Di seguito sono riportati alcuni esempi di queste dipendenze critiche a singolo punto di errore:

  • Firewall in ingresso e in uscita.
  • Elenchi di revoche di certificati.
  • Tempo di sistema accurato fornito da un server NTP (Network Time Protocol).
  • Provider di identità, ad esempio Microsoft Entra ID.

Compromesso: maggiore complessità del ripristino di emergenza. Un carico di lavoro deve essere ripristinato in modo affidabile da tutte le forme di emergenza.

  • I controlli di sicurezza possono influire sugli obiettivi del tempo di ripristino. Questo effetto può essere causato dai passaggi aggiuntivi necessari per decrittografare i dati di cui è stato eseguito il backup o da ritardi di accesso operativi creati dalla valutazione dell'affidabilità del sito.

  • I controlli di sicurezza stessi, ad esempio insiemi di credenziali segrete e il relativo contenuto o protezione DDoS perimetrale, devono far parte del piano di ripristino di emergenza del carico di lavoro e devono essere convalidati tramite esercitazioni sul ripristino.

  • I requisiti di sicurezza o conformità possono limitare le opzioni di residenza dei dati o le restrizioni di controllo di accesso per i backup, potenzialmente complicando ulteriormente il ripristino segmentando anche le repliche offline.

Compromesso: aumento del tasso di cambiamento. Un carico di lavoro che sperimenta la modifica del runtime viene esposto a un maggiore rischio di impatto sull'affidabilità a causa di tale modifica.

  • L'applicazione di patch e i criteri di aggiornamento più rigorosi comportano altre modifiche nell'ambiente di produzione di un carico di lavoro. Questa modifica deriva da origini simili alle seguenti:

    • Codice dell'applicazione rilasciato più frequentemente a causa di aggiornamenti alle librerie o aggiornamenti alle immagini del contenitore di base
    • Aumento dell'applicazione di patch di routine dei sistemi operativi
    • Rimanere aggiornati con applicazioni o piattaforme dati con controllo delle versioni
    • Applicazione di patch fornitore al software nell'ambiente

  • Le attività di rotazione per chiavi, credenziali dell'entità servizio e certificati aumentano il rischio di problemi temporanei a causa della tempistica della rotazione e dei client che usano il nuovo valore.

Compromessi di sicurezza con l'ottimizzazione dei costi

Compromesso: infrastruttura aggiuntiva. Un approccio all'ottimizzazione dei costi di un carico di lavoro consiste nell'cercare modi per ridurre la diversità e il numero di componenti e aumentare la densità.

Alcuni componenti del carico di lavoro o decisioni di progettazione esistono solo per proteggere la sicurezza (riservatezza, integrità e disponibilità) di sistemi e dati. Questi componenti, anche se migliorano la sicurezza dell'ambiente, aumentano anche i costi. Devono anche essere soggetti all'ottimizzazione dei costi. Alcune origini di esempio per queste risorse aggiuntive incentrate sulla sicurezza o i costi di licenza sono:

  • Calcolo, rete e segmentazione dei dati per l'isolamento, che a volte comporta l'esecuzione di istanze separate, impedendo la condivisione della posizione e riducendo la densità.
  • Strumenti di osservabilità specializzati, ad esempio un siem in grado di eseguire l'aggregazione e l'intelligence sulle minacce.
  • Appliance o funzionalità di rete specializzate, ad esempio firewall o prevenzione denial of service distribuita.
  • Strumenti di classificazione dei dati necessari per l'acquisizione di etichette di riservatezza e tipo di informazioni.
  • Funzionalità di archiviazione o calcolo specializzate per supportare la crittografia dei dati inattivi e in transito, ad esempio un modulo di protezione hardware o una funzionalità di confidential compute.
  • Ambienti di test dedicati e strumenti di test per verificare che i controlli di sicurezza funzionino e per individuare lacune rilevate in precedenza nella copertura.

Gli elementi precedenti spesso esistono anche all'esterno degli ambienti di produzione, nelle risorse di preproduzione e ripristino di emergenza.

Compromesso: aumento della domanda sull'infrastruttura. Il pilastro Ottimizzazione costi assegna priorità alla riduzione della domanda sulle risorse per consentire l'uso di SKU più economici, meno istanze o un consumo ridotto.

  • SKU Premium: alcune misure di sicurezza nei servizi cloud e fornitori che possono trarre vantaggio dal comportamento di sicurezza di un carico di lavoro potrebbero essere trovate solo in SKU o livelli più costosi.

