.png)
Positivliste vs. Verweigerungsliste
Eine der angeborenen Eigenschaften von Wassersäcken auf Kohlenstoffbasis ist das Bedürfnis, unsere Umgebung zu organisieren. Wenn wir wirklich etwas verstehen wollen, müssen wir uns zuerst ansehen, wie es organisiert ist. Wenn die Leute ihr Unternehmen wirklich lieben, nennen sie es "Kultur", und wenn sie es hassen, geben sie anderen die Schuld.
In der Informatik organisieren wir Daten überall. Zum Beispiel baut Sicherheit auf der Idee der Organisation auf, da sie sich auf Beziehungen bezieht und darauf, ob wir sie zulassen oder ablehnen. Auf der einen Seite des organisatorischen Zauns haben wir Verweigerungslisten und auf der anderen Seite haben wir Zulassungslisten. Denken Sie daran, dass wir lediglich versuchen, Datenverkehr von verschiedenen Entitäten zuzulassen oder zu verweigern.
Verweigerung oder Zulassungsliste, das ist hier die Frage
Denylists sind Teil eines bedrohungszentrierten Modells, bei dem Sie alle Daten fließen lassen, mit Ausnahme von genau dem, was Ihrer Meinung nach gestoppt werden soll. Das Problem dabei ist, dass Zero-Day-Angriffe , da sie per Definition nicht bekannt sind, standardmäßig zugelassen werden und transparent sind, genau wie ein Fehlalarm.
Denylists neigen auch dazu, ressourcenintensiv zu sein. Eine ganze Datei einlesen zu müssen und dann monolithisch zu entscheiden, ob sie erlaubt oder verweigert wird, erfordert viele CPU-Zyklen. Und um sie auf dem neuesten Stand zu halten, sind entweder regelmäßige manuelle Updates oder ein dynamischer Service erforderlich.
Eine Positivliste folgt einem vertrauenszentrierten Modell, das alles ablehnt und nur das zulässt, was Sie explizit zulassen – eine bessere Wahl in den heutigen Rechenzentren. Seien wir ehrlich, die Liste dessen, was Sie in Ihrem Rechenzentrum verbinden möchten, ist viel kleiner als das, was Sie nicht verbinden möchten, oder? Dadurch werden Fehlalarme sofort reduziert, wenn nicht sogar eliminiert.
Zulassungslisten sind ressourcenschonend, was sie perfekt für Server macht. Sie lesen die Metadaten eines Flows, indizieren ihn nach Dateinamen und lassen ihn dann an der lokalen Quelle zu oder verweigern sie. Einfach und schnell. Die Achillesferse für Zulassungslisten ist jedoch deren Verwaltung. Bedenken Sie, dass Sie im Grunde jeden möglichen Datenverkehrsfluss zu und von jeder möglichen Arbeitslast in jeder möglichen Kombination verwalten. Allowlists sind sicherlich großartig, aber Sie brauchen einen zentralen Controller.
Es gibt immer eine Grauzone
Natürlich gibt es eine Grauzone. Wie bei jedem IT-Beispiel sollte immer auch das Axiom von Kuipers berücksichtigt werden, das besagt: "In den meisten Fällen und zu den meisten Zeiten verändert sich die Welt ständig." Oder wie wir es nennen: "Es kommt darauf an."
Zugriffskontrolllisten sind das "Es kommt darauf an" in dieser Gleichung, da sie technisch gesehen entweder als Verweigerungs- oder Zulassungslisten verwendet werden können. (Wenn du gerade erst angefangen hast, die Michael Jackson-Melodie zu singen, bist du großartig!) Wie jeder Networking 101-Student bestätigen kann, haben ACLs am Ende ein implizites "deny any any", was sie zu einer Zulassungsliste macht. Als gängige Best Practice setzen wir jedoch DENY-Anweisungen in die ACL mit einem "permit any any" am Ende, was sie zu einer Verweigerungsliste macht.
Also, was nun?
Sicherheit ist wie ein großartiges Stück roter Samtkuchen – Schichten machen den Unterschied. Keine einzelne Lösung wird das Ende aller sein. Ehrlich gesagt, sind Leugner in der Theorie viel weniger Arbeit. Das Problem ist, dass mit zunehmender Bedrohung die Leugner immer weniger effektiv werden. Sie sind anfälliger für Fehler und benötigen langfristig mehr Wartung.
Denylists haben ihren Platz am Rand des Netzwerks für Nord-Süd-Datenflüsse, wo die Grenzen statischer sind und als grobkörniger Filter fungieren. Aber innerhalb des Rechenzentrums fließt der Großteil des Datenverkehrs. Hier ist eine fein abgestufte Kontrolle erforderlich, um Workloads zu schützen, die sich überall hin bewegen, IP-Adressen ändern, Anwendungen hoch- und wieder herunterfahren usw. Positivlisten sind die perfekte Lösung für den Ost-West-Datenfluss. Standardmäßig vertrauen sie nichts.
Mein Vater pflegte zu sagen: "Wenn du nur einen Hammer hast, ist alles ein Nagel." Im heutigen massiv skalierbaren und flexiblen Rechenzentrum ist es an der Zeit, den Hammer wegzulegen und sich die Präzisionswerkzeuge zu schnappen.
.webp)
