Share via

Mi az IP-alapú hozzáférés-vezérlési lista (ACL)?

  • Cikk

Az Azure Szolgáltatáscímkéket 2018-ban vezették be, hogy egyszerűbbé tegye az Azure-beli hálózati biztonság kezelését. A szolgáltatáscímkék az adott Azure-szolgáltatásokhoz társított IP-címelőtagok csoportjait jelölik, amelyek hálózati biztonsági csoportokban (NSG-kben), Azure Firewallban és felhasználó által definiált útvonalakban (UDR) használhatók. Bár a szolgáltatáscímkék célja az IP-alapú ACL-ek engedélyezésének egyszerűsítése, nem szabad, hogy ez legyen az egyetlen biztonsági intézkedés.

További információ az Azure szolgáltatáscímkékről: Szolgáltatáscímkék.

Háttér

Az egyik javaslat és szabványos eljárás egy hozzáférés-vezérlési lista (ACL) használata a környezet káros forgalom elleni védelmére. A hozzáférési listák feltétel- és műveletkimutatások. A feltételek határozzák meg a megfeleltetendő mintát, például egy IP-címet. A műveletek azt jelzik, hogy milyen műveletet kell végrehajtani, például engedély vagy megtagadás. Ezek a feltételek és műveletek a hálózati forgalomon a port és az IP alapján hozhatók létre. A porton és IP-n alapuló TCP -beszélgetések öt-rekorddal vannak azonosítva.

A rekord öt elemből áll:

  • Protokoll (TCP)

  • Forrás IP-címe (melyik IP-cím küldte a csomagot)

  • Forrásport (a csomag küldéséhez használt port)

  • Cél IP-cím (ahová a csomagnak mennie kell)

  • Célport

Az IP-címek beállításakor beállítja azoknak az IP-címeknek a listáját, amelyeket engedélyezni szeretne a hálózatra való bejáráshoz és az összes többi letiltásához. Emellett ezeket a házirendeket nem csak az IP-címre, hanem a portra is alkalmazza.

Az IP-alapú ACL-ek a hálózat különböző szintjein állíthatók be a hálózati eszköztől a tűzfalakig. Az IP ACL-ek hasznosak a hálózati biztonsági kockázatok csökkentéséhez, például a szolgáltatásmegtagadási támadások blokkolásához, valamint a forgalmat fogadó alkalmazások és portok meghatározásához. Egy webszolgáltatás biztonságossá tételéhez például létrehozhat egy ACL-t, amely csak a webes forgalom engedélyezésére és az összes többi forgalom letiltására szolgál.

Azure- és szolgáltatáscímkék

Az Azure-ban az IP-címek alapértelmezés szerint engedélyezve vannak a biztonsági fenyegetések elleni további védelmi rétegek kiépítéséhez. Ezek a védelem magában foglalja az integrált DDoS-védelmet és a peremhálózati védelmet, például az erőforrás nyilvános kulcsú infrastruktúra (RPKI) engedélyezését. Az RPKI egy keretrendszer, amelynek célja az internetes útválasztási infrastruktúra biztonsága a titkosítási megbízhatóság engedélyezésével. Az RPKI védi a Microsoft-hálózatokat, hogy senki más ne próbálja meg bejelenteni a Microsoft IP-címét az interneten.

Számos ügyfél engedélyezi a szolgáltatáscímkéket a védelmi stratégia részeként. A szolgáltatáscímkék olyan címkék, amelyek ip-tartományaik alapján azonosítják az Azure-szolgáltatásokat. A szolgáltatáscímkék értéke az előtagok automatikus kezelése. Az automatikus felügyelet csökkenti az egyes IP-címek manuális karbantartásának és nyomon követésének szükségességét. A szolgáltatáscímkék automatizált karbantartása biztosítja, hogy amint a szolgáltatások bővítik ajánlataikat a redundancia és a továbbfejlesztett biztonsági képességek biztosítása érdekében, azonnal előnyére válik. A szolgáltatáscímkék csökkentik a szükséges manuális érintések számát, és biztosítják, hogy a szolgáltatás forgalma mindig pontos legyen. Ha egy szolgáltatáscímkét egy NSG vagy UDR részeként engedélyez, azzal engedélyezi az IP-alapú ACL-eket annak megadásával, hogy melyik szolgáltatáscímke küldhet forgalmat Önnek.

