Qu’est-ce qu’une liste de contrôle d’accès (ACL) basée sur IP ?
Les étiquettes de service Azure ont été introduites en 2018 pour simplifier la gestion de la sécurité réseau dans Azure. Une étiquette de service représente des groupes de préfixes d’adresses IP associés à des services Azure spécifiques. Vous pouvez utiliser des étiquettes de service dans les groupes de sécurité réseau (NSG, Network Security Group), le Pare-feu Azure et les itinéraires définis par l’utilisateur (UDR, User-Defined Route). Bien que les étiquettes de service aient pour objectif de simplifier l’activation des listes de contrôle d’accès (ACL, Access Control List) basées sur IP, elles ne doivent pas constituer la seule mesure de sécurité implémentée.
Pour plus d’informations sur les étiquettes de service dans Azure, consultez Étiquettes de service.
Background
L’une des recommandations et procédures standard consiste à utiliser une ACL pour protéger un environnement contre le trafic dangereux. Les listes d’accès sont une déclaration de critères et d’actions. Les critères définissent le modèle à mettre en correspondance, par exemple une adresse IP. Les actions indiquent l’opération attendue qui doit être effectuée, par exemple autoriser ou refuser. Ces critères et actions peuvent être établis sur le trafic réseau en fonction du port et de l’adresse IP. Les conversations TCP (Transmission Control Protocol) basées sur le port et l’adresse IP sont identifiées à l’aide d’un tuple à cinq éléments.
Voici les cinq éléments du tuple :
Protocole (TCP)
Adresse IP source (adresse IP ayant envoyé le paquet)
Port source (port utilisé pour envoyer le paquet)
Adresse IP cible (destination du paquet)
Port cible
Quand vous configurez des ACL IP, vous autorisez une liste d’adresses IP à traverser le réseau et bloquez toutes les autres. Par ailleurs, vous appliquez ces stratégies non seulement à l’adresse IP, mais aussi au port.
Vous pouvez configurer les ACL basées sur IP à différents niveaux d’un réseau, du périphérique réseau aux pare-feux. Les ACL IP sont utiles pour réduire les risques de sécurité réseau, notamment pour bloquer les attaques par déni de service et définir les ports et applications pouvant recevoir du trafic. Par exemple, pour sécuriser un service web, vous pouvez créer une ACL afin d’autoriser uniquement le trafic web et bloquer tout autre trafic.
Azure et étiquettes de service
Les adresses IP dans Azure bénéficient de protections activées par défaut pour créer des couches supplémentaires de protection contre les menaces de sécurité. Citons notamment la protection DDoS intégrée et les protections à la périphérie comme l’activation de l’infrastructure à clé publique des ressources (RPKI, Resource Public Key Infrastructure). RPKI est un framework conçu pour améliorer la sécurité de l’infrastructure du routage Internet en activant la confiance du chiffrement. RPKI protège les réseaux Microsoft afin que personne d’autre n’essaie d’annoncer l’espace IP Microsoft sur Internet.
De nombreux clients activent les étiquettes de service dans le cadre de leur stratégie de défense. Les étiquettes de service permettent d’identifier les services Azure par leurs plages d’adresses IP. La valeur des étiquettes de service est la liste des préfixes qui sont gérés automatiquement. La gestion automatique réduit la nécessité d’effectuer manuellement la maintenance et le suivi d’adresses IP individuelles. À mesure que les services améliorent leurs offres pour créer de la redondance et proposer de meilleures fonctionnalités de sécurité, la maintenance automatisée des étiquettes de service garantit des bénéfices immédiats. Les étiquettes de service réduisent le nombre d’opérations manuelles requises et garantissent que le trafic pour un service est toujours précis. L’activation d’une étiquette de service dans le cadre d’un NSG ou d’un UDR revient à activer des ACL basées sur IP en spécifiant l’étiquette de service autorisée à vous envoyer du trafic.
Limites
L’un des problèmes posés par le fait de se fier uniquement aux ACL basées sur IP est que les adresses IP peuvent être falsifiées si l’infrastructure RPKI n’est pas implémentée. Azure applique automatiquement les protections RPKI et DDoS pour atténuer l’usurpation d’adresse IP. L’usurpation d’adresse IP est une catégorie d’activité malveillante où l’adresse IP à laquelle vous pensez pouvoir faire confiance n’est plus digne de confiance. En utilisant une adresse IP pour prétendre être une source de confiance, ce trafic accède à votre ordinateur, appareil ou réseau.
Une adresse IP connue ne signifie pas nécessairement qu’elle est sûre ou digne de confiance. L’usurpation d’adresse IP peut se produire non seulement au niveau de la couche réseau, mais aussi au sein d’applications. Les vulnérabilités dans les en-têtes HTTP permettent aux pirates d’injecter des charges utiles donnant lieu à des événements de sécurité. Des couches de validation doivent exister non seulement au niveau du réseau, mais aussi au sein des applications. La mise en place d’une philosophie « Faire confiance, mais vérifier » est nécessaire compte tenu des avancées dans le domaine des cyberattaques.
Avancer
Chaque service documente le rôle et la signification des préfixes IP dans son étiquette de service. Les étiquettes de service ne suffisent pas à elles seules à sécuriser le trafic. Vous devez tenir compte de la nature du service et du trafic qu’il envoie.
Les préfixes IP et l’étiquette de service d’un service donné peuvent avoir un trafic et des utilisateurs au-delà du service lui-même. Si un service Azure autorise les destinations contrôlables par le client, le client autorise par inadvertance le trafic contrôlé par d’autres utilisateurs du même service Azure. Comprendre la signification de chaque étiquette de service que vous souhaitez utiliser vous aide à comprendre votre risque et à identifier les couches de protection supplémentaires nécessaires.
Il est toujours recommandé d’implémenter l’authentification/l’autorisation pour le trafic plutôt que de se fier uniquement aux adresses IP. Les validations des données fournies par le client, en-têtes inclus, ajoutent un niveau de protection supplémentaire contre l’usurpation. Azure Front Door (AFD) inclut des protections étendues : il évalue l’en-tête et garantit qu’il correspond à votre application et à votre identificateur. Pour plus d’informations sur les protections étendues d’Azure Front Door, consultez Sécuriser le trafic vers les origines Azure Front Door.
Résumé
Les ACL basées sur IP telles que les étiquettes de service constituent une bonne mesure de sécurité en limitant le trafic réseau, mais elles ne doivent pas être la seule couche de défense contre le trafic malveillant. L’implémentation des technologies disponibles dans Azure telles que Private Link et l’injection de réseau virtuel, en plus des étiquettes de service, vous permettront d’améliorer votre posture de sécurité. Pour plus d’informations sur Private Link et l’injection de réseau virtuel, consultez Azure Private Link et Déployer des services Azure dédiés dans des réseaux virtuels.