Compensações de segurança

  • Artigo

A segurança fornece garantias de confidencialidade, integridade e disponibilidade do sistema de uma carga de trabalho e dos dados de seus usuários. Os controles de segurança são necessários para a carga de trabalho e para o desenvolvimento de software e componentes operacionais do sistema. Quando as equipes projetam e operam uma carga de trabalho, quase nunca podem comprometer os controles de segurança.

Durante a fase de projeto de uma carga de trabalho, é importante considerar como as decisões baseadas nos princípios de design de segurança e nas recomendações da lista de verificação de revisão de projeto para segurança podem influenciar as metas e otimizações de outros pilares. Certas decisões em matéria de segurança podem beneficiar alguns pilares, mas constituem compensações para outros. Este artigo descreve exemplos de compensações que uma equipe de carga de trabalho pode encontrar ao estabelecer garantias de segurança.

Compensações de segurança com confiabilidade

Compensação: Maior complexidade. O pilar Confiabilidade prioriza a simplicidade e recomenda que os pontos de falha sejam minimizados.

  • Alguns controles de segurança podem aumentar o risco de configuração incorreta, o que pode levar à interrupção do serviço. Exemplos de controles de segurança que podem introduzir erros de configuração incluem regras de tráfego de rede, provedores de identidade, exclusões de verificação de vírus e atribuições de controle de acesso baseadas em função ou atributo.

  • O aumento da segmentação geralmente resulta em um ambiente mais complexo em termos de topologia de recursos e rede e acesso do operador. Essa complexidade pode levar a mais pontos de falha nos processos e na execução da carga de trabalho.

  • As ferramentas de segurança da carga de trabalho geralmente são incorporadas em muitas camadas dos requisitos de arquitetura, operações e tempo de execução de uma carga de trabalho. Essas ferramentas podem afetar a resiliência, a disponibilidade e o planejamento de capacidade. A falha em levar em conta as limitações nas ferramentas pode levar a um evento de confiabilidade, como o esgotamento da porta SNAT em um firewall de saída.

Compensação: aumento das dependências críticas. O pilar Confiabilidade recomenda minimizar as dependências críticas. Uma carga de trabalho que minimiza dependências críticas, especialmente externas, tem mais controle sobre seus pontos de falha.

O pilar Segurança requer uma carga de trabalho para verificar explicitamente identidades e ações. A verificação ocorre por meio de dependências críticas em componentes de segurança importantes. Se esses componentes não estiverem disponíveis ou se funcionarem mal, a verificação pode não ser concluída. Essa falha coloca a carga de trabalho em um estado degradado. Alguns exemplos dessas dependências críticas de ponto único de falha são:

  • Firewall de entrada e saída.
  • Listas de revogação de certificados.
  • Hora precisa do sistema fornecida por um servidor NTP (Network Time Protocol).
  • Provedores de identidade, como o Microsoft Entra ID.

Compensação: aumento da complexidade da recuperação de desastres. Uma carga de trabalho deve se recuperar de forma confiável de todas as formas de desastre.

  • Os controles de segurança podem afetar os objetivos de tempo de recuperação. Esse efeito pode ser causado pelas etapas adicionais necessárias para descriptografar os dados de backup ou por atrasos de acesso operacional criados pela triagem de confiabilidade do site.

  • Os próprios controles de segurança, por exemplo, cofres secretos e seu conteúdo ou proteção contra DDoS de borda, precisam fazer parte do plano de recuperação de desastres da carga de trabalho e devem ser validados por meio de exercícios de recuperação.

  • Os requisitos de segurança ou conformidade podem limitar as opções de residência de dados ou restrições de controle de acesso para backups, potencialmente complicando ainda mais a recuperação ao segmentar até mesmo réplicas offline.

Compensação: Aumento da taxa de variação. Uma carga de trabalho que sofre alterações de tempo de execução está exposta a mais risco de impacto na confiabilidade devido a essa alteração.

  • Políticas de correção e atualização mais rígidas levam a mais alterações no ambiente de produção de uma carga de trabalho. Esta mudança vem de fontes como estas:

    • Código do aplicativo sendo liberado com mais freqüência devido a atualizações em bibliotecas ou atualizações em imagens de contêiner de base
    • Aumento da rotina de aplicação de patches em sistemas operacionais
    • Manter-se atualizado com aplicativos versionados ou plataformas de dados
    • Aplicação de patches de fornecedor ao software no ambiente

  • As atividades de rotação para chaves, credenciais da entidade de serviço e certificados aumentam o risco de problemas transitórios devido ao tempo da rotação e aos clientes que usam o novo valor.

Compensações de segurança com otimização de custos

Compensação: Infraestrutura adicional. Uma abordagem para otimizar o custo de uma carga de trabalho é procurar maneiras de reduzir a diversidade e o número de componentes e aumentar a densidade.

