Lista permitida frente a lista de denylist
Una de las características innatas de las bolsas de agua a base de carbono es la necesidad de organizar nuestro entorno. Si realmente queremos entender algo, primero tenemos que mirar cómo está organizado. Ahora, cuando la gente realmente ama a su organización la llaman “cultura”, y cuando la odian, le echan la culpa a los demás.
En Ciencias de la Computación, organizamos datos por todo el lugar. Por ejemplo, la seguridad se construye sobre la idea de organización en lo que se refiere a las relaciones y si las permitimos o negamos. A un lado de la barda organizativa tenemos denylistas y del otro lado, tenemos listas de permitidos. Recuerde, todo lo que estamos tratando de hacer es permitir o negar el tráfico de diferentes entidades.
A denylist o a allowlist, esa es la cuestión
Los denylistas son parte de un modelo centrado en amenazas en el que permite que fluyan todos los datos, excepto exactamente lo que dice que debe detenerse. El problema aquí es que desde ataques de día cero son, por definición, desconocidos, están permitidos por defecto y son transparentes, al igual que un falso positivo.
Los denylistas también tienden a ser intensivos en recursos. Tener que leer en un archivo completo y luego determinar permitir o denegar monolíticamente requiere muchos ciclos de CPU. Y, mantenerlos actualizados, requiere actualizaciones manuales regulares o un servicio dinámico.
Una lista de permisos sigue un modelo centrado en la confianza que niega todo y solo permite lo que usted permite explícitamente, una mejor opción en los data centers actuales. Seamos sinceros, la lista de lo que hacer querer conectarse en su centro de datos es mucho más pequeño que lo que usted no quieres conectarte, ¿verdad? Esto reduce inmediatamente, si no elimina, los falsos positivos.
Las listas de permitidos son ligeras en cuanto a los recursos del sistema, lo que las hace perfectas para servidores. Leen los metadatos de un flujo, lo indexan por nombre de archivo, luego lo permiten o niegan en la fuente local. Sencillo y rápido. No obstante, el talón de Aquiles para las listas de permitidos es manejarlas. Tenga en cuenta que básicamente está administrando cada flujo posible de tráfico hacia y desde cada carga de trabajo posible en cada combinación posible. Las listas de permisos son geniales sin duda, pero con vida ¿necesitas un controlador centralizado?
Siempre hay una zona gris
Por supuesto, hay una zona gris. Al igual que con cualquier ejemplo de TI, siempre debería haber un grito al axioma de Kuipers, que dice: “En la mayoría de las formas, y en la mayoría de las ocasiones, el mundo cambia continuamente”. O como lo llamamos, “Depende”.
Las Listas de Control de Acceso son el “depende” en esta ecuación porque técnicamente se pueden usar como listas de denegar o de permiso. (Si acabas de empezar a cantar la melodía de Michael Jackson, ¡eres increíble!) Como cualquier estudiante de Networking 101 puede atestiguar, las ACL tienen un implícito “negar cualquier” al final, lo que la convierte en una lista de permitidos. No obstante, como mejor práctica común colocamos declaraciones DENY en la ACL con un “permiso cualquiera” al final, lo que lo convierte en una denylist.
Entonces, ¿ahora qué?
La seguridad es como un gran pedazo de pastel de terciopelo rojo — las capas marcan la diferencia. Ninguna solución única va a ser el final todo para ser todo. Honestamente, los denylistas son mucho menos trabajo en teoría. El problema es que a medida que aumentan las amenazas, los denylistas se vuelven cada vez menos efectivos. Son más propensos a errores y requieren más mantenimiento a largo plazo.
Los denylistas tienen su lugar en el perímetro de la red para los flujos de datos norte-sur, donde los límites son más estáticos y actúan como un filtro de grano grueso. Pero dentro del data center es donde fluye la mayor parte del tráfico. Aquí se requiere un control detallado para proteger las cargas de trabajo que se mueven por todas partes, cambiando direcciones IP, girando aplicaciones hacia arriba y hacia abajo, etc. Las listas de permitidos son la solución perfecta para el flujo de datos de este a oeste. Por defecto, no confían en nada.
Mi papá solía decir: “Cuando todo lo que tienes es un martillo, todo es un clavo”. En el centro de datos flexible y masivamente escalable de hoy, es hora de dejar el martillo y tomar las herramientas de precisión.