Udostępnij za pośrednictwem


Co to jest lista kontroli dostępu oparta na adresach IP (ACL)?

Tagi usługi platformy Azure zostały wprowadzone w 2018 r., aby uprościć zarządzanie zabezpieczeniami sieci na platformie Azure. Tag usługi reprezentuje grupy prefiksów adresów IP skojarzonych z określonymi usługami platformy Azure i mogą być używane w sieciowych grupach zabezpieczeń, usłudze Azure Firewall i trasach zdefiniowanych przez użytkownika (UDR). Chociaż celem tagów usługi jest uproszczenie włączania list ACL opartych na adresach IP, nie powinno to być jedyne wdrożone środki zabezpieczeń.

Aby uzyskać więcej informacji na temat tagów usługi na platformie Azure, zobacz Tagi usługi.

Tło

Jedną z zaleceń i standardowych procedur jest użycie listy kontroli dostępu (ACL) w celu ochrony środowiska przed szkodliwym ruchem. Listy dostępu to instrukcja kryteriów i akcji. Kryteria definiują wzorzec, który ma być zgodny, na przykład adres IP. Akcje wskazują, jaka jest oczekiwana operacja, którą należy wykonać, na przykład zezwolenie lub odmowa. Te kryteria i akcje można ustanowić na podstawie ruchu sieciowego na podstawie portu i adresu IP. Konwersacje TCP (Transmission Control Protocol) na podstawie portu i adresu IP są identyfikowane z pięcioma krotkami.

Krotka zawiera pięć elementów:

  • Protokół (TCP)

  • Źródłowy adres IP (który adres IP wysłał pakiet)

  • Port źródłowy (port używany do wysyłania pakietu)

  • Docelowy adres IP (gdzie pakiet powinien iść)

  • Port docelowy

Podczas konfigurowania list ACL adresów IP konfigurujesz listę adresów IP, które mają zezwalać na przechodzenie przez sieć i blokowanie wszystkich innych. Ponadto stosujesz te zasady nie tylko na adresie IP, ale także na porcie.

Listy ACL oparte na adresach IP można skonfigurować na różnych poziomach sieci z urządzenia sieciowego do zapór. Listy ACL adresów IP są przydatne w przypadku ograniczania ryzyka zabezpieczeń sieci, takich jak blokowanie ataków typu "odmowa usługi" oraz definiowanie aplikacji i portów, które mogą odbierać ruch. Aby na przykład zabezpieczyć usługę internetową, można utworzyć listę ACL, aby zezwalać tylko na ruch internetowy i blokować cały inny ruch.

Tagi platformy Azure i usługi

Adresy IP na platformie Azure są domyślnie włączone do tworzenia dodatkowych warstw ochrony przed zagrożeniami bezpieczeństwa. Te zabezpieczenia obejmują zintegrowaną ochronę przed atakami DDoS i zabezpieczenia na brzegu, takie jak włączenie infrastruktury kluczy publicznych zasobów (RPKI). Infrastruktura RPKI to struktura mająca na celu poprawę bezpieczeństwa infrastruktury routingu internetowego przez włączenie zaufania kryptograficznego. Infrastruktura RPKI chroni sieci firmy Microsoft, aby nikt inny nie próbował ogłosić przestrzeni adresów IP firmy Microsoft w Internecie.

Wielu klientów włącza tagi usług w ramach strategii obrony. Tagi usług to etykiety identyfikujące usługi platformy Azure według ich zakresów adresów IP. Wartość tagów usługi to lista prefiksów, które są zarządzane automatycznie. Automatyczne zarządzanie zmniejsza konieczność ręcznego utrzymywania i śledzenia poszczególnych adresów IP. Automatyczna konserwacja tagów usług zapewnia, że wraz z ulepszaniem oferty usług w celu zapewnienia nadmiarowości i ulepszonych możliwości zabezpieczeń, natychmiast skorzystasz. Tagi usługi zmniejszają liczbę wymaganych ręcznych czynności i zapewniają, że ruch dla usługi jest zawsze dokładny. Włączenie tagu usługi w ramach sieciowej grupy zabezpieczeń lub trasy zdefiniowanej przez użytkownika powoduje włączenie list ACL opartych na adresach IP przez określenie, który tag usługi może wysyłać ruch do Ciebie.

Ograniczenia

Jednym z wyzwań z poleganiem tylko na listach ACL opartych na adresach IP jest to, że adresy IP mogą być fałszywe, jeśli nie zaimplementowano infrastruktury RPKI. Platforma Azure automatycznie stosuje zabezpieczenia RPKI i DDoS w celu ograniczenia fałszowania adresów IP. Fałszowanie adresów IP to kategoria złośliwych działań, w której adres IP, który uważasz, że możesz ufać, nie jest już adresem IP, któremu należy ufać. Używając adresu IP, aby udawać, że jest zaufanym źródłem, ruch uzyskuje dostęp do komputera, urządzenia lub sieci.

Znany adres IP nie musi oznaczać, że jest bezpieczny lub godny zaufania. Fałszowanie adresów IP może wystąpić nie tylko w warstwie sieciowej, ale także w aplikacjach. Luki w zabezpieczeniach w nagłówkach HTTP umożliwiają hakerom wprowadzanie ładunków prowadzących do zdarzeń zabezpieczeń. Warstwy weryfikacji muszą występować nie tylko z sieci, ale także w aplikacjach. Budowanie filozofii zaufania, ale weryfikacja jest niezbędna z postępami, które występują w cyberatakach.

Kolejne kroki

Każda usługa dokumentuje rolę i znaczenie prefiksów adresów IP w tagu usługi. Tagi usługi nie są wystarczające do zabezpieczenia ruchu bez uwzględniania charakteru usługi i wysyłanego ruchu.

Prefiksy adresów IP i tag usługi dla usługi mogą mieć ruch i użytkowników poza samą usługą. Jeśli usługa platformy Azure zezwala na kontrolowane przez klienta miejsca docelowe, klient przypadkowo zezwala na ruch kontrolowany przez innych użytkowników tej samej usługi platformy Azure. Zrozumienie znaczenia każdego tagu usługi, którego chcesz użyć, pomaga zrozumieć ryzyko i zidentyfikować dodatkowe warstwy ochrony, które są wymagane.

Zawsze najlepszym rozwiązaniem jest zaimplementowanie uwierzytelniania/autoryzacji dla ruchu, a nie poleganie tylko na adresach IP. Walidacje danych dostarczonych przez klienta, w tym nagłówków, dodają ten następny poziom ochrony przed fałszowaniem. Usługa Azure Front Door (AFD) obejmuje rozszerzoną ochronę przez ocenę nagłówka i gwarantuje, że jest zgodna z aplikacją i identyfikatorem. Aby uzyskać więcej informacji na temat rozszerzonych zabezpieczeń usługi Azure Front Door, zobacz Bezpieczny ruch do źródeł usługi Azure Front Door.

Podsumowanie

Listy ACL oparte na adresach IP, takie jak tagi usług, są dobrą obroną zabezpieczeń przez ograniczenie ruchu sieciowego, ale nie powinny być jedyną warstwą obrony przed złośliwym ruchem. Implementowanie dostępnych technologii na platformie Azure, takich jak usługa Private Link i iniekcja sieci wirtualnej, oprócz tagów usług, poprawia stan zabezpieczeń. Aby uzyskać więcej informacji na temat wstrzykiwania usługi Private Link i sieci wirtualnej, zobacz Azure Private Link i Deploy dedicated Azure services into virtual networks (Wdrażanie dedykowanych usług platformy Azure w sieciach wirtualnych).