  • Archiviazione log: dati di controllo e monitoraggio della sicurezza ad alta fedeltà che offrono un'ampia copertura aumentano i costi di archiviazione. I dati di osservabilità della sicurezza vengono spesso archiviati anche per periodi di tempo più lunghi rispetto a quelli in genere necessari per le informazioni operative.

  • Aumento del consumo di risorse: i controlli di sicurezza in-process e on-host possono introdurre una domanda aggiuntiva per le risorse. La crittografia dei dati inattivi e in transito può anche aumentare la domanda. Entrambi gli scenari possono richiedere conteggi di istanze superiori o SKU di dimensioni maggiori.

Compromesso: aumento dei costi operativi e dei processi. I costi del processo del personale fanno parte del costo totale complessivo di proprietà e vengono inseriti nel ritorno di un carico di lavoro sugli investimenti. L'ottimizzazione di questi costi è una raccomandazione del pilastro Ottimizzazione costi.

  • Un regime di gestione delle patch più completo e rigoroso comporta un aumento del tempo e del denaro speso per queste attività di routine. Questo aumento è spesso associato all'aspettativa di investire nella preparazione per l'applicazione di patch ad hoc per gli exploit zero-day.

  • Controlli di accesso più rigorosi per ridurre il rischio di accesso non autorizzato possono portare a una gestione degli utenti più complessa e all'accesso operativo.

  • La formazione e la consapevolezza per gli strumenti e i processi di sicurezza richiedono tempo ai dipendenti e comportano anche costi per materiali, istruttori ed eventualmente ambienti di formazione.

  • La conformità alle normative potrebbe richiedere investimenti aggiuntivi per i controlli e generare report di conformità.

  • La pianificazione e l'esecuzione di esercitazioni per la preparazione della risposta agli eventi imprevisti per la sicurezza richiede tempo.

  • Il tempo deve essere allocato per la progettazione e l'esecuzione di processi routine e ad hoc associati alla sicurezza, ad esempio la rotazione di chiavi o certificati.

  • La convalida della sicurezza di SDLC richiede in genere strumenti specializzati. L'organizzazione potrebbe dover pagare per questi strumenti. Anche la definizione delle priorità e la correzione dei problemi rilevati durante i test richiedono tempo.

  • L'assunzione di professionisti della sicurezza di terze parti per eseguire test o test white-box eseguiti senza la conoscenza dei lavori interni di un sistema (talvolta noti come test black-box), inclusi i test di penetrazione, comporta costi.

Compromessi per la sicurezza con l'eccellenza operativa

Compromesso: complicazioni nell'osservabilità e nella gestibilità. L'eccellenza operativa richiede che le architetture siano gestibili e osservabili. Le architetture più gestibili sono quelle più trasparenti per tutti gli utenti coinvolti.

  • Vantaggi della sicurezza derivanti da una registrazione estesa che fornisce informazioni dettagliate ad alta fedeltà sul carico di lavoro per l'invio di avvisi sulle deviazioni dalle baseline e per la risposta agli eventi imprevisti. Questa registrazione può generare un volume significativo di log, che può rendere più difficile fornire informazioni dettagliate mirate all'affidabilità o alle prestazioni.

  • Quando vengono seguite le linee guida di conformità per la maschera dati, vengono elaborati segmenti specifici di log o persino grandi quantità di dati tabulari per proteggere la riservatezza. Il team deve valutare il modo in cui questo gap di osservabilità potrebbe influire sull'invio di avvisi o ostacolare la risposta agli eventi imprevisti.

  • La segmentazione avanzata delle risorse aumenta la complessità dell'osservabilità richiedendo traccia e correlazione distribuite tra servizi aggiuntivi per l'acquisizione di tracce di flusso. La segmentazione aumenta anche la superficie di calcolo e i dati al servizio.

  • Alcuni controlli di sicurezza impediscono l'accesso in base alla progettazione. Durante la risposta agli eventi imprevisti, questi controlli possono rallentare l'accesso di emergenza degli operatori del carico di lavoro. Pertanto, i piani di risposta agli eventi imprevisti devono includere maggiore enfasi sulla pianificazione e sulle esercitazioni per raggiungere un'efficacia accettabile.

Compromesso: riduzione dell'agilità e maggiore complessità. I team del carico di lavoro misurano la velocità in modo che possano migliorare la qualità, la frequenza e l'efficienza delle attività di consegna nel tempo. Fattori di complessità del carico di lavoro nell'impegno e nel rischio coinvolti nelle operazioni.

