¿Qué es una lista de control de acceso (ACL) basada en IP?
Las etiquetas de servicio de Azure se introdujeron en 2018 para simplificar la administración de la seguridad de red en Azure. Una etiqueta de servicio representa grupos de prefijos de dirección IP asociados a servicios específicos de Azure y se puede usar en grupos de seguridad de red (NSG), Azure Firewall y rutas definidas por el usuario (UDR). Aunque la intención de las etiquetas de servicio es simplificar la habilitación de las ACL basadas en IP, no deberían ser las únicas medidas de seguridad implementadas.
Para obtener más información sobre las etiquetas de servicio en Azure, consulte Etiquetas de servicio.
Fondo
Una de las recomendaciones y procedimientos estándar es usar una lista de control de acceso (ACL) para proteger un entorno frente al tráfico perjudicial. Las listas de acceso son una declaración de criterios y acciones. Los criterios definen el patrón que debe coincidir, como una dirección IP. Las acciones indican cuál es la operación esperada que se debe realizar, como autorizar o denegar. Estos criterios y acciones se pueden establecer en el tráfico de red en función del puerto y la dirección IP. Las conversaciones TCP (protocolo de control de transmisión) basadas en el puerto y la dirección IP se identifican con una tupla de cinco elementos.
La tupla tiene cinco elementos:
Protocolo (TCP)
Dirección IP de origen (la dirección IP que envió el paquete)
Puerto de origen (el puerto que se usó para enviar el paquete)
Dirección IP de destino (donde debe ir el paquete)
Puerto de destino
Cuando configura ACL de IP, está configurando una lista de direcciones IP a las que quiere permitir atravesar la red y bloquear todas las demás. Además, está aplicando estas directivas no solo en la dirección IP, sino también en el puerto.
Las ACL basadas en IP se pueden configurar en distintos niveles de una red desde el dispositivo de red a los firewalls. Las ACL de IP son útiles para reducir los riesgos de seguridad de red, como el bloqueo de ataques por denegación de servicio y la definición de aplicaciones y puertos que pueden recibir tráfico. Por ejemplo, para proteger un servicio web, se puede crear una ACL para permitir solo el tráfico web y bloquear todo el resto del tráfico.
Etiquetas de servicio y Azure
Las direcciones IP dentro de Azure tienen protecciones habilitadas de forma predeterminada para crear capas adicionales de protecciones contra las amenazas de seguridad. Estas protecciones incluyen la protección integrada contra DDoS y las protecciones en el perímetro, como la habilitación de la infraestructura de clave pública de recursos (RPKI). RPKI es un marco diseñado para mejorar la seguridad de la infraestructura de enrutamiento de Internet al habilitar la confianza criptográfica. RPKI protege las redes de Microsoft para asegurarse de que nadie más intente anunciar el espacio IP de Microsoft en Internet.
Muchos clientes habilitan etiquetas de servicio como parte de su estrategia de defensa. Las etiquetas de servicio son etiquetas que identifican los servicios de Azure por sus intervalos IP. El valor de las etiquetas de servicio es la lista de prefijos que se administran automáticamente. La administración automática reduce la necesidad de mantener y realizar un seguimiento manual de las direcciones IP individuales. El mantenimiento automatizado de las etiquetas de servicio garantiza que, a medida que los servicios mejoran sus ofertas para proporcionar redundancia y funcionalidades de seguridad mejoradas, usted se beneficia inmediatamente. Las etiquetas de servicio reducen el número de toques manuales necesarios y garantizan que el tráfico de un servicio sea siempre preciso. La habilitación de una etiqueta de servicio como parte de un grupo de seguridad de red o UDR permite habilitar las ACL basadas en IP especificando a qué etiqueta de servicio se le permite enviar tráfico.
Limitaciones
Uno de los problemas de confiar únicamente en las ACL basadas en IP es que las direcciones IP pueden falsificarse si no se implementa RPKI. Azure aplica automáticamente las protecciones contra DDoS y RPKI para mitigar la suplantación de IP. La suplantación de IP es una categoría de actividad malintencionada en la que la IP en la que cree que puede confiar ya no es una IP en la que deba confiar. Mediante el uso de una dirección IP para pretender ser un origen de confianza, el tráfico obtiene acceso a su equipo, dispositivo o red.
Una dirección IP conocida no significa necesariamente que sea segura o confiable. La suplantación de IP puede producirse no solo en una capa de red, sino también en las aplicaciones. Las vulnerabilidades en los encabezados HTTP permiten a los hackers insertar cargas que conducen a eventos de seguridad. Las capas de validación deben producirse no solo desde la red, sino también dentro de las aplicaciones. Crear una filosofía de confiar pero verificar es necesario con los avances que se están produciendo en los ciberataques.
Avance
Cada servicio documenta el rol y el significado de los prefijos IP en su etiqueta de servicio. Las etiquetas de servicio no bastan por sí solas para proteger el tráfico si no se tiene en cuenta la naturaleza del servicio y el tráfico que envía.
Los prefijos IP y la etiqueta de servicio de un servicio pueden tener tráfico y usuarios más allá del propio servicio. Si un servicio de Azure permite destinos controlables por el cliente, el cliente permite accidentalmente el tráfico controlado por otros usuarios del mismo servicio de Azure. Comprender el significado de cada etiqueta de servicio que desea usar le ayuda a comprender el riesgo e identificar capas adicionales de protección necesarias.
Siempre es un procedimiento recomendado implementar la autenticación y autorización para el tráfico en lugar de confiar solo en las direcciones IP. Las validaciones de los datos proporcionados por el cliente, incluidos los encabezados, agregan ese siguiente nivel de protección contra la suplantación de identidad. Azure Front Door (AFD) incluye protecciones extendidas mediante la evaluación del encabezado y garantiza que coincide con su aplicación y su identificador. Para obtener más información sobre las protecciones extendidas de Azure Front Door, consulte Protección del tráfico a los orígenes de Azure Front Door.
Resumen
Las ACL basadas en IP, como las etiquetas de servicio, son una buena defensa de seguridad al restringir el tráfico de red, pero no deben ser la única capa de defensa contra el tráfico malintencionado. La implementación de tecnologías disponibles en Azure, como Private Link y la Inserción de red virtual, además de las etiquetas de servicio, mejoran la posición de seguridad. Para obtener más información sobre Private Link y la Inserción de red virtual, consulte Azure Private Link e Implementar servicios de Azure dedicados en redes virtuales.