許可リストと拒否リスト

炭素ベースの水袋の生来の特徴の 1 つは、周囲を整理する必要があることです。本当に何かを理解したいのであれば、まずそれがどのように構成されているかを見る必要があります。さて、人々が自分の組織を本当に愛しているときはそれを「文化」と呼び、嫌いなときはそれを他人のせいにします。

コンピュータサイエンスでは、あちこちでデータを整理します。たとえば、セキュリティは、関係と、それを許可するか拒否するかに関連する組織の考え方に基づいて構築されます。組織のフェンスの片側には拒否リストがいて、もう片側には許可リストがあります。私たちがやろうとしているのは、さまざまなエンティティからのトラフィックを許可または拒否することだけであることを忘れないでください。 

拒否リストにするか、許可リストに登録するか、それが問題です

拒否リストは、脅威中心のモデルの一部であり、停止すべきと言ったものを除いて、すべてのデータの流れを許可します。ここでの問題は、 ゼロデイ攻撃は 定義上知られていないため、誤検知と同様にデフォルトで許可され、透過的であるということです。 

また、拒否リストはリソースを大量に消費する傾向があります。ファイル全体を読み込んでから、モノリシックに許可または拒否を決定するには、多くの CPU サイクルがかかります。また、それらを最新の状態に保つには、定期的な手動更新または動的サービスのいずれかが必要です。

許可リストは、すべてを拒否し、明示的に許可したもののみを許可する信頼中心のモデルに従っており、今日のデータセンターではより良い選択です。正直に言うと、データセンターで接続したいもののリストは、接続したくないものよりもはるかに少ないですよね?これにより、誤検知が排除されないにしても、すぐに削減されます。

許可リストはシステムリソースに少ないため、サーバーに最適です。フローのメタデータを読み取り、ファイル名でインデックスを付けてから、ローカルソースで許可または拒否します。シンプルで迅速。ただし、許可リストのアキレス腱は、許可リストの管理です。基本的に、考えられるすべてのワークロードとの間で送受信されるすべてのトラフィック フローを、あらゆる可能な組み合わせで管理していると考えてください。許可リストは確かに素晴らしいですが、生きている人には集中コントローラーが必要です。 

常にグレーゾーンがあります

もちろんグレーゾーンはあります。他の IT の例と同様に、「ほとんどの方法で、ほとんどの場合、世界は絶えず変化している」というカイパースの公理を常に称賛する必要があります。あるいは、私たちが「場合によります」と呼んでいます。 

アクセス制御リストは、技術的には拒否リストまたは許可リストとして使用できるため、この方程式の「状況によって異なります」です。(マイケル・ジャクソンの曲を歌い始めたばかりの人は、素晴らしいです!Networking 101の学生なら誰でも証明できるように、ACLの末尾には暗黙の「deny any any」があり、許可リストになります。ただし、一般的なベストプラクティスとして、ACLの末尾に「permit any any」を付けてDENYステートメントを配置すると、拒否リストになります。

それで、今どうする?

セキュリティは赤いベルベットのケーキのようなもので、レイヤーが大きな違いを生みます。単一の解決策がすべてであるという終わりではありません。正直に言うと、否定論者は理論的にははるかに少ない作業です。問題は、脅威が増大するにつれて、拒否主義者の効果がますます低下することです。エラーが発生しやすく、長期的にはより多くのメンテナンスが必要になります。 

拒否リストは、南北データフローのネットワークの境界に位置し、境界はより静的であり、粗いフィルターとして機能します。しかし、データセンター内はトラフィックの大部分が流れる場所です。ここでは、あちこちに移動したり、IPアドレスを変更したり、アプリケーションのスピンアップとバックダウンを行ったりするワークロードを保護するために、きめ細かな制御が必要です。許可リストは、東西のデータフローに最適なソリューションです。デフォルトでは、何も信頼しません。 

父はよく「ハンマーしか持っていないときは、すべてが釘だ」と言っていました。今日の非常にスケーラブルで柔軟なデータセンターでは、ハンマーを片付けて精密なツールを手に入れる時が来ました。