Compromessi per la sicurezza

La sicurezza fornisce garanzie di riservatezza, integrità e disponibilità per i sistemi di un carico di lavoro e per i dati degli utenti. I controlli di sicurezza sono necessari nel carico di lavoro e nei componenti operativi e di sviluppo software che lo supportano. I team del carico di lavoro non possono quasi mai compromettere i controlli di sicurezza.

Quando si progetta un carico di lavoro, valutare il modo in cui le decisioni basate sui principi di progettazione della sicurezza e le raccomandazioni nell'elenco di controllo di revisione della progettazione per la sicurezza potrebbero influenzare gli obiettivi e le ottimizzazioni di altri pilastri. Alcune decisioni sulla sicurezza traggono vantaggio da un pilastro, ma costituiscono compromessi per un altro. Questo articolo descrive i compromessi di esempio che un team del carico di lavoro potrebbe riscontrare durante la definizione di garanzie di sicurezza.

Compromessi per la sicurezza con l'affidabilità

Compromesso: maggiore complessità. Il pilastro Affidabilità assegna priorità alla semplicità e consiglia di ridurre al minimo i punti di errore.

• Alcuni controlli di sicurezza possono aumentare il rischio di errori di configurazione, che possono causare interruzioni del servizio. Esempi di controlli di sicurezza che possono introdurre errori di configurazione includono regole del traffico di rete, provider di identità, esclusioni di analisi dei virus e assegnazioni di controllo degli accessi in base al ruolo o basate su attributi.

• L'aumento della segmentazione comporta in genere un ambiente più complesso in termini di topologia di risorsa e topologia di rete e accesso degli operatori. Questa complessità può causare più punti di errore nei processi e nell'esecuzione del carico di lavoro.

• Gli strumenti di sicurezza del carico di lavoro si estendono su molti livelli dell'architettura, delle operazioni e dei requisiti di runtime di un carico di lavoro. Questi strumenti possono influire sulla resilienza, sulla disponibilità e sulla pianificazione della capacità. L'errore di tenere conto delle limitazioni degli strumenti può causare eventi di affidabilità, ad esempio l'esaurimento delle porte SNAT in un firewall in uscita.

Compromesso: aumento delle dipendenze critiche. Il pilastro Affidabilità consiglia di ridurre al minimo le dipendenze critiche. Un carico di lavoro che riduce al minimo le dipendenze critiche, in particolare quelle esterne, ha un maggiore controllo sui punti di errore.

Il pilastro Sicurezza richiede un carico di lavoro per verificare in modo esplicito le identità e le azioni. La verifica avviene tramite dipendenze critiche sui componenti di sicurezza principali. Se tali componenti non sono disponibili o se non funzionano correttamente, la verifica potrebbe non essere completata. Questo errore mette il carico di lavoro in uno stato danneggiato. Di seguito sono riportati alcuni esempi di queste dipendenze critiche a singolo punto di errore:

• Firewall di ingresso e di uscita.
• Elenchi di revoche di certificati.
• Tempo di sistema accurato fornito da un server NTP (Network Time Protocol).
• Provider di identità, ad esempio Microsoft Entra ID.

Compromesso: maggiore complessità del ripristino di emergenza. Un carico di lavoro deve poter essere ripristinato in modo affidabile da tutte le forme di disastro.

• I controlli di sicurezza possono estendere gli obiettivi del tempo di ripristino. Il tempo aggiunto può derivare dai passaggi necessari per decrittografare i backup o dai ritardi di accesso operativo durante la valutazione dell'affidabilità del sito.

• I controlli di sicurezza stessi, come gli insiemi di credenziali segrete e la protezione DDoS perimetrale, devono far parte del piano di ripristino di emergenza del carico di lavoro e convalidati nelle esercitazioni di ripristino.

• I requisiti di sicurezza o conformità possono limitare la residenza dei dati o i controlli di accesso per i backup, che complica ulteriormente il ripristino segmentando anche le repliche offline.

Compromesso: aumento del tasso di cambiamento. Un carico di lavoro che sperimenta un cambiamento durante l'esecuzione è soggetto a un rischio maggiore di impatto sull'affidabilità a causa di tale cambiamento.

• L'applicazione di patch e i criteri di aggiornamento più rigorosi comportano altre modifiche nell'ambiente di produzione di un carico di lavoro. Questa modifica deriva da origini simili alle seguenti:

  • Codice dell'applicazione rilasciato più frequentemente a causa di aggiornamenti alle librerie o aggiornamenti alle immagini del contenitore di base
  • Aumento dell'applicazione di patch di routine dei sistemi operativi
  • Rimanere aggiornati con applicazioni o piattaforme dati con controllo delle versioni
  • Applicazione di patch fornitore al software nell'ambiente

• La rotazione di chiavi, credenziali dell'entità servizio e certificati può causare errori temporanei durante il passaggio mentre i client acquisiscono il nuovo valore.

Compromessi di sicurezza con l'ottimizzazione dei costi

Compromesso: infrastruttura aggiuntiva. Un approccio all'ottimizzazione dei costi di un carico di lavoro consiste nell'cercare modi per ridurre la diversità e il numero di componenti e aumentare la densità.

