Compensações de segurança

  • Artigo

A segurança fornece garantias de confidencialidade, integridade e disponibilidade do sistema de uma carga de trabalho e dos dados de seus usuários. Os controles de segurança são necessários para a carga de trabalho e para o desenvolvimento de software e componentes operacionais do sistema. Quando as equipes projetam e operam uma carga de trabalho, elas quase nunca podem comprometer os controles de segurança.

Durante a fase de design de uma carga de trabalho, é importante considerar como as decisões baseadas nos princípios de design de segurança e nas recomendações na lista de verificação de revisão de design para segurança podem influenciar as metas e otimizações de outros pilares. Certas decisões de segurança podem beneficiar alguns pilares, mas constituem compensações para outros. Este artigo descreve exemplos de compensações que uma equipe de carga de trabalho pode encontrar ao estabelecer garantias de segurança.

Compensações de segurança com confiabilidade

Compensação: Maior complexidade. O pilar Confiabilidade prioriza a simplicidade e recomenda que os pontos de falha sejam minimizados.

  • Alguns controles de segurança podem aumentar o risco de configuração incorreta, o que pode levar à interrupção do serviço. Exemplos de controles de segurança que podem introduzir configuração incorreta incluem regras de tráfego de rede, provedores de identidade, exclusões de verificação de vírus e atribuições de controle de acesso baseadas em funções ou atributos.

  • O aumento da segmentação geralmente resulta em um ambiente mais complexo em termos de topologia de recursos e rede e acesso da operadora. Essa complexidade pode levar a mais pontos de falha nos processos e na execução da carga de trabalho.

  • As ferramentas de segurança de carga de trabalho geralmente são incorporadas a muitas camadas da arquitetura, operações e requisitos de tempo de execução de uma carga de trabalho. Essas ferramentas podem afetar a resiliência, a disponibilidade e o planejamento de capacidade. A falha em levar em conta as limitações nas ferramentas pode levar a um evento de confiabilidade, como o esgotamento da porta SNAT em um firewall de saída.

Compensação: Aumento das dependências críticas. O pilar Confiabilidade recomenda minimizar dependências críticas. Uma carga de trabalho que minimiza dependências críticas, especialmente as externas, tem mais controle sobre seus pontos de falha.

O pilar Segurança requer uma carga de trabalho para verificar explicitamente identidades e ações. A verificação ocorre por meio de dependências críticas nos principais componentes de segurança. Se esses componentes não estiverem disponíveis ou se não funcionarem corretamente, a verificação poderá não ser concluída. Essa falha coloca a carga de trabalho em um estado degradado. Alguns exemplos dessas dependências críticas de ponto único de falha são:

  • Firewalls de entrada e saída.
  • Listas de revogação de certificados.
  • Hora precisa do sistema fornecida por um servidor NTP (Network Time Protocol).
  • Provedores de identidade, como o Microsoft Entra ID.

Compensação: Aumento da complexidade da recuperação de desastres. Uma carga de trabalho deve se recuperar de forma confiável de todas as formas de desastre.

  • Os controles de segurança podem afetar os objetivos de tempo de recuperação. Esse efeito pode ser causado pelas etapas adicionais necessárias para descriptografar os dados de backup ou por atrasos de acesso operacional criados pela triagem de confiabilidade do site.

  • Os próprios controles de segurança, por exemplo, cofres secretos e seu conteúdo ou proteção DDoS de borda, precisam fazer parte do plano de recuperação de desastre da carga de trabalho e devem ser validados por meio de exercícios de recuperação.

  • Os requisitos de segurança ou conformidade podem limitar as opções de residência de dados ou restrições de controle de acesso para backups, potencialmente complicando ainda mais a recuperação ao segmentar até mesmo réplicas offline.

Compensação: Aumento da taxa de mudança. Uma carga de trabalho que sofre alteração de tempo de execução está exposta a mais risco de impacto na confiabilidade devido a essa alteração.

  • Políticas de aplicação de patches e atualizações mais rígidas levam a mais alterações no ambiente de produção de uma carga de trabalho. Essa mudança vem de fontes como estas:

    • O código do aplicativo está sendo lançado com mais frequência devido a atualizações de bibliotecas ou atualizações de imagens de contêiner base
    • Aumento da aplicação de patches de rotina de sistemas operacionais
    • Manter-se atualizado com aplicativos ou plataformas de dados versionados
    • Aplicando patches de fornecedores ao software no ambiente

  • As atividades de rotação de chaves, credenciais de entidade de serviço e certificados aumentam o risco de problemas transitórios devido ao tempo da rotação e aos clientes que usam o novo valor.

Compensações de segurança com otimização de custos

Compensação: infraestrutura adicional. Uma abordagem para otimizar o custo de uma carga de trabalho é procurar maneiras de reduzir a diversidade e o número de componentes e aumentar a densidade.