Korlátozások

A csak IP-alapú ACL-ekre való támaszkodás egyik kihívása, hogy az IP-címek hamisak lehetnek, ha az RPKI nincs implementálva. Az Azure automatikusan alkalmazza az RPKI- és DDoS-védelmet az IP-hamisítás mérséklése érdekében. Az IP-hamisítás a rosszindulatú tevékenységek olyan kategóriája, amelyben a megbízhatónak vélt IP-cím már nem megbízható IP-cím. Ha egy IP-címmel megbízható forrásnak adja ki magát, akkor a forgalom hozzáférést nyer a számítógéphez, az eszközhöz vagy a hálózathoz.

Az ismert IP-címek nem feltétlenül jelentik azt, hogy biztonságos vagy megbízható. Az IP-hamisítás nem csak egy hálózati rétegben, hanem az alkalmazásokban is előfordulhat. A HTTP-fejlécek biztonsági rései lehetővé teszik a támadók számára, hogy biztonsági eseményekhez vezető hasznos adatokat injektáljanak. Az ellenőrzési rétegeknek nem csak a hálózatból, hanem az alkalmazásokból is létre kell jönnie. A bizalom filozófiájának kialakítása, de a kibertámadások során végbemenő fejlődéshez szükséges az ellenőrzés.

Továbblépés

Minden szolgáltatás dokumentálja az IP-előtagok szerepkörét és jelentését a szolgáltatáscímkéjében. A szolgáltatáscímkék önmagukban nem elegendőek a forgalom védelméhez anélkül, hogy figyelembe vennék a szolgáltatás jellegét és az általa küldött forgalmat.

Előfordulhat, hogy egy szolgáltatás IP-előtagja és szolgáltatáscímkéje a szolgáltatáson túli forgalmat és felhasználókat is tartalmazhat. Ha egy Azure-szolgáltatás engedélyezi az ügyfél által vezérelhető célhelyeket, az ügyfél véletlenül engedélyezi az ugyanazon Azure-szolgáltatás más felhasználói által szabályozott forgalmat. Az egyes használni kívánt szolgáltatáscímkák jelentésének megértése segít megérteni a kockázatokat, és azonosítani a szükséges további védelmi rétegeket.

Mindig ajánlott a forgalom hitelesítésének/engedélyezésének implementálása ahelyett, hogy csak AZ IP-címekre támaszkodik. Az ügyfél által megadott adatok ellenőrzése, beleértve a fejléceket is, hozzáadja a hamisítás elleni védelem következő szintjét. Az Azure Front Door (AFD) kiterjesztett védelmet biztosít a fejléc kiértékelésével, és biztosítja, hogy az megfeleljen az alkalmazásnak és az azonosítónak. Az Azure Front Door kiterjesztett védelmével kapcsolatos további információkért tekintse meg az Azure Front Door-eredetű adatok biztonságos forgalmát ismertető témakört.

Összegzés

Az IP-alapú ACL-ek, például a szolgáltatáscímkék megfelelő biztonsági védelmet jelentenek a hálózati forgalom korlátozásával, de nem lehet az egyetlen védelmi réteg a rosszindulatú forgalom ellen. Az Azure-ban elérhető technológiák, például a Private Link és a Virtuális hálózat injektálása a szolgáltatáscímkék mellett, javítják a biztonsági helyzetet. A Private Linkről és a virtuális hálózatok injektálásáról további információt az Azure Private Link és a dedikált Azure-szolgáltatások üzembe helyezése virtuális hálózatokban című témakörben talál.