Alcuni componenti del carico di lavoro e decisioni di progettazione esistono solo per proteggere la sicurezza (riservatezza, integrità e disponibilità) di sistemi e dati. Questi componenti migliorano la sicurezza dell'ambiente, ma aumentano i costi. Devono anche essere soggetti all'ottimizzazione dei costi. Esempi di risorse o costi di licenza incentrati sulla sicurezza includono:

• Calcolo, rete e segmentazione dei dati per l'isolamento, che a volte comporta l'esecuzione di istanze separate, impedendo la co-locazione e riducendo la densità.
• Strumenti di osservabilità specializzati, ad esempio un siem in grado di eseguire l'aggregazione e l'intelligence sulle minacce.
• Appliance o funzionalità di rete specializzate, come firewall o prevenzione della negazione del servizio distribuita.
• Strumenti di classificazione dei dati necessari per l'acquisizione di etichette di riservatezza e tipo di informazioni.
• Funzionalità di archiviazione o calcolo specializzate per supportare la crittografia dei dati inattivi e in transito, ad esempio un modulo di protezione hardware o una funzionalità di confidential compute.
• Ambienti di test dedicati e strumenti di test per verificare che i controlli di sicurezza funzionino e per individuare lacune rilevate in precedenza nella copertura.

Gli elementi precedenti spesso esistono anche all'esterno degli ambienti di produzione, nelle risorse di preproduzione e ripristino di emergenza.

Compromesso strategico: aumento della richiesta d'infrastruttura. Il pilastro Ottimizzazione dei costi assegna priorità alla riduzione della domanda sulle risorse per consentire l'uso di SKU più economici, meno istanze o un consumo ridotto.

• SKU Premium: alcune misure di sicurezza nei servizi cloud e dei fornitori che possono migliorare la posizione di sicurezza di un carico di lavoro potrebbero essere disponibili solo in SKU o livelli più costosi.

• Archiviazione dei log: L'archiviazione di dati di monitoraggio e audit di sicurezza ad alta fedeltà che offrono un'ampia copertura comporta costi di archiviazione più elevati. I dati di osservabilità della sicurezza vengono in genere conservati più a lungo rispetto alle informazioni operative.

• Maggiore consumo di risorse: i controlli di sicurezza in-process e on-host aggiungono la richiesta di risorse concorrenti, ad esempio cicli cpu, memoria, I/O su disco e larghezza di banda di rete. La crittografia in transito e a riposo aumenta anche il carico. Entrambi possono richiedere conteggi di istanze superiori o SKU più grandi.

Compromesso: aumento dei costi dei processi e operativi. I costi del processo del personale fanno parte del costo totale di proprietà e vengono considerati nel ritorno sugli investimenti di un carico di lavoro. L'ottimizzazione di questi costi è una raccomandazione del pilastro Ottimizzazione costi.

• Un regime di gestione delle patch completo e rigoroso aumenta il tempo e il denaro speso per le attività di routine, e in genere richiede investimenti nella preparazione per l'applicazione di patch zero-day ad hoc.

• I controlli di accesso più rigorosi riducono il rischio di accesso non autorizzato, ma aggiungono complessità alla gestione degli utenti e all'accesso operativo.

• La formazione e la consapevolezza per gli strumenti e i processi di sicurezza consumano il tempo dei dipendenti e comportano costi per materiali, istruttori e ambienti di formazione.

• La conformità alle normative potrebbe richiedere investimenti aggiuntivi per i controlli e la creazione di report di conformità.

• La pianificazione e l'esecuzione di esercitazioni per la preparazione delle risposte agli eventi imprevisti di sicurezza richiedono tempo.

• I processi di sicurezza routine e ad hoc, ad esempio la rotazione di chiavi o certificati, richiedono tempo per progettare ed eseguire.

• La convalida della sicurezza in SDLC richiede in genere strumenti specializzati. L'organizzazione potrebbe dover pagare per questi strumenti e la correzione dei risultati richiede tempo.

• L'assunzione di professionisti di terze parti per eseguire test di sicurezza, inclusi i test di penetrazione, comporta costi.

Compromessi tra sicurezza ed eccellenza operativa

Compromesso: complicazioni nell'osservabilità e nella gestibilità. L'eccellenza operativa richiede che le architetture siano gestibili e osservabili. Le architetture più gestibili sono trasparenti per tutti gli utenti coinvolti.

• La sicurezza trae vantaggio dalla registrazione ad alta fedeltà che supporta avvisi di deviazione di base e risposta agli eventi imprevisti. Il volume può oscurare le intuizioni mirate all'affidabilità o alle prestazioni.

• Il rispetto della normativa sul mascheramento dei dati redige segmenti di log, o ampie quantità di dati tabulari, per proteggere la riservatezza. Il team deve valutare in che modo tale gap di osservabilità influisce sull'invio di avvisi e ostacola la risposta agli eventi imprevisti.

