Allowlist gegen Denylist
Eine der angeborenen Eigenschaften von Wassersäcken auf Kohlenstoffbasis ist die Notwendigkeit, unsere Umgebung zu organisieren. Wenn wir etwas wirklich verstehen wollen, müssen wir uns zuerst ansehen, wie es organisiert ist. Wenn die Leute ihre Organisation wirklich lieben, nennen sie das „Kultur“, und wenn sie sie hassen, geben sie anderen die Schuld.
In der Informatik organisieren wir Daten überall. Zum Beispiel basiert Sicherheit auf der Idee der Organisation in Bezug auf Beziehungen und darauf, ob wir sie zulassen oder ablehnen. Auf der einen Seite des organisatorischen Zauns haben wir Verweigerer und auf der anderen Seite Zulassungslisten. Denken Sie daran, dass wir nur versuchen, Traffic von verschiedenen Stellen zuzulassen oder abzulehnen.
Liste ablehnen oder zulassen, das ist die Frage
Denylisten sind Teil eines bedrohungsorientierten Modells, bei dem Sie alle Daten fließen lassen, außer genau dem, was Ihrer Meinung nach gestoppt werden sollte. Das Problem dabei ist, dass seit Zero-Day-Angriffe sind per Definition nicht bekannt, sie sind standardmäßig zugelassen und transparent, genau wie ein falsch positives Ergebnis.
Denylisten neigen auch dazu, ressourcenintensiv zu sein. Eine ganze Datei einzulesen und dann monolithisch entscheiden zu müssen, ob sie zugelassen oder verweigert werden soll, nimmt eine Menge CPU-Zyklen in Anspruch. Und um sie auf dem neuesten Stand zu halten, sind entweder regelmäßige manuelle Updates oder ein dynamischer Service erforderlich.
Eine Zulassungsliste folgt einem vertrauensorientierten Modell, das alles ablehnt und nur das zulässt, was Sie ausdrücklich zulassen — eine bessere Wahl in modernen Rechenzentren. Seien wir ehrlich, die Liste dessen, was Sie tun in Ihrem Rechenzentrum eine Verbindung herstellen möchten, ist viel kleiner als das, was Sie tun Sie nicht Ich möchte eine Verbindung herstellen, oder? Dadurch werden Fehlalarme sofort reduziert, wenn nicht sogar ausgeschlossen.
Allowlists beanspruchen wenig Systemressourcen und eignen sich daher perfekt für Server. Sie lesen die Metadaten eines Flows, indexieren ihn anhand des Dateinamens und erlauben oder verweigern dann an der lokalen Quelle. Einfach und schnell. Die Achillesferse für Allowlists ist jedoch, sie zu verwalten. Bedenken Sie, dass Sie im Grunde jeden möglichen Verkehrsfluss zu und von jeder möglichen Arbeitslast in jeder möglichen Kombination verwalten. Allowlists sind sicherlich großartig, aber Mann am Leben, brauchen Sie einen zentralen Controller.
Es gibt immer eine Grauzone
Natürlich gibt es eine Grauzone. Wie bei jedem IT-Beispiel sollte immer ein Loblied auf Kuipers' Axiom sein, das besagt: „In den meisten Fällen und zu den meisten Zeiten verändert sich die Welt kontinuierlich.“ Oder wie wir es nennen: „Es kommt darauf an.“
Zugriffskontrolllisten sind das „es kommt darauf an“ in dieser Gleichung, da sie technisch gesehen entweder als Verweigerungs- oder Zulassungslisten verwendet werden können. (Wenn du gerade angefangen hast, die Melodie von Michael Jackson zu singen, bist du großartig!) Wie jeder Networking 101-Student bestätigen kann, haben ACLs am Ende implizit ein „Alle verweigern“, was sie zu einer Zulassungsliste macht. Es ist jedoch eine gängige bewährte Methode, DENY-Anweisungen in die ACL einzufügen, wobei am Ende ein „Erlauben Sie alle“ steht, wodurch die ACL zu einer Ablehnungsliste wird.
Also, was jetzt?
Sicherheit ist wie ein gutes Stück roter Samtkuchen — Schichten machen den Unterschied. Keine einzige Lösung wird das Ende von allem sein. Ehrlich gesagt sind Denylisten theoretisch viel weniger Arbeit. Das Problem ist, dass Denylisten mit zunehmenden Bedrohungen immer weniger effektiv werden. Sie sind anfälliger für Fehler und benötigen langfristig mehr Wartung.
Denylisten haben ihren Platz am Rand des Netzwerks für Nord-Süd-Datenflüsse, wo die Grenzen statischer sind und als grobkörniger Filter wirken. Aber innerhalb des Rechenzentrums fließt der Großteil des Datenverkehrs. Hier ist eine detaillierte Steuerung erforderlich, um Workloads zu schützen, die sich überall hin bewegen, IP-Adressen ändern, Anwendungen hoch- und herunterfahren usw. Allowlists sind die perfekte Lösung für den Datenfluss von Ost nach West. In der Standardeinstellung vertrauen sie nichts.
Mein Vater pflegte zu sagen: „Wenn du nur einen Hammer hast, ist alles ein Nagel.“ Im hochgradig skalierbaren und flexiblen Rechenzentrum von heute ist es an der Zeit, den Hammer wegzulegen und sich die Präzisionswerkzeuge zu schnappen.