Adaptive Segmentationmicro-segmentation September 15, 2020

ALLOW-LIST VERSUS DENY-LIST

Alex Goller, Senior Systems Engineer EMEA

Eine der Charakteristiken von Lebensformen wie unser ist es, dass wir unsere Umgebung irgendwie organisieren müssen. Wenn wir Dinge verstehen wollen, müssen wir erst verstehen, wie diese organisiert sind.

In der Informatik arbeiten wir den ganzen Tag mit Daten. In der IT-Sicherheit zum Beispiel bauen wir auf Organisation von Beziehungen von Dingen und ob wir sie erlauben oder verbieten (allow und respektive deny). Auf der einen Seite des organisatorischen Zaunes haben wir sogenannte „Deny-Lists“, auf der anderen Seite haben wir sogenannte „Allow-Lists“. Wir erinnern uns, wir wollen nur Traffic erlauben oder verbieten.

DENY-LIST ODER ALLOW-LIST – DAS IST HIER DIE FRAGE

Deny-Lists sind Teil eines Security-Modells, dass die Bedrohung in den Mittelpunkt stellt. Wir erlauben allen Datenverkehr, außer dem Verkehr, den wir explizit stoppen wollen. Das Problem hiermit ist, dass, seit wir Zero-Day Attacken haben, wie der Name schon sagt, die Attacken unbekannt sind und diese damit standardmäßig erlaubt sein können.

Deny-Lists sind außerdem sehr Ressourcen intensiv. Wenn man eine riesige Datei mit Deny Regeln einlesen muss, verbraucht das viele CPU-Zyklen. Und es erfordert viel Arbeit diese Listen auf dem Laufenden zu halten, entweder manuell oder mithilfe dynamischer, automatisierter Verfahren.

Eine Allow-List folgt einem vertrauensorientierten Security-Modell. Alles wird verboten, außer dem Datenverkehr, den wir explizit erlauben wollen – für unsere heutige Bedrohungslage die bessere Wahl. Wenn wir ehrlich sind, ist nämlich die Liste der Dinge, zu denen wir Verbindungen erlauben wollen, wesentlich kleiner als die Liste der Dinge zu denen wir keine Verbindung wollen. So erspart man sich auch viele False-Positives.

Allow-Listen verbrauchen kaum Ressourcen, perfekt also für Server. Sie sehen sich Flow-Metadaten an und erlauben oder verbieten die Verbindung dann direkt an der Quelle. Einfach und schnell. Die Achillesferse von Allow-Listen ist jedoch der Aufwand, sie zu erstellen und zu verwalten. Vergegenwärtigen wir uns, dass wir von jedem möglichen Netzwerk-Flow von jedem möglichen Server in jeder Kombination sprechen. Allow-Listen sind sicher toll, aber ohne eine zentralisierte Verwaltung unmöglich.

ES GIBT IMMER EINE GRAUZONE

Natürlich gibt es eine Grauzone. Wie in jedem Beispiel aus der IT gilt auch hier Kuipers Axiom: „Auf die meisten Arten, und zu den meisten Zeiten, ändert sich die Welt fortlaufend.“ Oder wie wir sagen, “es hängt davon ab…”.

Access Control Listen sind das “es hängt davon ab” in unserer Gleichung, sie können sowohl als Allow-List als auch als Deny-List verwendet werden. Jeder, der Netzwerktechnologie studiert, kann bezeugen, dass ACLs eine implizierte „deny any any“ Regel am Ende haben sollten, was per se schon die Definition einer Allow-List ist. Im täglichen Gebrauch schleichen sich jedoch immer wieder DENY Regeln ein, die am Ende durch ein „permit any any“ gekrönt werden, was effektiv eine Deny-List ist.

WIE GEHT ’S WEITER?

IT-Sicherheit ist wie ein großes Stück Torte – die Schichten machen den Unterschied. Keine einzelne Lösung wird komplette Sicherheit bieten oder verhindern. Deny-Listen scheinen der einfache Weg zu sein. Zum Problem werden sie, wenn die Anzahl der Bedrohungen und Attacken steigt. Sie werden immer weniger effektiv. Sie haben eine hohe Fehleranfälligkeit und die Reihenfolge der Regeln in der Liste spielt eine große Rolle, ob Sicherheit greift oder nicht.

Deny-Listen haben ihren Platz am Perimeter für Nord-Süd Traffic, dort sind die Grenzen statisch und sie dienen als Grobfilter für ein- und ausgehenden Verkehr. Aber innerhalb des Rechenzentrums, wo, wenn wir ehrlich sind, der meiste Verkehr fließt, brauchen wir eine feinere Kontrolle, um die Server und Workloads zu schützen, die sich ständig ändern, neue IP Adressen erhalten oder die dekommissioniert werden. Dafür sind Allow-Listen das geeignetere Tool. Als Standard wird keiner Verbindung vertraut, ein Prinzip, das sich auch Zero Trust zunutze macht.

Mein Vater sagte immer: „Wenn alles was Du hast, ein Hammer ist, dann sieht jedes Problem wie ein Nagel aus.“. In unseren heutigen massiv skalierbaren und flexiblen Rechenzentren und Infrastrukturen wird es Zeit, den Hammer wegzulegen und die Präzisionswerkzeuge herauszuholen.

Adaptive Segmentationmicro-segmentation
Share this post:

Try Illumio Edge