.png)
Allowlist contre Denylist
L'une des caractéristiques innées des sacs d'eau à base de carbone est la nécessité d'organiser notre environnement. Si nous voulons vraiment comprendre quelque chose, nous devons d'abord examiner comment il est organisé. Maintenant, lorsque les gens aiment vraiment leur organisation, ils l'appellent « culture », et lorsqu'ils la détestent, ils en reprochent la responsabilité aux autres.
En informatique, nous organisons les données un peu partout. Par exemple, la sécurité repose sur l'idée d'organisation en ce qui concerne les relations et le fait que nous les autorisons ou les refusons. D'un côté de la barrière organisationnelle, nous avons des listes de refus et de l'autre, nous avons des listes d'autorisations. N'oubliez pas que tout ce que nous essayons de faire est d'autoriser ou de refuser le trafic provenant de différentes entités.
Denylist ou Allowlist, telle est la question
Les listes de refus font partie d'un modèle centré sur les menaces dans lequel vous autorisez la circulation de toutes les données, à l'exception de celles qui, selon vous, devraient être bloquées. Le problème ici est que puisque attaques de type « jour zéro » sont, par définition, inconnus, ils sont autorisés par défaut et sont transparents, tout comme un faux positif.
Les listes de refus ont également tendance à être gourmandes en ressources. Le fait de devoir lire un fichier entier puis de décider d'autoriser ou de refuser de manière monolithique prend de nombreux cycles de traitement. De plus, leur mise à jour nécessite soit des mises à jour manuelles régulières, soit un service dynamique.
Une liste d'autorisations suit un modèle centré sur la confiance qui refuse tout et n'autorise que ce que vous autorisez explicitement, ce qui constitue un meilleur choix dans les centres de données actuels. Regardons les choses en face, la liste de ce que vous faire que vous souhaitez connecter à votre centre de données est beaucoup plus petit que ce que vous ne pas Vous voulez vous connecter, non ? Cela permet de réduire immédiatement, voire d'éliminer, les faux positifs.
Les listes d'autorisation consomment peu de ressources système, ce qui les rend idéales pour les serveurs. Ils lisent les métadonnées d'un flux, l'indexent par nom de fichier, puis autorisent ou refusent la source locale. Simple et rapide. Cependant, le talon d'Achille des listes d'autorisations est de les gérer. Considérez que vous gérez essentiellement tous les flux de trafic possibles à destination et en provenance de toutes les charges de travail possibles dans toutes les combinaisons possibles. Les listes d'autorisation sont bonnes, c'est sûr, mais bon sang, avez-vous besoin d'un contrôleur centralisé ?
Il y a toujours une zone grise
Bien entendu, il y a une zone grise. Comme pour tout exemple informatique, l'axiome de Kuipers devrait toujours faire l'objet d'un appel : « À bien des égards et dans la plupart des cas, le monde change continuellement ». Ou, comme on dit, « ça dépend ».
Les listes de contrôle d'accès sont « cela dépend » de cette équation car, techniquement, elles peuvent être utilisées comme listes de refus ou comme listes d'autorisation. (Si tu viens de commencer à chanter la chanson de Michael Jackson, tu es génial !) Comme tout étudiant de Networking 101 peut en attester, les ACL comportent un message implicite « Refuser tout » à la fin, ce qui en fait une liste d'autorisations. Cependant, en tant que meilleure pratique courante, nous plaçons les instructions DENY dans l'ACL avec la mention « allow any » à la fin, ce qui en fait une liste de refus.
Alors, et maintenant ?
La sécurité, c'est comme un beau morceau de gâteau de velours rouge : les couches font toute la différence. Aucune solution unique ne sera la solution ultime. Honnêtement, les listes de dénégation demandent beaucoup moins de travail en théorie. Le problème est qu'à mesure que les menaces augmentent, les listes de dénégation deviennent de moins en moins efficaces. Ils sont plus sujets aux erreurs et nécessitent plus de maintenance à long terme.
Les denylists ont leur place au périmètre du réseau pour les flux de données nord-sud, où les limites sont plus statiques et agissent comme un filtre grossier. Mais c'est à l'intérieur du centre de données que circule la majorité du trafic. Un contrôle précis est nécessaire ici pour protéger les charges de travail qui se déplacent partout, qui changent d'adresse IP, qui font tourner les applications vers le haut et vers le bas, etc. Les listes d'autorisation constituent la solution idéale pour le flux de données est-ouest. Par défaut, ils ne font confiance à rien.
Mon père avait l'habitude de dire : « Quand tu n'as qu'un marteau, tout n'est qu'un clou. » Dans le centre de données extrêmement évolutif et flexible d'aujourd'hui, il est temps de mettre le marteau de côté et de se procurer des outils de précision.
