許可リストと拒否リスト

カーボンベースの水袋の本質的な特徴の1つは、周囲を整理する必要があることです。本当に何かを理解したいなら、まずそれがどのように構成されているかを見る必要があります。さて、人々が自分の組織を本当に愛しているときは、それを「文化」と呼び、嫌いなときは他の人のせいにします。

コンピュータサイエンスでは、あちこちでデータを整理します。たとえば、セキュリティは、人間関係に関連する組織化という考え方と、それを許可するか拒否するかという考え方に基づいて構築されます。組織フェンスの一方には拒否リストがあり、もう一方には許可リストがあります。私たちがしようとしているのは、さまざまなエンティティからのトラフィックを許可または拒否することだけであることを忘れないでください。

拒否リストにするか許可リストに入れるか、それが問題です

拒否リストは脅威中心のモデルの一部であり、禁止すべきだとあなたが言ったことを除いて、すべてのデータの流れを許可します。ここでの問題は、それ以降 ゼロデイ攻撃 定義上は不明ですが、デフォルトでは許可されており、誤検知と同様に透明です。

また、拒否リストはリソースを大量に消費する傾向があります。ファイル全体を読み込んで、許可するか拒否するかをモノリシックに判断しなければならないと、多くの CPU サイクルが消費されます。また、それらを最新の状態に保つには、定期的な手動更新か動的なサービスのどちらかが必要です。

許可リストは、すべてを拒否し、明示的に許可したもののみを許可する信頼中心のモデルに従います。今日のデータセンターではより適切な選択肢です。現実を直視しましょう。自分が何をすべきかというリストです。行うデータセンターに接続したいデータセンターの規模は、お客様よりもずっと小さいですしてはいけないつなげたいよね?これにより、誤検出が排除されるわけではないにしても、すぐに削減されます。

許可リストはシステムリソースが少ないため、サーバーに最適です。フローのメタデータを読み取り、ファイル名でインデックスを作成し、ローカルソースで許可または拒否します。シンプルで素早い。しかし、許可リストの弱点はそれらを管理することです。基本的に、考えられるあらゆるワークロードの送受信トラフィックフローを、可能な限りの組み合わせで管理していると考えてください。許可リストは確かに素晴らしいですが、現実的に言えば、一元管理が必要なのは当然です。

グレーゾーンは常に存在する

もちろん、グレーゾーンもあります。どの IT の例でもそうであるように、「ほとんどの方法で、そしてほとんどの場合、世界は絶えず変化している」というカイパース公理には、常に声を上げる必要があります。あるいは、いわゆる「状況次第だ」と言えるでしょう。

アクセス制御リストは、厳密には拒否リストとしても許可リストとしても使用できるため、この方程式では「依存する」ものです。(マイケル・ジャクソンの曲を歌い始めたばかりなら、最高だよ!)Networking 101 の学生なら誰でもわかるように、ACL の末尾には「deny any any」という暗黙的な記述があり、これが許可リストになっています。ただし、一般的なベストプラクティスとして、ACL には DENY ステートメントの末尾に「permit any any」を付けて記述します。これにより、ACL は拒否リストになります。

それでどうする？

セキュリティはまるで赤いベルベットのケーキのようなものです。何層にも重ねることで違いが生まれます。1 つのソリューションですべてが目的になることはありません。正直なところ、拒否リストは理論的にははるかに少ない作業です。問題は、脅威が増えるにつれて、拒否リストの効果が次第に低下することです。ミスを起こしやすく、長期的にはより多くのメンテナンスを必要とします。

拒否リストは、North-South データフローのネットワークの境界に配置されます。境界はより静的で、きめ細かなフィルターの役割を果たします。しかし、データセンターの内部はトラフィックの大半が流れる場所です。IPアドレスの変更、アプリケーションの起動と停止など、あちこちに移動するワークロードを保護するには、きめ細かな制御が必要であり、ホワイトリストは東西のデータフローに最適なソリューションです。デフォルトでは、何も信用しません。

父はよくこう言っていました。「ハンマーさえあれば、なんでも釘だ。」今日の非常にスケーラブルで柔軟なデータセンターでは、ハンマーを片付けて精密ツールを手に入れる時が来ました。