  • I criteri di controllo delle modifiche e di approvazione più rigorosi per ridurre il rischio di introdurre vulnerabilità di sicurezza possono rallentare lo sviluppo e la distribuzione sicura delle nuove funzionalità. Tuttavia, l'aspettativa di affrontare gli aggiornamenti della sicurezza e l'applicazione di patch può aumentare la domanda di distribuzioni più frequenti. Inoltre, i criteri di approvazione a controllo umano nei processi operativi possono rendere più difficile automatizzare tali processi.

  • I test di sicurezza generano risultati che devono essere classificati in ordine di priorità, bloccando potenzialmente il lavoro pianificato.

  • I processi di routine, ad hoc e di emergenza potrebbero richiedere la registrazione di controllo per soddisfare i requisiti di conformità. Questa registrazione aumenta la rigidità dell'esecuzione dei processi.

  • I team del carico di lavoro possono aumentare la complessità delle attività di gestione delle identità man mano che aumenta la granularità delle definizioni dei ruoli e delle assegnazioni.

  • Un numero maggiore di attività operative di routine associate alla sicurezza, ad esempio la gestione dei certificati, aumenta il numero di processi da automatizzare.

Compromesso: maggiore impegno di coordinamento. Un team che riduce al minimo i punti di contatto esterni e può controllare le operazioni e la sequenza temporale in modo più efficace.

  • Man mano che aumentano i requisiti di conformità esterni dell'organizzazione più ampia o di entità esterne, aumenta anche la complessità del raggiungimento e della dimostrazione della conformità con i revisori.

  • La sicurezza richiede competenze specializzate che i team del carico di lavoro non hanno in genere. Tali competenze sono spesso originate dall'organizzazione più grande o da terze parti. In entrambi i casi, è necessario stabilire il coordinamento del lavoro, dell'accesso e della responsabilità.

  • I requisiti di conformità o dell'organizzazione spesso richiedono piani di comunicazione gestiti per la divulgazione responsabile delle violazioni. Questi piani devono essere inseriti nell'impegno di coordinamento della sicurezza.

Compromessi per la sicurezza con l'efficienza delle prestazioni

Compromesso: aumento della latenza e del sovraccarico. Un carico di lavoro con prestazioni elevate riduce la latenza e il sovraccarico.

  • I controlli di sicurezza di ispezione, ad esempio firewall e filtri di sicurezza dei contenuti, si trovano nei flussi protetti. Tali flussi sono quindi soggetti a una verifica aggiuntiva, che aggiunge latenza alle richieste. Nell'architettura altamente disaccoppiata la natura distribuita può portare a queste ispezioni che si verificano più volte per un singolo utente o transazione del flusso di dati.

  • I controlli di identità richiedono che ogni chiamata di un componente controllato venga verificata in modo esplicito. Questa verifica utilizza cicli di calcolo e potrebbe richiedere l'attraversamento di rete per l'autorizzazione.

  • La crittografia e la decrittografia richiedono cicli di calcolo dedicati. Questi cicli aumentano il tempo e le risorse utilizzate da tali flussi. Questo aumento è in genere correlato alla complessità dell'algoritmo e alla generazione di vettori di entropia elevata e di inizializzazione diversi (IV).

  • Man mano che aumenta l'ampiezza della registrazione, anche l'impatto sulle risorse di sistema e sulla larghezza di banda di rete per lo streaming di tali log può aumentare.

  • La segmentazione delle risorse introduce spesso hop di rete nell'architettura di un carico di lavoro.

Compromesso: maggiore probabilità di errori di configurazione. Gli obiettivi di prestazioni in modo affidabile dipendono da implementazioni prevedibili della progettazione.

Una configurazione errata o un'eccessiva esestensione dei controlli di sicurezza può influire sulle prestazioni a causa di una configurazione inefficiente. Esempi di configurazioni del controllo di sicurezza che possono influire sulle prestazioni includono:

  • Ordinamento, complessità e quantità delle regole del firewall (granularità).

  • Non è possibile escludere i file chiave dai monitoraggi dell'integrità dei file o dagli scanner antivirus. L'abbandono di questo passaggio può causare conflitti di blocco.

  • Web application firewall che eseguono l'ispezione approfondita dei pacchetti per lingue o piattaforme irrilevanti per i componenti protetti.

Esplorare i compromessi per gli altri pilastri: