Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Lista permitida frente a lista de denylist

Illumio Editorial
,
August 6, 2015
23 min. lectura

Una de las características innatas de las bolsas de agua a base de carbono es la necesidad de organizar nuestro entorno. Si realmente queremos entender algo, primero tenemos que mirar cómo está organizado. Ahora, cuando la gente realmente ama a su organización la llaman “cultura”, y cuando la odian, le echan la culpa a los demás.

En Ciencias de la Computación, organizamos datos por todo el lugar. Por ejemplo, la seguridad se construye sobre la idea de organización en lo que se refiere a las relaciones y si las permitimos o negamos. A un lado de la barda organizativa tenemos denylistas y del otro lado, tenemos listas de permitidos. Recuerde, todo lo que estamos tratando de hacer es permitir o negar el tráfico de diferentes entidades.

A denylist o a allowlist, esa es la cuestión

Los denylistas son parte de un modelo centrado en amenazas en el que permite que fluyan todos los datos, excepto exactamente lo que dice que debe detenerse. El problema aquí es que desde ataques de día cero son, por definición, desconocidos, están permitidos por defecto y son transparentes, al igual que un falso positivo.

Los denylistas también tienden a ser intensivos en recursos. Tener que leer en un archivo completo y luego determinar permitir o denegar monolíticamente requiere muchos ciclos de CPU. Y, mantenerlos actualizados, requiere actualizaciones manuales regulares o un servicio dinámico.

Una lista de permisos sigue un modelo centrado en la confianza que niega todo y solo permite lo que usted permite explícitamente, una mejor opción en los data centers actuales. Seamos sinceros, la lista de lo que hacer querer conectarse en su centro de datos es mucho más pequeño que lo que usted no quieres conectarte, ¿verdad? Esto reduce inmediatamente, si no elimina, los falsos positivos.

Las listas de permitidos son ligeras en cuanto a los recursos del sistema, lo que las hace perfectas para servidores. Leen los metadatos de un flujo, lo indexan por nombre de archivo, luego lo permiten o niegan en la fuente local. Sencillo y rápido. No obstante, el talón de Aquiles para las listas de permitidos es manejarlas. Tenga en cuenta que básicamente está administrando cada flujo posible de tráfico hacia y desde cada carga de trabajo posible en cada combinación posible. Las listas de permisos son geniales sin duda, pero con vida ¿necesitas un controlador centralizado?

Siempre hay una zona gris

Por supuesto, hay una zona gris. Al igual que con cualquier ejemplo de TI, siempre debería haber un grito al axioma de Kuipers, que dice: “En la mayoría de las formas, y en la mayoría de las ocasiones, el mundo cambia continuamente”. O como lo llamamos, “Depende”.

Las Listas de Control de Acceso son el “depende” en esta ecuación porque técnicamente se pueden usar como listas de denegar o de permiso. (Si acabas de empezar a cantar la melodía de Michael Jackson, ¡eres increíble!) Como cualquier estudiante de Networking 101 puede atestiguar, las ACL tienen un implícito “negar cualquier” al final, lo que la convierte en una lista de permitidos. No obstante, como mejor práctica común colocamos declaraciones DENY en la ACL con un “permiso cualquiera” al final, lo que lo convierte en una denylist.

Entonces, ¿ahora qué?

La seguridad es como un gran pedazo de pastel de terciopelo rojo — las capas marcan la diferencia. Ninguna solución única va a ser el final todo para ser todo. Honestamente, los denylistas son mucho menos trabajo en teoría. El problema es que a medida que aumentan las amenazas, los denylistas se vuelven cada vez menos efectivos. Son más propensos a errores y requieren más mantenimiento a largo plazo.

Los denylistas tienen su lugar en el perímetro de la red para los flujos de datos norte-sur, donde los límites son más estáticos y actúan como un filtro de grano grueso. Pero dentro del data center es donde fluye la mayor parte del tráfico. Aquí se requiere un control detallado para proteger las cargas de trabajo que se mueven por todas partes, cambiando direcciones IP, girando aplicaciones hacia arriba y hacia abajo, etc. Las listas de permitidos son la solución perfecta para el flujo de datos de este a oeste. Por defecto, no confían en nada.

Mi papá solía decir: “Cuando todo lo que tienes es un martillo, todo es un clavo”. En el centro de datos flexible y masivamente escalable de hoy, es hora de dejar el martillo y tomar las herramientas de precisión.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

¿Las redes basadas en la intención son una tecnología “fallida”?
Segmentación de confianza cero

¿Las redes basadas en la intención son una tecnología “fallida”?

Conozca cómo la naturaleza confiable y escalable de IBN a su vez permite que plataformas como Illumio ofrezcan seguridad confiable y escalable en la nube.

Leer más
Movimiento lateral: cómo resolver el mayor riesgo de la nube
Segmentación de confianza cero

Movimiento lateral: cómo resolver el mayor riesgo de la nube

Descubra por qué es tan fácil para los atacantes moverse lateralmente en la nube, los cuatro errores de seguridad de la nube que lo hacen aún más fácil para ellos y cómo la microsegmentación es la clave para detener el movimiento lateral.

Leer más
Cambio cibernético, definición de confianza cero y punto final de Illumio
Segmentación de confianza cero

Cambio cibernético, definición de confianza cero y punto final de Illumio

Google prioriza la resiliencia cibernética con la adquisición de Mandiant.

Leer más
4 objeciones comunes a la segmentación de confianza cero y cómo superarlas
Segmentación de confianza cero

4 objeciones comunes a la segmentación de confianza cero y cómo superarlas

La segmentación de confianza cero es una forma comprobada de prevenir la propagación del ransomware, pero puede parecer abrumadora para los líderes de TI en las organizaciones de tamaño mediano. Aquí hay cuatro objeciones comunes que hemos escuchado de ellos y cómo superar cada una.

Leer más
9 razones para usar Illumio para la contención de ransomware
Contención de Ransomware

9 razones para usar Illumio para la contención de ransomware

Descubra cómo la visibilidad en tiempo real y los sencillos controles de Illumio reducirán rápidamente sus mayores fuentes de riesgos de ransomware, como los puertos RDP no utilizados.

Leer más
Qué hace que el agente de Illumio sea más confiable que los agentes en línea
Segmentación de confianza cero

Qué hace que el agente de Illumio sea más confiable que los agentes en línea

Al enfocarse en objetivos de reducción de riesgos y adoptar un enfoque de no intervención para los paquetes, Illumio le permite pensar en la seguridad sin preocuparse por un agente confiable.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información