Aracılığıyla paylaş

IP tabanlı erişim denetim listesi (ACL) nedir?

  • Makale

Azure Hizmet Etiketleri, Azure'da ağ güvenliği yönetimini basitleştirmek için 2018'de kullanıma sunulmuştur. Hizmet etiketi, belirli Azure hizmetleriyle ilişkili IP adresi ön eklerinin gruplarını temsil eder ve Ağ Güvenlik Grupları (NSG), Azure Güvenlik Duvarı ve Kullanıcı Tanımlı Yollar(UDR) içinde kullanılabilir. Hizmet Etiketlerinin amacı IP tabanlı ACL'leri etkinleştirmeyi basitleştirmek olsa da, uygulanan tek güvenlik önlemleri bu olmamalıdır.

Azure'daki Hizmet Etiketleri hakkında daha fazla bilgi için bkz . Hizmet Etiketleri.

Background

Önerilerden ve standart yordamlardan biri, ortamı zararlı trafiklerden korumak için Erişim Denetim Listesi (ACL) kullanmaktır. Erişim listeleri bir ölçüt ve eylem bildirimidir. Ölçütler, BIR IP Adresi gibi eşleştirilecek deseni tanımlar. Eylemler, izin verme veya reddetme gibi gerçekleştirilmesi gereken beklenen işlemin ne olduğunu gösterir. Bu ölçütler ve eylemler, bağlantı noktası ve IP temelinde ağ trafiğinde oluşturulabilir. Bağlantı noktası ve IP tabanlı TCP (İletim Denetimi Protokolü) konuşmaları beşli bir tanımlama grubuyla tanımlanır.

Tanımlama grubu beş öğeye sahiptir:

  • Protokol (TCP)

  • Kaynak IP adresi (paketi gönderen IP)

  • Kaynak bağlantı noktası (paketi göndermek için kullanılan bağlantı noktası)

  • Hedef IP adresi (paketin gitmesi gereken yer)

  • Hedef bağlantı noktası

IP ACL'lerini ayarlarken, ağdan geçiş yapmak ve diğer tüm adresleri engellemek için izin vermek istediğiniz IP Adreslerinin listesini ayarlarsınız. Buna ek olarak, bu ilkeleri yalnızca IP adresine değil bağlantı noktasına da uygulayacaksınız.

IP tabanlı ACL'ler, ağ cihazından güvenlik duvarlarına kadar farklı ağ düzeylerinde ayarlanabilir. IP ACL'leri, hizmet reddi saldırılarını engelleme ve trafik alabilen uygulama ve bağlantı noktaları tanımlama gibi ağ güvenliği risklerini azaltmak için kullanışlıdır. Örneğin, bir web hizmetinin güvenliğini sağlamak için yalnızca web trafiğine izin vermek ve diğer tüm trafiği engellemek için bir ACL oluşturulabilir.

Azure ve Hizmet Etiketleri

Azure'da IP adresleri, güvenlik tehditlerine karşı ek koruma katmanları oluşturmak için varsayılan olarak etkinleştirilmiş korumalara sahiptir. Bu korumalar, kaynak ortak anahtar altyapısının (RPKI) etkinleştirilmesi gibi uçta tümleşik DDoS korumasını ve korumaları içerir. RPKI, şifreleme güvenini etkinleştirerek İnternet yönlendirme altyapısının güvenliğini geliştirmek için tasarlanmış bir çerçevedir. RPKI, kimsenin Microsoft IP alanını İnternet'te duyurmaya çalışmadığından emin olmak için Microsoft ağlarını korur.

Birçok müşteri, savunma stratejilerinin bir parçası olarak Hizmet Etiketlerini etkinleştirir. Hizmet Etiketleri, Azure hizmetlerini IP aralıklarına göre tanımlayan etiketlerdir. Hizmet Etiketleri değeri, otomatik olarak yönetilen ön eklerin listesidir. Otomatik yönetim, tek tek IP adreslerini el ile koruma ve izleme gereksinimini azaltır. Hizmet etiketlerinin otomatik bakımı, hizmetler artıklık ve gelişmiş güvenlik özellikleri sağlamak için tekliflerini iyileştirdikçe hemen yararlanmanızı sağlar. Hizmet etiketleri, gerekli el ile dokunma sayısını azaltır ve bir hizmetin trafiğinin her zaman doğru olmasını sağlar. NSG veya UDR'nin bir parçası olarak hizmet etiketini etkinleştirmek, hangi hizmet etiketinin size trafik göndermesine izin verileceğini belirterek IP tabanlı ACL'leri etkinleştirir.