Alguns componentes da carga de trabalho ou decisões de projeto existem apenas para proteger a segurança (confidencialidade, integridade e disponibilidade) de sistemas e dados. Estes componentes, embora aumentem a segurança do ambiente, também aumentam os custos. Eles também devem estar sujeitos à otimização de custos. Alguns exemplos de fontes para esses recursos adicionais centrados na segurança ou custos de licenciamento são:

  • Segmentação de computação, rede e dados para isolamento, que às vezes envolve a execução de instâncias separadas, impedindo a colocalização e reduzindo a densidade.
  • Ferramentas especializadas de observabilidade, como um SIEM que pode realizar agregação e inteligência de ameaças.
  • Dispositivos ou recursos de rede especializados, como firewalls ou prevenção distribuída de negação de serviço.
  • Ferramentas de classificação de dados necessárias para capturar rótulos de sensibilidade e tipo de informação.
  • Recursos especializados de armazenamento ou computação para suportar criptografia em repouso e em trânsito, como um HSM ou funcionalidade de computação confidencial.
  • Ambientes de teste dedicados e ferramentas de teste para validar se os controles de segurança estão funcionando e descobrir lacunas de cobertura não descobertas anteriormente.

Os itens anteriores geralmente também existem fora dos ambientes de produção, em recursos de pré-produção e recuperação de desastres.

Compensação: aumento da procura de infraestruturas. O pilar de Otimização de Custos prioriza a redução da demanda de recursos para permitir o uso de SKUs mais baratos, menos instâncias ou consumo reduzido.

  • SKUs premium: algumas medidas de segurança em serviços de nuvem e de fornecedores que podem beneficiar a postura de segurança de uma carga de trabalho só podem ser encontradas em SKUs ou camadas mais caras.

  • Armazenamento de logs: o monitoramento de segurança de alta fidelidade e os dados de auditoria que fornecem ampla cobertura aumentam os custos de armazenamento. Os dados de observabilidade de segurança também são frequentemente armazenados por períodos de tempo mais longos do que normalmente seriam necessários para insights operacionais.

  • Maior consumo de recursos: os controles de segurança em processo e no host podem introduzir demanda adicional por recursos. A criptografia para dados em repouso e em trânsito também pode aumentar a demanda. Ambos os cenários podem exigir contagens de instâncias mais altas ou SKUs maiores.

Compensação: Aumento dos custos operacionais e de processos. Os custos do processo de pessoal fazem parte do custo total total de propriedade e são tidos em conta no retorno do investimento de uma carga de trabalho. A otimização destes custos é uma recomendação do pilar de Otimização de Custos.

  • Um regime de gestão de patches mais abrangente e rigoroso leva a um aumento no tempo e dinheiro gasto nessas tarefas de rotina. Este aumento é frequentemente associado à expectativa de investir na preparação para a aplicação de patches ad hoc para explorações de dia zero.

  • Controles de acesso mais rígidos para reduzir o risco de acesso não autorizado podem levar a um gerenciamento de usuários e acesso operacional mais complexos.

  • O treinamento e a conscientização para ferramentas e processos de segurança ocupam tempo dos funcionários e também incorrem em custos com materiais, instrutores e, possivelmente, ambientes de treinamento.

  • A conformidade com as regulamentações pode exigir investimentos adicionais para auditorias e geração de relatórios de conformidade.

  • O planeamento e a realização de exercícios de preparação para a resposta a incidentes de segurança levam tempo.

  • É necessário alocar tempo para projetar e executar processos de rotina e ad hoc associados à segurança, como rotação de chaves ou certificados.

  • A validação de segurança do SDLC geralmente requer ferramentas especializadas. Sua organização pode precisar pagar por essas ferramentas. Priorizar e corrigir problemas encontrados durante os testes também leva tempo.

  • A contratação de profissionais de segurança terceirizados para realizar testes de caixa branca ou testes realizados sem o conhecimento do funcionamento interno de um sistema (às vezes conhecido como teste de caixa preta), incluindo testes de penetração, incorre em custos.

Compensações de Segurança com Excelência Operacional

Compensação: Complicações na observabilidade e facilidade de manutenção. A excelência operacional exige que as arquiteturas sejam úteis e observáveis. As arquiteturas mais fáceis de usar são aquelas que são mais transparentes para todos os envolvidos.

  • A segurança se beneficia do registro em log extensivo que fornece informações de alta fidelidade sobre a carga de trabalho para alertar sobre desvios das linhas de base e para responder a incidentes. Esse registro em log pode gerar um volume significativo de logs, o que pode dificultar o fornecimento de informações direcionadas à confiabilidade ou ao desempenho.

  • Quando as diretrizes de conformidade para mascaramento de dados são seguidas, segmentos específicos de logs ou até mesmo grandes quantidades de dados tabulares são editados para proteger a confidencialidade. A equipe precisa avaliar como essa lacuna de observabilidade pode afetar o alerta ou dificultar a resposta a incidentes.