Alguns componentes de carga de trabalho ou decisões de design existem apenas para proteger a segurança (confidencialidade, integridade e disponibilidade) de sistemas e dados. Esses componentes, embora aumentem a segurança do ambiente, também aumentam os custos. Eles também devem estar sujeitos à otimização de custos. Algumas fontes de exemplo para esses recursos adicionais centrados em segurança ou custos de licenciamento são:

  • Segmentação de computação, rede e dados para isolamento, que às vezes envolve a execução de instâncias separadas, impedindo a colocalização e reduzindo a densidade.
  • Ferramentas de observabilidade especializadas, como um SIEM que pode executar agregação e inteligência de ameaças.
  • Dispositivos ou recursos de rede especializados, como firewalls ou prevenção distribuída de negação de serviço.
  • Ferramentas de classificação de dados necessárias para capturar rótulos de confidencialidade e tipo de informação.
  • Recursos especializados de armazenamento ou computação para dar suporte à criptografia em repouso e em trânsito, como um HSM ou funcionalidade de computação confidencial.
  • Ambientes de teste dedicados e ferramentas de teste para validar se os controles de segurança estão funcionando e descobrir lacunas de cobertura não descobertas anteriormente.

Os itens anteriores geralmente também existem fora dos ambientes de produção, em recursos de pré-produção e recuperação de desastre.

Compensação: Aumento da demanda por infraestrutura. O pilar de Otimização de Custos prioriza a redução da demanda de recursos para permitir o uso de SKUs mais baratos, menos instâncias ou consumo reduzido.

  • SKUs Premium: algumas medidas de segurança em serviços de nuvem e fornecedores que podem beneficiar a postura de segurança de uma carga de trabalho podem ser encontradas apenas em SKUs ou camadas mais caras.

  • Armazenamento de logs: o monitoramento de segurança de alta fidelidade e os dados de auditoria que fornecem ampla cobertura aumentam os custos de armazenamento. Os dados de observabilidade de segurança também são frequentemente armazenados por períodos mais longos do que normalmente seria necessário para insights operacionais.

  • Aumento do consumo de recursos: os controles de segurança em processo e no host podem introduzir demanda adicional por recursos. A criptografia de dados em repouso e em trânsito também pode aumentar a demanda. Ambos os cenários podem exigir contagens de instâncias mais altas ou SKUs maiores.

Compensação: Aumento dos custos operacionais e de processo. Os custos do processo de pessoal fazem parte do custo total geral de propriedade e são levados em consideração no retorno sobre o investimento de uma carga de trabalho. Otimizar esses custos é uma recomendação do pilar Otimização de Custos.

  • Um regime de gerenciamento de patches mais abrangente e rigoroso leva a um aumento no tempo e no dinheiro gastos nessas tarefas rotineiras. Esse aumento geralmente está associado à expectativa de investir na preparação para patches ad hoc para explorações de dia zero.

  • Controles de acesso mais rígidos para reduzir o risco de acesso não autorizado podem levar a um gerenciamento de usuários e acesso operacional mais complexos.

  • O treinamento e a conscientização sobre ferramentas e processos de segurança ocupam o tempo dos funcionários e também incorrem em custos de materiais, instrutores e, possivelmente, ambientes de treinamento.

  • O cumprimento dos regulamentos pode exigir investimentos adicionais para auditorias e geração de relatórios de conformidade.

  • O planejamento e a realização de exercícios para preparação para resposta a incidentes de segurança levam tempo.

  • O tempo precisa ser alocado para projetar e executar processos rotineiros e ad hoc associados à segurança, como rotação de chave ou certificado.

  • A validação de segurança do SDLC geralmente requer ferramentas especializadas. Sua organização pode precisar pagar por essas ferramentas. Priorizar e corrigir problemas encontrados durante o teste também leva tempo.

  • A contratação de profissionais de segurança terceirizados para realizar testes de caixa branca ou testes realizados sem o conhecimento do funcionamento interno de um sistema (às vezes conhecido como teste de caixa preta), incluindo testes de penetração, incorre em custos.

Compensações de segurança com excelência operacional

Compensação: Complicações na observabilidade e na capacidade de manutenção. A Excelência Operacional requer que as arquiteturas sejam reparáveis e observáveis. As arquiteturas mais úteis são aquelas que são mais transparentes para todos os envolvidos.

  • A segurança se beneficia do registro em log extensivo que fornece informações de alta fidelidade sobre a carga de trabalho para alertar sobre desvios das linhas de base e para resposta a incidentes. Esse registro pode gerar um volume significativo de logs, o que pode dificultar o fornecimento de insights direcionados à confiabilidade ou ao desempenho.

  • Quando as diretrizes de conformidade para mascaramento de dados são seguidas, segmentos específicos de logs ou até mesmo grandes quantidades de dados tabulares são editados para proteger a confidencialidade. A equipe precisa avaliar como essa lacuna de observabilidade pode afetar os alertas ou dificultar a resposta a incidentes.