Sınırlamalar

Yalnızca IP tabanlı ACL'lere güvenmenin bir zorluğu, RPKI uygulanmazsa IP adreslerinin sahte hale dönüştürülebileceğidir. Azure, IP kimlik sahtekarlığı azaltmak için RPKI ve DDoS korumalarını otomatik olarak uygular. IP kimlik sahtekarlık, güvenebileceğinizi düşündüğünüz IP'nin artık güvenmeniz gereken bir IP olmadığı kötü amaçlı bir etkinlik kategorisidir. Trafiğin bilgisayarınıza, cihazınıza veya ağınıza erişmesi için bir IP adresi kullanarak güvenilir bir kaynakmış gibi davranabilirsiniz.

Bilinen bir IP Adresi, güvenli veya güvenilir olduğu anlamına gelmez. IP Kimlik Sahtekarlık yalnızca bir ağ katmanında değil, uygulamalar içinde de oluşabilir. HTTP üst bilgilerindeki güvenlik açıkları, bilgisayar korsanlarının güvenlik olaylarına yol açan yükleri eklemesine olanak tanır. Doğrulama katmanlarının yalnızca ağdan değil uygulamalar içinden de gerçekleşmesi gerekir. Güven felsefesi oluşturmak, ancak siber saldırılarda gerçekleşen ilerlemelerle birlikte doğrulamanın gerekli olduğunu doğrulayın.

Sonraki adımlar

Her hizmet, hizmet etiketindeki IP ön eklerinin rolünü ve anlamını belgeler. Hizmetin doğası ve gönderdiği trafik dikkate alınmadan trafiğin güvenliğini sağlamak için yalnızca Hizmet Etiketleri yeterli değildir.

Bir Hizmet için IP ön ekleri ve Hizmet Etiketi trafiğine ve hizmetin kendisinden başka kullanıcılara sahip olabilir. Bir Azure hizmeti Müşteri Tarafından Denetlenebilir Hedeflere izin verirse, müşteri yanlışlıkla aynı Azure hizmetinin diğer kullanıcıları tarafından denetlenen trafiğe izin verir. Kullanmak istediğiniz her Hizmet Etiketinin anlamını anlamak, riskinizi anlamanıza ve gereken ek koruma katmanlarını belirlemenize yardımcı olur.

Yalnızca IP adreslerine güvenmek yerine trafik için kimlik doğrulaması/yetkilendirme uygulamak her zaman en iyi yöntemdir. Üst bilgiler de dahil olmak üzere istemci tarafından sağlanan verilerin doğrulanması, kimlik sahtekarlığına karşı bir sonraki koruma düzeyini ekler. Azure Front Door (AFD), üst bilgiyi değerlendirerek genişletilmiş korumalar içerir ve bunun uygulamanızla tanımlayıcınızla eşleşmesini sağlar. Azure Front Door'un genişletilmiş korumaları hakkında daha fazla bilgi için bkz . Azure Front Door çıkış noktalarına güvenli trafik.

Özet

Hizmet etiketleri gibi IP tabanlı ACL'ler, ağ trafiğini kısıtlayarak iyi bir güvenlik savunmasıdır, ancak kötü amaçlı trafiğe karşı tek savunma katmanı olmamalıdır. Hizmet etiketlerine ek olarak Özel Bağlantı ve Sanal Ağ Ekleme gibi Azure'da kullanabileceğiniz teknolojileri uygulamak güvenlik duruşunuzu geliştirir. Özel Bağlantı ve Sanal Ağ Ekleme hakkında daha fazla bilgi için bkz. Azure Özel Bağlantı ve Ayrılmış Azure hizmetlerini sanal ağlara dağıtma.