/
Segmentación de confianza cero

Lista permitida frente a lista de denylist

Una de las características innatas de las bolsas de agua a base de carbono es la necesidad de organizar nuestro entorno. Si realmente queremos entender algo, primero tenemos que mirar cómo está organizado. Ahora, cuando la gente realmente ama a su organización la llaman “cultura”, y cuando la odian, le echan la culpa a los demás.

En Ciencias de la Computación, organizamos datos por todo el lugar. Por ejemplo, la seguridad se construye sobre la idea de organización en lo que se refiere a las relaciones y si las permitimos o negamos. A un lado de la barda organizativa tenemos denylistas y del otro lado, tenemos listas de permitidos. Recuerde, todo lo que estamos tratando de hacer es permitir o negar el tráfico de diferentes entidades.

A denylist o a allowlist, esa es la cuestión

Los denylistas son parte de un modelo centrado en amenazas en el que permite que fluyan todos los datos, excepto exactamente lo que dice que debe detenerse. El problema aquí es que desde ataques de día cero son, por definición, desconocidos, están permitidos por defecto y son transparentes, al igual que un falso positivo.

Los denylistas también tienden a ser intensivos en recursos. Tener que leer en un archivo completo y luego determinar permitir o denegar monolíticamente requiere muchos ciclos de CPU. Y, mantenerlos actualizados, requiere actualizaciones manuales regulares o un servicio dinámico.

Una lista de permisos sigue un modelo centrado en la confianza que niega todo y solo permite lo que usted permite explícitamente, una mejor opción en los data centers actuales. Seamos sinceros, la lista de lo que hacer querer conectarse en su centro de datos es mucho más pequeño que lo que usted no quieres conectarte, ¿verdad? Esto reduce inmediatamente, si no elimina, los falsos positivos.

Las listas de permitidos son ligeras en cuanto a los recursos del sistema, lo que las hace perfectas para servidores. Leen los metadatos de un flujo, lo indexan por nombre de archivo, luego lo permiten o niegan en la fuente local. Sencillo y rápido. No obstante, el talón de Aquiles para las listas de permitidos es manejarlas. Tenga en cuenta que básicamente está administrando cada flujo posible de tráfico hacia y desde cada carga de trabajo posible en cada combinación posible. Las listas de permisos son geniales sin duda, pero con vida ¿necesitas un controlador centralizado?

Siempre hay una zona gris

Por supuesto, hay una zona gris. Al igual que con cualquier ejemplo de TI, siempre debería haber un grito al axioma de Kuipers, que dice: “En la mayoría de las formas, y en la mayoría de las ocasiones, el mundo cambia continuamente”. O como lo llamamos, “Depende”.

Las Listas de Control de Acceso son el “depende” en esta ecuación porque técnicamente se pueden usar como listas de denegar o de permiso. (Si acabas de empezar a cantar la melodía de Michael Jackson, ¡eres increíble!) Como cualquier estudiante de Networking 101 puede atestiguar, las ACL tienen un implícito “negar cualquier” al final, lo que la convierte en una lista de permitidos. No obstante, como mejor práctica común colocamos declaraciones DENY en la ACL con un “permiso cualquiera” al final, lo que lo convierte en una denylist.

Entonces, ¿ahora qué?

La seguridad es como un gran pedazo de pastel de terciopelo rojo — las capas marcan la diferencia. Ninguna solución única va a ser el final todo para ser todo. Honestamente, los denylistas son mucho menos trabajo en teoría. El problema es que a medida que aumentan las amenazas, los denylistas se vuelven cada vez menos efectivos. Son más propensos a errores y requieren más mantenimiento a largo plazo.

Los denylistas tienen su lugar en el perímetro de la red para los flujos de datos norte-sur, donde los límites son más estáticos y actúan como un filtro de grano grueso. Pero dentro del data center es donde fluye la mayor parte del tráfico. Aquí se requiere un control detallado para proteger las cargas de trabajo que se mueven por todas partes, cambiando direcciones IP, girando aplicaciones hacia arriba y hacia abajo, etc. Las listas de permitidos son la solución perfecta para el flujo de datos de este a oeste. Por defecto, no confían en nada.

Mi papá solía decir: “Cuando todo lo que tienes es un martillo, todo es un clavo”. En el centro de datos flexible y masivamente escalable de hoy, es hora de dejar el martillo y tomar las herramientas de precisión.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

¿Qué es importante en un modelo de políticas para la microsegmentación?
Segmentación de confianza cero

¿Qué es importante en un modelo de políticas para la microsegmentación?

De todas las características que se deben analizar en una solución de microsegmentación, la mayoría de los proveedores no comenzarían con el modelo de políticas.

Illumio logra la designación de criterios comunes
Segmentación de confianza cero

Illumio logra la designación de criterios comunes

La designación de seguridad de TI Common Criteria de Illumio, la validación de un tercero certificado por el gobierno, lo posiciona para soportar nuevos mercados globales del sector público.

Cómo la IA y el aprendizaje automático pueden acelerar la segmentación de confianza cero
Segmentación de confianza cero

Cómo la IA y el aprendizaje automático pueden acelerar la segmentación de confianza cero

Descubra cómo las innovaciones en IA y ML pueden servir como herramientas poderosas para acelerar la implementación de la Segmentación de Confianza Cero.

4 objeciones comunes a la segmentación de confianza cero y cómo superarlas
Segmentación de confianza cero

4 objeciones comunes a la segmentación de confianza cero y cómo superarlas

La segmentación de confianza cero es una forma comprobada de prevenir la propagación del ransomware, pero puede parecer abrumadora para los líderes de TI en las organizaciones de tamaño mediano. Aquí hay cuatro objeciones comunes que hemos escuchado de ellos y cómo superar cada una.

9 razones para usar Illumio para la contención de ransomware
Contención de Ransomware

9 razones para usar Illumio para la contención de ransomware

Descubra cómo la visibilidad en tiempo real y los sencillos controles de Illumio reducirán rápidamente sus mayores fuentes de riesgos de ransomware, como los puertos RDP no utilizados.

Qué hace que el agente de Illumio sea más confiable que los agentes en línea
Segmentación de confianza cero

Qué hace que el agente de Illumio sea más confiable que los agentes en línea

Al enfocarse en objetivos de reducción de riesgos y adoptar un enfoque de no intervención para los paquetes, Illumio le permite pensar en la seguridad sin preocuparse por un agente confiable.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?