Condividi tramite


Che cos'è un elenco di controllo degli accessi in base all'IP??

I tag dei servizi di Azure sono stati introdotti nel 2018 per semplificare la gestione della sicurezza di rete in Azure. Un tag di servizio rappresenta gruppi di prefissi di indirizzi IP associati a servizi di Azure specifici e può essere usato nei gruppi di sicurezza di rete (NSG), Firewall di Azure e route definite dall'utente. Anche se lo scopo dei tag di servizio è semplificare l'abilitazione degli elenchi di controllo di accesso basati su IP, non deve essere l'unica misura di sicurezza implementata.

Per altre informazioni sui tag del servizio in Azure, vedere Tag del servizio.

Background

Una delle procedure consigliate e standard consiste nell'usare un elenco di Controllo di accesso (ACL) per proteggere un ambiente da traffico dannoso. Gli elenchi di accesso sono un'istruzione di criteri e azioni. I criteri definiscono il modello di corrispondenza, ad esempio un indirizzo IP. Le azioni indicano l'operazione prevista che deve essere eseguita, ad esempio un permesso o un rifiuto. Questi criteri e azioni possono essere stabiliti sul traffico di rete in base alla porta e all'IP. Le conversazioni TCP (Transmission Control Protocol) basate su porta e IP vengono identificate con una tupla a cinque.

La tupla ha cinque elementi:

  • Protocollo (TCP)

  • Indirizzo IP di origine (indirizzo IP inviato dal pacchetto)

  • Porta di origine (porta usata per inviare il pacchetto)

  • Indirizzo IP di destinazione (dove deve essere inviato il pacchetto)

  • Porta di destinazione

Quando si configurano gli elenchi di controllo di accesso IP, si configura un elenco di indirizzi IP che si desidera consentire l'attraversamento della rete e il blocco di tutti gli altri. Inoltre, si applicano questi criteri non solo all'indirizzo IP, ma anche alla porta.

Gli ACL basati su IP possono essere configurati a livelli diversi di una rete dal dispositivo di rete ai firewall. Gli ACL IP sono utili per ridurre i rischi per la sicurezza di rete, ad esempio bloccare gli attacchi Denial of Service e definire applicazioni e porte che possono ricevere traffico. Ad esempio, per proteggere un servizio Web, è possibile creare un elenco di controllo di accesso per consentire solo il traffico Web e bloccare tutto l'altro traffico.

Tag di Azure e del servizio

Gli indirizzi IP all'interno di Azure hanno protezioni abilitate per impostazione predefinita per creare livelli aggiuntivi di protezione dalle minacce alla sicurezza. Queste protezioni includono la protezione DDoS integrata e le protezioni nei dispositivi perimetrali, ad esempio l'abilitazione dell'infrastruttura rpKI (Resource Public Key Infrastructure). RPKI è un framework progettato per migliorare la sicurezza per l'infrastruttura di routing Internet abilitando l'attendibilità crittografica. RPKI protegge le reti Microsoft per garantire che nessuno tenti di annunciare lo spazio IP Microsoft su Internet.

Molti clienti abilitano i tag di servizio come parte della strategia di difesa. I tag di servizio sono etichette che identificano i servizi di Azure in base ai relativi intervalli IP. Il valore dei tag di servizio è l'elenco di prefissi vengono gestiti automaticamente. La gestione automatica riduce la necessità di gestire e tenere traccia manualmente dei singoli indirizzi IP. La manutenzione automatizzata dei tag di servizio garantisce che, man mano che i servizi migliorano le proprie offerte per offrire ridondanza e funzionalità di sicurezza migliorate, si traggono immediatamente vantaggio. I tag di servizio riducono il numero di tocco manuali necessari e assicurano che il traffico per un servizio sia sempre accurato. L'abilitazione di un tag di servizio come parte di un gruppo di sicurezza di rete o UDR abilita gli ACL basati su IP specificando il tag del servizio autorizzato a inviare traffico all'utente.

Limiti

Una sfida che si basa solo sugli ACL basati su IP è che gli indirizzi IP possono essere falsificati se RPKI non è implementato. Azure applica automaticamente le protezioni RPKI e DDoS per attenuare lo spoofing IP. Lo spoofing IP è una categoria di attività dannose in cui l'IP che si ritiene di poter considerare attendibile non è più un INDIRIZZO IP attendibile. Usando un indirizzo IP per fingere di essere un'origine attendibile, il traffico ottiene l'accesso al computer, al dispositivo o alla rete.

Un indirizzo IP noto non significa necessariamente che sia sicuro o attendibile. Lo spoofing IP può verificarsi non solo a livello di rete, ma anche all'interno delle applicazioni. Le vulnerabilità nelle intestazioni HTTP consentono agli hacker di inserire payload che portano a eventi di sicurezza. I livelli di convalida devono verificarsi non solo dalla rete, ma anche dalle applicazioni. Costruire una filosofia di fiducia, ma verificare è necessario con i progressi che si verificano negli attacchi informatici.

In futuro

Ogni servizio documenta il ruolo e il significato dei prefissi IP nel tag di servizio. I tag del servizio non sono sufficienti per proteggere il traffico senza considerare la natura del servizio e il traffico inviato.

I prefissi IP e il tag di servizio per un servizio potrebbero avere traffico e utenti oltre il servizio stesso. Se un servizio di Azure consente Destinazioni controllabili dal cliente, il cliente consente inavvertitamente il traffico controllato da altri utenti dello stesso servizio di Azure. Comprendere il significato di ogni tag di servizio che si vuole usare consente di comprendere il rischio e identificare livelli aggiuntivi di protezione necessari.

È sempre consigliabile implementare l'autenticazione/autorizzazione per il traffico anziché basarsi solo sugli indirizzi IP. Le convalide dei dati forniti dal client, incluse le intestazioni, aggiungono tale livello di protezione da spoofing. Frontdoor di Azure include protezioni estese valutando l'intestazione e garantisce che corrisponda all'applicazione e all'identificatore. Per altre informazioni sulle protezioni estese di Frontdoor di Azure, vedere Proteggere il traffico verso le origini di Frontdoor di Azure.

Riepilogo

Gli ACL basati su IP, ad esempio i tag di servizio, sono una buona difesa della sicurezza limitando il traffico di rete, ma non dovrebbero essere l'unico livello di difesa contro il traffico dannoso. L'implementazione di tecnologie disponibili in Azure, ad esempio collegamento privato e Rete virtuale injection, oltre ai tag di servizio, migliora il comportamento di sicurezza. Per altre informazioni su collegamento privato e Rete virtuale injection, vedere collegamento privato di Azure e Distribuire servizi di Azure dedicati in reti virtuali.