  • A forte segmentação de recursos aumenta a complexidade da observabilidade, exigindo rastreamento e correlação distribuídos entre serviços adicionais para capturar rastreamentos de fluxo. A segmentação também aumenta a área de superfície da computação e dos dados a serem atendidos.

  • Alguns controles de segurança impedem o acesso por design. Durante a resposta a incidentes, esses controles podem retardar o acesso de emergência dos operadores de carga de trabalho. Portanto, os planos de resposta a incidentes precisam incluir mais ênfase no planejamento e nos exercícios para alcançar uma eficácia aceitável.

Compensação: Diminuição da agilidade e aumento da complexidade. As equipes de carga de trabalho medem sua velocidade para que possam melhorar a qualidade, a frequência e a eficiência das atividades de entrega ao longo do tempo. A complexidade da carga de trabalho influencia o esforço e o risco envolvidos nas operações.

  • Políticas mais rígidas de controle e aprovação de alterações para reduzir o risco de introdução de vulnerabilidades de segurança podem retardar o desenvolvimento e a implantação segura de novos recursos. No entanto, a expectativa de abordar atualizações de segurança e patches pode aumentar a demanda por implantações mais frequentes. Além disso, as políticas de aprovação controladas por humanos em processos operacionais podem dificultar a automação desses processos.

  • Os testes de segurança resultam em descobertas que precisam ser priorizadas, potencialmente bloqueando o trabalho planejado.

  • Processos de rotina, ad hoc e de emergência podem exigir log de auditoria para atender aos requisitos de conformidade. Esse registro aumenta a rigidez da execução dos processos.

  • As equipes de carga de trabalho podem aumentar a complexidade das atividades de gerenciamento de identidades à medida que a granularidade das definições e atribuições de função aumenta.

  • Um número maior de tarefas operacionais de rotina associadas à segurança, como gerenciamento de certificados, aumenta o número de processos a serem automatizados.

Compensação: Aumento dos esforços de coordenação. Uma equipe que minimiza os pontos de contato externos e a revisão pode controlar suas operações e cronograma com mais eficiência.

  • À medida que os requisitos de conformidade externa da organização maior ou de entidades externas aumentam, a complexidade de alcançar e comprovar a conformidade com os auditores também aumenta.

  • A segurança requer habilidades especializadas que as equipes de carga de trabalho normalmente não possuem. Essas proficiências geralmente são provenientes de uma organização maior ou de terceiros. Em ambos os casos, é necessário estabelecer coordenação de esforços, acesso e responsabilidade.

  • Os requisitos de conformidade ou organizacionais geralmente exigem planos de comunicação mantidos para a divulgação responsável de violações. Esses planos devem ser levados em consideração nos esforços de coordenação de segurança.

Compensações de segurança com eficiência de desempenho

Compensação: Aumento da latência e da sobrecarga. Uma carga de trabalho de alto desempenho reduz a latência e a sobrecarga.

  • Os controles de segurança de inspeção, como firewalls e filtros de segurança de conteúdo, estão localizados nos fluxos que eles protegem. Esses fluxos estão, portanto, sujeitos a verificação adicional, o que adiciona latência às solicitações. Na arquitetura altamente desacoplada, a natureza distribuída pode fazer com que essas inspeções aconteçam várias vezes para um único usuário ou transação de fluxo de dados.

  • Os controles de identidade exigem que cada invocação de um componente controlado seja verificada explicitamente. Essa verificação consome ciclos de computação e pode exigir passagem de rede para autorização.

  • A criptografia e a descriptografia exigem ciclos de computação dedicados. Esses ciclos aumentam o tempo e os recursos consumidos por esses fluxos. Esse aumento geralmente está correlacionado com a complexidade do algoritmo e a geração de vetores de inicialização (IVs) de alta entropia e diversos.

  • À medida que a extensão do registro aumenta, o impacto nos recursos do sistema e na largura de banda da rede para streaming desses registros também pode aumentar.

  • A segmentação de recursos frequentemente introduz saltos de rede na arquitetura de uma carga de trabalho.

Compensação: Maior chance de configuração incorreta. O cumprimento confiável das metas de desempenho depende de implementações previsíveis do design.

Uma configuração incorreta ou uma extensão excessiva dos controles de segurança pode afetar o desempenho devido à configuração ineficiente. Exemplos de configurações de controle de segurança que podem afetar o desempenho incluem:

  • Ordenação, complexidade e quantidade (granularidade) de regras de firewall.

  • Falha ao excluir arquivos-chave de monitores de integridade de arquivos ou scanners de vírus. Negligenciar essa etapa pode levar à contenção de bloqueio.

  • Firewalls de aplicativos da Web que executam inspeção profunda de pacotes para linguagens ou plataformas que são irrelevantes para os componentes que estão sendo protegidos.

Explore as compensações para os outros pilares: