مشاركة عبر

ما هي قائمة التحكم في الوصول المستندة إلى IP (ACL)؟

  • مقالة

تم تقديم علامات خدمة Azure في عام 2018 لتبسيط إدارة أمان الشبكة في Azure. تمثل علامة الخدمة مجموعات من بادئات عناوين IP المقترنة بخدمات Azure معينة ويمكن استخدامها في مجموعات أمان الشبكة (NSGs) وجدار حماية Azure والمسارات المعرفة من قبل المستخدم (UDR). في حين أن الهدف من علامات الخدمة هو تبسيط تمكين قوائم التحكم في الوصول المستندة إلى IP، فإنه لا ينبغي أن يكون التدابير الأمنية الوحيدة التي يتم تنفيذها.

لمزيد من المعلومات حول علامات الخدمة في Azure، راجع علامات الخدمة.

خلفية

تتمثل إحدى التوصيات والإجراءات القياسية في استخدام قائمة التحكم بالوصول (ACL) لحماية بيئة من حركة المرور الضارة. قوائم الوصول هي عبارة عن معايير وإجراءات. تحدد المعايير النمط المراد مطابقته مثل عنوان IP. وتشير الإجراءات إلى العملية المتوقعة التي ينبغي تنفيذها، مثل التصريح أو الرفض. يمكن إنشاء هذه المعايير والإجراءات على حركة مرور الشبكة استنادا إلى المنفذ وIP. يتم تحديد محادثات TCP (بروتوكول التحكم في الإرسال) استنادا إلى المنفذ وIP مع خمس مجموعات.

تحتوي المجموعة على خمسة عناصر:

  • البروتوكول (TCP)

  • عنوان IP المصدر (الذي أرسل IP الحزمة)

  • منفذ المصدر (المنفذ الذي تم استخدامه لإرسال الحزمة)

  • عنوان IP الهدف (حيث يجب أن تذهب الحزمة)

  • المنفذ الهدف

عند إعداد قوائم التحكم بالوصول IP، تقوم بإعداد قائمة بعناوين IP التي تريد السماح لها باجتياز الشبكة وحظر جميع العناوين الأخرى. بالإضافة إلى ذلك، أنت تطبق هذه النهج ليس فقط على عنوان IP ولكن أيضا على المنفذ.

يمكن إعداد قوائم التحكم في الوصول المستندة إلى IP على مستويات مختلفة من الشبكة من جهاز الشبكة إلى جدران الحماية. تعد قوائم التحكم في الوصول عبر الإنترنت مفيدة لتقليل مخاطر أمان الشبكة، مثل حظر هجمات رفض الخدمة وتحديد التطبيقات والمنافذ التي يمكن أن تتلقى حركة المرور. على سبيل المثال، لتأمين خدمة ويب، يمكن إنشاء قائمة التحكم بالوصول (ACL) للسماح فقط بنسبة استخدام الشبكة على الويب وحظر كل حركة المرور الأخرى.

علامات Azure والخدمة

تحتوي عناوين IP داخل Azure على حماية ممكنة افتراضيا لإنشاء طبقات إضافية من الحماية ضد تهديدات الأمان. تتضمن هذه الحماية حماية DDoS المتكاملة والحماية على الحافة مثل تمكين البنية الأساسية للمفتاح العام للموارد (RPKI). RPKI هو إطار عمل مصمم لتحسين الأمان للبنية الأساسية لتوجيه الإنترنت من خلال تمكين ثقة التشفير. يحمي RPKI شبكات Microsoft لضمان عدم محاولة أي شخص آخر الإعلان عن مساحة MICROSOFT IP على الإنترنت.

