.png)
Lista de permissões versus lista de negação
Uma das características inatas dos sacos de água à base de carbono é a necessidade de organizar nosso ambiente. Se realmente quisermos entender alguma coisa, precisamos primeiro ver como ela é organizada. Agora, quando as pessoas realmente amam sua organização, elas a chamam de “cultura” e, quando a odeiam, colocam a culpa nos outros.
Na Ciência da Computação, organizamos dados em todos os lugares. Por exemplo, a segurança se baseia na ideia de organização no que se refere aos relacionamentos e se os permitimos ou negamos. De um lado da cerca organizacional, temos listas de negação e, do outro lado, temos listas de permissões. Lembre-se de que tudo o que estamos tentando fazer é permitir ou negar o tráfego de diferentes entidades.
Lista de negações ou listas de permissões, eis a questão
As listas de negação fazem parte de um modelo centrado em ameaças, no qual você permite que todos os dados fluam, exceto exatamente o que você diz que deveria ser interrompido. O problema aqui é que, como os ataques de dia zero são, por definição, desconhecidos, eles são permitidos por padrão e são transparentes, assim como um falso positivo.
Os negacionistas também tendem a consumir muitos recursos. Ter que ler um arquivo inteiro e depois determinar se permite ou nega monoliticamente exige muitos ciclos de CPU. Além disso, mantê-los atualizados exige atualizações manuais regulares ou um serviço dinâmico.
Uma lista de permissões segue um modelo centrado na confiança que nega tudo e só permite o que você permite explicitamente — uma opção melhor nos data centers atuais. Sejamos sinceros, a lista do que você deseja conectar em seu data center é muito menor do que o que você não deseja conectar, certo? Isso imediatamente reduz, se não elimina, os falsos positivos.
As listas de permissões têm poucos recursos do sistema, o que as torna perfeitas para servidores. Eles leem os metadados de um fluxo, os indexam pelo nome do arquivo e, em seguida, permitem ou negam na fonte local. Simples e rápido. No entanto, o calcanhar de Aquiles das listas de permissões é gerenciá-las. Considere que você está gerenciando basicamente todos os fluxos possíveis de tráfego de e para todas as cargas de trabalho possíveis em todas as combinações possíveis. As listas de permissões são ótimas, com certeza, mas, cara, você precisa de um controlador centralizado.
Sempre há uma área cinzenta
Claro, há uma área cinzenta. Como em qualquer exemplo de TI, sempre deve haver uma referência ao axioma de Kuipers, que afirma: “Na maioria das formas e na maioria das vezes, o mundo muda continuamente”. Ou, como chamamos, “Depende”.
As listas de controle de acesso são “depende” dessa equação porque, tecnicamente, elas podem ser usadas como listas de negação ou permissão. (Se você acabou de começar a cantar a música de Michael Jackson, você é incrível!) Como qualquer estudante do Networking 101 pode atestar, as ACLs têm um “negar qualquer coisa” implícito no final, o que as torna uma lista de permissões. No entanto, como uma prática recomendada comum, colocamos as declarações DENY na ACL com um “permitir qualquer coisa” no final, o que a transforma em uma lista de negação.
Então, e agora?
A segurança é como um ótimo pedaço de bolo de veludo vermelho — as camadas fazem toda a diferença. Nenhuma solução única será o fim de tudo. Honestamente, os negacionistas dão muito menos trabalho em teoria. O problema é que, à medida que as ameaças aumentam, os negacionistas se tornam cada vez menos eficazes. Eles são mais propensos a erros e exigem mais manutenção a longo prazo.
Os negacionistas têm seu lugar no perímetro da rede para fluxos de dados norte-sul, onde os limites são mais estáticos e atuam como um filtro de granulação grossa. Mas dentro do data center é onde a maioria do tráfego flui. Um controle refinado é necessário aqui para proteger cargas de trabalho que estão se movendo por todo lugar, alterando endereços IP, aumentando e diminuindo aplicativos, etc. As listas de permissões são a solução perfeita para o fluxo de dados leste-oeste. Por padrão, eles não confiam em nada.
Meu pai costumava dizer: “Quando tudo que você tem é um martelo, tudo é um prego”. No data center altamente escalável e flexível de hoje, é hora de largar o martelo e pegar as ferramentas de precisão.
.webp)
