Что такое список управления доступом на основе IP-адресов (ACL)?
Теги служб Azure появились в 2018 году, чтобы упростить управление безопасностью сети в Azure. Тег службы представляет группы префиксов IP-адресов, связанных с определенными службами Azure, и может использоваться в группах безопасности сети (NSG), Брандмауэр Azure и определяемых пользователем маршрутах (UDR). Хотя целью тегов службы является упрощение включения списков управления доступом на основе IP-адресов, они не должны быть единственными мерами безопасности.
Дополнительные сведения о тегах служб в Azure см. в разделе "Теги службы".
Общие сведения
Одной из рекомендаций и стандартных процедур является использование списка контроль доступа (ACL) для защиты среды от вредного трафика. Списки доступа — это оператор условий и действий. Критерии определяют шаблон для сопоставления, например IP-адрес. Действия указывают, что должно выполняться ожидаемой операцией, например разрешением или запретом. Эти критерии и действия можно установить на основе сетевого трафика на основе порта и IP-адреса. Беседы TCP (протокол управления передачей) на основе порта и IP определяются с пятью кортежами.
Кортеж содержит пять элементов:
Протокол (TCP)
Исходный IP-адрес (ip-адрес, отправляемый пакетом)
Исходный порт (порт, используемый для отправки пакета)
Целевой IP-адрес (где пакет должен идти)
Целевой порт
При настройке списков УПРАВЛЕНИЯ IP-адресами вы настраиваете список IP-адресов, которые необходимо разрешить для обхода сети и блокирования всех остальных. Кроме того, вы применяете эти политики не только к IP-адресу, но и к порту.
Списки управления доступом на основе IP-адресов можно настроить на разных уровнях сети от сетевого устройства до брандмауэров. Списки УПРАВЛЕНИЯ IP-адресами полезны для снижения рисков безопасности сети, таких как блокировка атак типа "отказ в обслуживании" и определение приложений и портов, которые могут получать трафик. Например, для защиты веб-службы можно создать ACL, чтобы разрешить только веб-трафик и заблокировать весь другой трафик.
Теги Azure и службы
IP-адреса в Azure поддерживают защиту по умолчанию для создания дополнительных уровней защиты от угроз безопасности. Эти защиты включают встроенную защиту от атак DDoS и защиту на границе, например включение инфраструктуры открытых ключей ресурсов (RPKI). RPKI — это платформа, предназначенная для повышения безопасности инфраструктуры маршрутизации Интернета, обеспечивая шифрование доверия. RPKI защищает сети Майкрософт, чтобы никто не пытается объявить пространство IP-адресов Майкрософт в Интернете.
Многие клиенты предоставляют теги служб в рамках стратегии защиты. Теги служб — это метки, которые определяют службы Azure по их диапазонам IP-адресов. Значение тегов службы — это список префиксов, управляемых автоматически. Автоматическое управление сокращает потребность в ручном обслуживании и отслеживании отдельных IP-адресов. Автоматическое обслуживание тегов служб гарантирует, что как службы расширяют свои предложения, чтобы обеспечить избыточность и улучшенные возможности безопасности, вы сразу же выигрываете. Теги служб сокращают количество необходимых ручных касаний и гарантируют, что трафик для службы всегда является точным. Включение тега службы в рамках NSG или UDR включает списки управления доступом на основе IP-адресов, указав, какой тег службы разрешено отправлять трафик вам.
Ограничения
Одна из проблем с использованием только списков управления доступом на основе IP-адресов заключается в том, что IP-адреса могут быть поддельными, если RPKI не реализован. Azure автоматически применяет защиту RPKI и DDoS для устранения спуфингов IP-адресов. Подпуфинирование IP-адресов — это категория вредоносных действий, где IP-адрес, который вы считаете, что вы можете доверять, больше не является IP-адресом, которому следует доверять. Используя IP-адрес, чтобы притворяться доверенным источником, трафик получает доступ к компьютеру, устройству или сети.
Известный IP-адрес не обязательно означает, что это безопасно или надежно. Подпуфинирование IP-адресов может происходить не только на сетевом уровне, но и в приложениях. Уязвимости в заголовках HTTP позволяют хакерам внедрять полезные данные, ведущие к событиям безопасности. Уровни проверки должны происходить не только из сети, но и в приложениях. Создание философии доверия, но проверка необходима с прогрессом, которые происходят в кибератаках.
Перспектива
Каждая служба документирует роль и смысл префиксов IP-адресов в теге службы. Теги служб не достаточно для защиты трафика, не учитывая характер службы и трафик, который он отправляет.
Префиксы IP-адресов и тег службы для службы могут иметь трафик и пользователи за пределами самой службы. Если служба Azure разрешает управляемые клиентами назначения, клиент непреднамеренно разрешает трафик, контролируемый другими пользователями той же службы Azure. Понимание смысла каждого тега службы, который вы хотите использовать, помогает понять риск и определить дополнительные уровни защиты, необходимые.
Это всегда рекомендуется реализовать проверку подлинности и авторизацию трафика, а не полагаться только на IP-адреса. Проверки предоставленных клиентом данных, включая заголовки, добавьте следующий уровень защиты от спуфингов. Azure Front Door (AFD) включает расширенную защиту, оценивая заголовок и обеспечивая соответствие приложения и идентификатору. Дополнительные сведения о расширенной защите Azure Front Door см. в статье "Безопасный трафик" в источники Azure Front Door.
Итоги
Списки управления доступом на основе IP-адресов, такие как теги служб, являются хорошей защитой путем ограничения сетевого трафика, но они не должны быть единственным уровнем защиты от вредоносного трафика. Реализация технологий, доступных в Azure, таких как Приватный канал и внедрение виртуальная сеть в дополнение к тегам службы, улучшает состояние безопасности. Дополнительные сведения о внедрении Приватный канал и виртуальная сеть см. в статье Приватный канал Azure и развертывание выделенных служб Azure в виртуальных сетях.