• Forte segmentazione delle risorse complica l'osservabilità. Richiede traccia distribuita e correlazione tra servizi aggiuntivi per acquisire le tracce del flusso. La segmentazione aumenta anche la superficie di calcolo e di dati da proteggere.

• Alcuni controlli di sicurezza impediscono l'accesso in base alla progettazione e possono rallentare l'accesso di emergenza degli operatori del carico di lavoro durante la risposta agli eventi imprevisti. I piani di risposta agli eventi imprevisti necessitano di ulteriori esercitazioni e pianificazione per rimanere efficaci.

Compromesso: riduzione dell'agilità e maggiore complessità. I team del carico di lavoro misurano la velocità in modo che possano migliorare la qualità, la frequenza e l'efficienza delle attività di consegna nel tempo. I fattori di complessità del carico di lavoro influenzano l'impegno e il rischio coinvolti nelle operazioni.

• I criteri di controllo delle modifiche e approvazione più rigorosi riducono il rischio di introdurre vulnerabilità di sicurezza, ma rallentano lo sviluppo e la distribuzione sicura delle nuove funzionalità. Allo stesso tempo, la necessità di distribuire gli aggiornamenti della sicurezza e le patch determina la richiesta di distribuzioni più frequenti. Inoltre, i criteri di approvazione a controllo umano nei processi operativi possono rendere più difficile automatizzare tali processi.

• I test di sicurezza producono risultati che il team deve classificare in ordine di priorità, che può bloccare il lavoro pianificato.

• I processi di routine, ad hoc e di emergenza potrebbero richiedere la registrazione di controllo per soddisfare i requisiti di conformità. Questa registrazione aumenta la rigidità dell'esecuzione dei processi.

• I team del carico di lavoro possono aumentare la complessità delle attività di gestione delle identità man mano che aumenta la granularità delle definizioni dei ruoli e delle assegnazioni.

• Altre attività di routine correlate alla sicurezza, ad esempio la gestione dei certificati, aumentano il numero di processi da automatizzare.

Compromesso: maggiore impegno di coordinamento. Un team che riduce al minimo i punti di contatto esterni e le revisioni può controllare le proprie operazioni e la sequenza temporale in modo più efficace.

• Man mano che aumentano i requisiti di conformità esterni dell'organizzazione più ampia o di entità esterne, aumenta anche la complessità del raggiungimento e della dimostrazione della conformità con i revisori.

• La sicurezza richiede competenze specializzate che i team del carico di lavoro non hanno in genere. L'origine di tali competenze dall'organizzazione più ampia o da terze parti richiede il coordinamento di sforzi, accesso e responsabilità.

• I piani di comunicazione per la divulgazione responsabile delle violazioni sono spesso richiesti dai obblighi di conformità o dell'organizzazione e devono essere inseriti nel coordinamento della sicurezza.

Compromessi per la sicurezza con l'efficienza delle prestazioni

Compromesso: aumento della latenza e del sovraccarico. Un carico di lavoro con prestazioni elevate riduce la latenza e il sovraccarico.

• Controlli di sicurezza di ispezione, come firewall e filtri di sicurezza dei contenuti, si trovano nei flussi che proteggono. Tali flussi sono quindi soggetti a una verifica aggiuntiva, che aggiunge latenza alle richieste. In architetture altamente disaccoppiate, le ispezioni possono essere eseguite più volte per una singola transazione di flusso di dati o utente.

• I controlli di identità richiedono che ogni chiamata di un componente controllato venga verificata in modo esplicito. La verifica utilizza cicli di calcolo e potrebbe richiedere l'attraversamento di rete per l'autorizzazione.

• La crittografia e la decrittografia usano cicli di calcolo, che aumentano il tempo e le risorse utilizzate da tali flussi. L'aumento è in genere correlato alla complessità dell'algoritmo e alla generazione di vettori di inizializzazione ad alta entropia (IV).

• La registrazione più estesa usa più risorse di sistema e larghezza di banda di rete per trasmettere tali log.

• La segmentazione delle risorse introduce spesso hop di rete nell'architettura di un carico di lavoro.

Compromesso: maggiore probabilità di errori di configurazione. Raggiungere in modo affidabile gli obiettivi di prestazione dipende da implementazioni prevedibili del progetto.

I controlli di sicurezza non configurati correttamente o eccessivamente possono compromettere le prestazioni a causa di una configurazione inefficiente. Esempi di configurazioni del controllo di sicurezza che possono influire sulle prestazioni includono:

• Ordinamento, complessità e quantità delle regole del firewall (granularità).

• Non è possibile escludere i file chiave dai monitoraggi dell'integrità dei file o dagli scanner antivirus. L'abbandono di questo passaggio può causare conflitti di blocco.

• Firewall delle applicazioni web che eseguono l'ispezione approfondita dei pacchetti per lingue e piattaforme che sono irrilevanti per i componenti che vengono protetti.

Collegamenti correlati

Esplorare i compromessi per gli altri pilastri:

• Compromessi sull'affidabilità
• Compromessi di ottimizzazione dei costi
• Compromessi strategici per l'eccellenza operativa
• Compromessi per l'efficienza delle performance