Lista de permitidos frente a lista de bloqueados

Una de las características innatas de las bolsas de agua a base de carbono es la necesidad de organizar nuestro entorno. Si realmente queremos entender algo, primero debemos ver cómo está organizado. Ahora, cuando la gente realmente ama a su organización, la llaman "cultura", y cuando la odian, culpan a los demás.

En Ciencias de la Computación, organizamos datos por todas partes. Por ejemplo, la seguridad se basa en la idea de organización en relación con las relaciones y si las permitimos o las negamos. En un lado de la valla organizacional tenemos listas de bloqueados y en el otro lado, tenemos listas de permitidos. Recuerde, todo lo que estamos tratando de hacer es permitir o denegar el tráfico de diferentes entidades. 

Incluir en la lista de bloqueados o en la lista de permitidos, esa es la cuestión

Las listas de denegación son parte de un modelo centrado en amenazas en el que permite que fluyan todos los datos, excepto exactamente lo que dice que debe detener. El problema aquí es que, dado que los ataques de día cero , por definición, no se conocen, se permiten de forma predeterminada y son transparentes, como un falso positivo. 

Las listas de denegación también tienden a consumir muchos recursos. Tener que leer un archivo completo y luego determinar si permitir o denegar monolíticamente requiere muchos ciclos de CPU. Y, mantenerlos actualizados, requiere actualizaciones manuales periódicas o un servicio dinámico.

Una lista de permitidos sigue un modelo centrado en la confianza que niega todo y solo permite lo que usted permite explícitamente, una mejor opción en los centros de datos actuales. Seamos realistas, la lista de lo que desea conectar en su centro de datos es mucho más pequeña que lo que no desea conectar, ¿verdad? Esto reduce inmediatamente, si no elimina, los falsos positivos.

Las listas de permitidos consumen pocos recursos del sistema, lo que las hace perfectas para los servidores. Leen los metadatos de un flujo, lo indexan por nombre de archivo y luego permiten o deniegan en la fuente local. Simple y rápido. Sin embargo, el talón de Aquiles para las listas de permitidos es gestionarlas. Considere que básicamente está gestionando todos los flujos posibles de tráfico hacia y desde cada carga de trabajo posible en todas las combinaciones posibles. Las listas de permitidos son geniales, sin duda, pero man alive necesita un controlador centralizado. 

Siempre hay un área gris

Por supuesto, hay un área gris. Al igual que con cualquier ejemplo de TI, siempre debe haber un saludo al axioma de Kuipers, que dice: "En la mayoría de los sentidos, y en la mayoría de los casos, el mundo cambia continuamente". O como lo llamamos, "Depende". 

Las listas de control de acceso son el "depende" en esta ecuación porque técnicamente se pueden usar como listas de denegación o de permitidos. (Si acabas de empezar a cantar la melodía de Michael Jackson, ¡eres asombrosa!) Como puede atestiguar cualquier estudiante de Networking 101, las ACL tienen un "denegar cualquiera" implícito al final, lo que las convierte en una lista de permitidos. Sin embargo, como una práctica recomendada común, colocamos declaraciones DENY en la ACL con un "permitir cualquier cualquiera" al final, lo que lo convierte en una lista de bloqueados.

¿Y ahora qué?

La seguridad es como un gran trozo de pastel de terciopelo rojo: las capas marcan la diferencia. Ninguna solución única va a ser el fin de todo. Honestamente, los negacionistas son mucho menos trabajo en teoría. El problema es que a medida que aumentan las amenazas, las listas de negados se vuelven cada vez menos efectivas. Son más propensos a errores y requieren más mantenimiento a largo plazo. 

Las listas de denegación tienen su lugar en el perímetro de la red para los flujos de datos norte-sur, donde los límites son más estáticos y actúan como un filtro de grano grueso. Pero dentro del centro de datos es donde fluye la mayor parte del tráfico. Aquí se requiere un control detallado para proteger las cargas de trabajo que se mueven por todas partes, cambian las direcciones IP, suben y bajan las aplicaciones, etc. Las listas de permitidos son la solución perfecta para el flujo de datos este-oeste. Por defecto, no confían en nada. 

Mi papá solía decir: "Cuando todo lo que tienes es un martillo, todo es un clavo". En el centro de datos enormemente escalable y flexible de hoy, es hora de almacenar el martillo e ir a buscar las herramientas de precisión.