Share via

Apa itu daftar kontrol akses berbasis IP (ACL)?

  • Artikel

Tag Layanan Azure diperkenalkan pada tahun 2018 untuk menyederhanakan manajemen keamanan jaringan di Azure. Tag layanan mewakili grup awalan alamat IP yang terkait dengan layanan Azure tertentu dan dapat digunakan dalam Kelompok Keamanan Jaringan (NSG), Azure Firewall, dan Rute yang Ditentukan Pengguna (UDR). Meskipun niat Tag Layanan adalah untuk menyederhanakan pengaktifan ACL berbasis IP, itu seharusnya bukan satu-satunya langkah keamanan yang diterapkan.

Untuk informasi selengkapnya tentang Tag Layanan di Azure, lihat Tag Layanan.

Latar belakang

Salah satu rekomendasi dan prosedur standar adalah menggunakan Daftar Kontrol Akses (ACL) untuk melindungi lingkungan dari lalu lintas berbahaya. Daftar akses adalah pernyataan kriteria dan tindakan. Kriteria menentukan pola yang akan dicocokkan seperti Alamat IP. Tindakan menunjukkan apa operasi yang diharapkan yang harus dilakukan, seperti izin atau tolak. Kriteria dan tindakan ini dapat ditetapkan pada lalu lintas jaringan berdasarkan port dan IP. Percakapan TCP (Protokol Kontrol Transmisi) berdasarkan port dan IP diidentifikasi dengan lima tuple.

Tuple memiliki lima elemen:

  • Protokol (TCP)

  • Alamat IP sumber (IP mana yang mengirim paket)

  • Port sumber (port yang digunakan untuk mengirim paket)

  • Alamat IP target (ke mana paket harus pergi)

  • Port target

Saat menyiapkan ACL IP, Anda menyiapkan daftar Alamat IP yang ingin Anda izinkan untuk melintasi jaringan dan memblokir semua yang lain. Selain itu, Anda menerapkan kebijakan ini tidak hanya pada alamat IP tetapi juga pada port.

ACL berbasis IP dapat disiapkan di tingkat jaringan yang berbeda dari perangkat jaringan ke firewall. ACL IP berguna untuk mengurangi risiko keamanan jaringan, seperti memblokir penolakan serangan layanan dan menentukan aplikasi dan port yang dapat menerima lalu lintas. Misalnya, untuk mengamankan layanan web, ACL dapat dibuat untuk hanya mengizinkan lalu lintas web dan memblokir semua lalu lintas lainnya.

Tag Azure dan Layanan

Alamat IP dalam Azure memiliki perlindungan yang diaktifkan secara default untuk membangun lapisan perlindungan tambahan terhadap ancaman keamanan. Perlindungan ini termasuk perlindungan dan perlindungan DDoS terintegrasi di tepi seperti pengaktifan Infrastruktur Kunci Umum Sumber Daya (RPKI). RPKI adalah kerangka kerja yang dirancang untuk meningkatkan keamanan infrastruktur perutean internet dengan mengaktifkan kepercayaan kriptografi. RPKI melindungi jaringan Microsoft untuk memastikan tidak ada orang lain yang mencoba mengumumkan ruang IP Microsoft di Internet.

Banyak pelanggan mengaktifkan Tag Layanan sebagai bagian dari strategi pertahanan mereka. Tag Layanan adalah label yang mengidentifikasi layanan Azure berdasarkan rentang IP mereka. Nilai Tag Layanan adalah daftar awalan dikelola secara otomatis. Manajemen otomatis mengurangi kebutuhan untuk memelihara dan melacak alamat IP individual secara manual. Pemeliharaan otomatis tag layanan memastikan bahwa saat layanan meningkatkan penawaran mereka untuk memberikan redundansi dan kemampuan keamanan yang ditingkatkan, Anda segera mendapatkan manfaat. Tag layanan mengurangi jumlah sentuhan manual yang diperlukan dan memastikan bahwa lalu lintas untuk layanan selalu akurat. Mengaktifkan tag layanan sebagai bagian dari NSG atau UDR mengaktifkan ACL berbasis IP dengan menentukan tag layanan mana yang diizinkan untuk mengirim lalu lintas kepada Anda.

Batasan

Salah satu tantangan dengan hanya mengandalkan ACL berbasis IP adalah bahwa alamat IP dapat dipalsukan jika RPKI tidak diterapkan. Azure secara otomatis menerapkan perlindungan RPKI dan DDoS untuk mengurangi spoofing IP. Spoofing IP adalah kategori aktivitas berbahaya di mana IP yang menurut Anda dapat Anda percayai bukan lagi IP yang harus Anda percayai. Dengan menggunakan alamat IP untuk berpura-pura menjadi sumber tepercaya, lalu lintas tersebut mendapatkan akses ke komputer, perangkat, atau jaringan Anda.

Alamat IP yang diketahui tidak selalu berarti aman atau dapat dipercaya. IP Spoofing dapat terjadi tidak hanya pada lapisan jaringan tetapi juga dalam aplikasi. Kerentanan di header HTTP memungkinkan peretas untuk menyuntikkan payload yang mengarah ke peristiwa keamanan. Lapisan validasi perlu terjadi dari tidak hanya jaringan tetapi juga dalam aplikasi. Membangun filosofi kepercayaan tetapi verifikasi diperlukan dengan kemajuan yang terjadi dalam serangan cyber.

Bergerak maju

Setiap layanan mencantumkan peran dan arti awalan IP dalam tag layanan mereka. Tag Layanan saja tidak cukup untuk mengamankan lalu lintas tanpa mempertimbangkan sifat layanan dan lalu lintas yang dikirimnya.

Awalan IP dan Tag Layanan untuk Layanan mungkin memiliki lalu lintas dan pengguna di luar layanan itu sendiri. Jika layanan Azure mengizinkan Tujuan yang Dapat Dikontrol Pelanggan, pelanggan secara tidak sengaja mengizinkan lalu lintas yang dikontrol oleh pengguna lain dari layanan Azure yang sama. Memahami arti setiap Tag Layanan yang ingin Anda gunakan membantu Anda memahami risiko Anda dan mengidentifikasi lapisan perlindungan tambahan yang diperlukan.

Ini selalu merupakan praktik terbaik untuk menerapkan autentikasi/otorisasi untuk lalu lintas daripada mengandalkan alamat IP saja. Validasi data yang disediakan klien, termasuk header, menambahkan tingkat perlindungan berikutnya terhadap spoofing. Azure Front Door (AFD) mencakup perlindungan yang diperluas dengan mengevaluasi header dan memastikan bahwa itu cocok dengan aplikasi Anda dan pengidentifikasi Anda. Untuk informasi selengkapnya tentang perlindungan Azure Front Door yang diperluas, lihat Mengamankan lalu lintas ke asal Azure Front Door.

Ringkasan

ACL berbasis IP seperti tag layanan adalah pertahanan keamanan yang baik dengan membatasi lalu lintas jaringan, tetapi seharusnya bukan satu-satunya lapisan pertahanan terhadap lalu lintas berbahaya. Menerapkan teknologi yang tersedia untuk Anda di Azure seperti Private Link dan Virtual Network Injection selain tag layanan meningkatkan postur keamanan Anda. Untuk informasi selengkapnya tentang Private Link dan Virtual Network Injection, lihat Azure Private Link dan Menyebarkan layanan Azure khusus ke jaringan virtual.