يقوم العديد من العملاء بتمكين علامات الخدمة كجزء من استراتيجية الدفاع الخاصة بهم. علامات الخدمة هي تسميات تحدد خدمات Azure من خلال نطاقات IP الخاصة بها. قيمة علامات الخدمة هي قائمة البادئات التي تتم إدارتها تلقائيا. تقلل الإدارة التلقائية من الحاجة إلى الحفاظ على عناوين IP الفردية وتتبعها يدويا. تضمن الصيانة التلقائية لعلامات الخدمة أنه نظرا لأن الخدمات تعزز عروضها لتوفير التكرار وقدرات الأمان المحسنة، فإنك تستفيد على الفور. تقلل علامات الخدمة من عدد اللمسات اليدوية المطلوبة وتأكد من دقة نسبة استخدام الشبكة لخدمة ما دائما. يؤدي تمكين علامة الخدمة كجزء من NSG أو UDR إلى تمكين قوائم التحكم في الوصول المستندة إلى IP عن طريق تحديد علامة الخدمة المسموح لها بإرسال حركة المرور إليك.

القيود

أحد التحديات التي تواجه الاعتماد فقط على قوائم التحكم بالوصول المستندة إلى IP هو أنه يمكن تزوير عناوين IP إذا لم يتم تنفيذ RPKI. يطبق Azure تلقائيا حماية RPKI وDDoS للتخفيف من تزييف هوية IP. تزييف هوية IP هي فئة من النشاط الضار حيث IP الذي تعتقد أنه يمكنك الوثوق به لم يعد IP يجب أن تثق به. باستخدام عنوان IP للتظاهر بأنه مصدر موثوق به، فإن نسبة استخدام الشبكة هذه تكتسب حق الوصول إلى الكمبيوتر أو الجهاز أو الشبكة.

لا يعني عنوان IP المعروف بالضرورة أنه آمن أو جدير بالثقة. يمكن أن يحدث تزييف هوية IP ليس فقط في طبقة الشبكة ولكن أيضا داخل التطبيقات. تسمح الثغرات الأمنية في رؤوس HTTP للمتسللين بإدخال حمولات تؤدي إلى أحداث الأمان. يجب أن تحدث طبقات التحقق من الصحة ليس فقط من الشبكة ولكن أيضا داخل التطبيقات. بناء فلسفة الثقة ولكن التحقق ضروري مع التطورات التي تحدث في الهجمات الإلكترونية.

تحرك إلى الأمام

توثق كل خدمة دور ومعنى بادئات IP في علامة الخدمة الخاصة بها. لا تكفي علامات الخدمة وحدها لتأمين نسبة استخدام الشبكة دون النظر في طبيعة الخدمة وحركة المرور التي ترسلها.

قد يكون لبادئات IP وعلامة الخدمة لخدمة نسبة استخدام الشبكة ومستخدمون خارج الخدمة نفسها. إذا كانت خدمة Azure تسمح بالوجهات التي يمكن التحكم فيها للعميل، فإن العميل يسمح عن غير قصد بنسبة استخدام الشبكة التي يتحكم فيها مستخدمون آخرون لنفس خدمة Azure. يساعدك فهم معنى كل علامة خدمة تريد استخدامها على فهم المخاطر وتحديد طبقات إضافية من الحماية المطلوبة.

من أفضل الممارسات دائما تنفيذ المصادقة/التخويل لنسبة استخدام الشبكة بدلا من الاعتماد على عناوين IP وحدها. تضيف عمليات التحقق من صحة البيانات التي يوفرها العميل، بما في ذلك العناوين، هذا المستوى التالي من الحماية من الانتحال. يتضمن Azure Front Door (AFD) حماية موسعة من خلال تقييم الرأس ويضمن أنه يطابق التطبيق والمعرف الخاص بك. لمزيد من المعلومات حول الحماية الموسعة ل Azure Front Door، راجع تأمين نسبة استخدام الشبكة إلى أصول Azure Front Door.

الملخص

تعد قوائم التحكم في الوصول المستندة إلى IP مثل علامات الخدمة دفاعا أمنيا جيدا من خلال تقييد حركة مرور الشبكة، ولكن لا ينبغي أن تكون الطبقة الوحيدة من الدفاع ضد حركة المرور الضارة. يؤدي تنفيذ التقنيات المتوفرة لك في Azure مثل Private Link وVirtual Network Injection بالإضافة إلى علامات الخدمة إلى تحسين وضع الأمان الخاص بك. لمزيد من المعلومات حول Private Link وحقن الشبكة الظاهرية، راجع Azure Private Link ونشر خدمات Azure المخصصة في الشبكات الظاهرية.