  • Uma forte segmentação de recursos aumenta a complexidade da observabilidade, exigindo rastreamento distribuído entre serviços adicionais e correlação para capturar rastreamentos de fluxo. A segmentação também aumenta a área de superfície de computação e dados para serviço.

  • Alguns controlos de segurança impedem o acesso desde a conceção. Durante a resposta a incidentes, esses controles podem diminuir o acesso de emergência dos operadores de carga de trabalho. Portanto, os planos de resposta a incidentes precisam incluir mais ênfase no planejamento e nos exercícios, a fim de alcançar uma eficácia aceitável.

Compensação: Diminuição da agilidade e aumento da complexidade. As equipes de carga de trabalho medem sua velocidade para que possam melhorar a qualidade, a frequência e a eficiência das atividades de entrega ao longo do tempo. A complexidade da carga de trabalho influencia o esforço e o risco envolvidos nas operações.

  • Políticas mais rigorosas de controle e aprovação de alterações para reduzir o risco de introdução de vulnerabilidades de segurança podem retardar o desenvolvimento e a implantação segura de novos recursos. No entanto, a expectativa de abordar atualizações de segurança e aplicar patches pode aumentar a demanda por implantações mais frequentes. Além disso, as políticas de aprovação humanizadas em processos operacionais podem dificultar a automatização desses processos.

  • Os testes de segurança resultam em descobertas que precisam ser priorizadas, potencialmente bloqueando o trabalho planejado.

  • Processos de rotina, ad hoc e de emergência podem exigir registro de auditoria para atender aos requisitos de conformidade. Esse registro aumenta a rigidez da execução dos processos.

  • As equipes de carga de trabalho podem aumentar a complexidade das atividades de gerenciamento de identidades à medida que a granularidade das definições e atribuições de função aumenta.

  • Um maior número de tarefas operacionais de rotina associadas à segurança, como o gerenciamento de certificados, aumenta o número de processos a serem automatizados.

Compensação: Aumento dos esforços de coordenação. Uma equipe que minimiza os pontos externos de contato e revisão pode controlar suas operações e cronograma de forma mais eficaz.

  • À medida que os requisitos de conformidade externa da organização maior ou de entidades externas aumentam, a complexidade de alcançar e comprovar a conformidade com os auditores também aumenta.

  • A segurança requer habilidades especializadas que as equipes de carga de trabalho normalmente não têm. Essas proficiências são muitas vezes provenientes da organização maior ou de terceiros. Em ambos os casos, é necessário estabelecer uma coordenação de esforços, acesso e responsabilidade.

  • Requisitos organizacionais ou de conformidade geralmente exigem planos de comunicação mantidos para a divulgação responsável de violações. Estes planos devem ser tidos em conta nos esforços de coordenação da segurança.

Compensações de segurança com eficiência de desempenho

Compensação: aumento da latência e da sobrecarga. Uma carga de trabalho de alto desempenho reduz a latência e a sobrecarga.

  • Os controles de segurança de inspeção, como firewalls e filtros de segurança de conteúdo, estão localizados nos fluxos que eles protegem. Esses fluxos estão, portanto, sujeitos a verificações adicionais, o que aumenta a latência dos pedidos. Em uma arquitetura altamente dissociada, a natureza distribuída pode levar a que essas inspeções aconteçam várias vezes para um único usuário ou transação de fluxo de dados.

  • Os controles de identidade exigem que cada invocação de um componente controlado seja verificada explicitamente. Essa verificação consome ciclos de computação e pode exigir a travessia de rede para autorização.

  • A encriptação e a desencriptação requerem ciclos de computação dedicados. Esses ciclos aumentam o tempo e os recursos consumidos por esses fluxos. Este aumento está geralmente correlacionado com a complexidade do algoritmo e a geração de vetores de inicialização (IVs) de alta entropia e diversos.

  • À medida que a extensão do registro aumenta, o impacto nos recursos do sistema e na largura de banda da rede para transmitir esses logs também pode aumentar.

  • A segmentação de recursos frequentemente introduz saltos de rede na arquitetura de uma carga de trabalho.

Compensação: Maior chance de configuração incorreta. O cumprimento confiável das metas de desempenho depende de implementações previsíveis do projeto.

Uma configuração incorreta ou extensão excessiva dos controles de segurança pode afetar o desempenho devido à configuração ineficiente. Exemplos de configurações de controle de segurança que podem afetar o desempenho incluem:

  • Ordenação, complexidade e quantidade (granularidade) de regras de firewall.

  • Falha ao excluir arquivos chave de monitores de integridade de arquivos ou scanners de vírus. Negligenciar esta etapa pode levar a uma contenção de bloqueio.

  • Firewalls de aplicativos Web que executam inspeção profunda de pacotes para idiomas ou plataformas que são irrelevantes para os componentes que estão sendo protegidos.

Explore as compensações para os outros pilares: