什麼是IP型訪問控制清單 (ACL)?
Azure 服務標籤是在 2018 年引進的,可簡化 Azure 中的網路安全性管理。 服務標籤代表與特定 Azure 服務相關聯的 IP 位址前綴群組,可用於網路安全組(NSG)、Azure 防火牆 和使用者定義的路由(UDR)。 雖然服務標籤的目的是簡化啟用IP型 ACL,但它不應該是唯一實作的安全性措施。
如需 Azure 中服務標籤的詳細資訊,請參閱 服務標籤。
背景
其中一個建議和標準程式是使用 存取控制 清單 (ACL) 來保護環境免受有害流量的影響。 存取清單是準則和動作的語句。 準則會定義要比對的模式,例如IP位址。 動作會指出應該執行的預期作業,例如 允許 或 拒絕。 您可以根據埠和IP,根據網路流量建立這些準則和動作。 以埠和IP為基礎的TCP(傳輸控制通訊協定)交談會以五元 組來識別。
Tuple 有五個元素:
通訊協定 (TCP)
來源 IP 位址 (哪個 IP 傳送封包)
來源埠(用來傳送封包的埠)
目標 IP 位址(封包應前往的位置)
目標連接埠
當您設定 IP ACL 時,您會設定您想要允許周遊網路的 IP 位址清單,並封鎖所有其他 IP 位址。 此外,您不僅會在IP位址上套用這些原則,也套用在埠上。
IP 型 ACL 可以設定在不同層級的網路,從網路裝置到防火牆。 IP ACL 有助於降低網路安全性風險,例如封鎖阻斷服務攻擊,以及定義可接收流量的應用程式和埠。 例如,若要保護 Web 服務,可以建立 ACL 只允許 Web 流量並封鎖所有其他流量。
Azure 和服務標籤
Azure 內的IP位址預設會啟用保護,以針對安全性威脅建置額外的保護層。 這些保護包括邊緣的整合式 DDoS 保護和保護,例如啟用資源公鑰基礎結構 (RPKI)。 RPKI 是一種架構,旨在藉由啟用密碼編譯信任來改善因特網路由基礎結構的安全性。 RPKI 會保護 Microsoft 網路,以確保沒有人嘗試在因特網上宣佈 Microsoft IP 空間。
許多客戶都會啟用服務標籤,作為其防禦策略的一部分。 服務標籤是依其IP範圍識別 Azure 服務的標籤。 服務標籤的值是會自動管理前置詞的清單。 自動管理可減少手動維護和追蹤個別IP位址的需求。 服務標籤的自動化維護可確保當服務增強其供應專案以提供備援和改善的安全性功能時,您就會立即受益。 服務標籤可減少所需的手動觸控次數,並確保服務的流量一律正確無誤。 將服務標籤啟用為 NSG 或 UDR 的一部分,是藉由指定允許哪些服務標籤將流量傳送給您,來啟用以 IP 為基礎的 ACL。
限制
僅依賴IP型 ACL的一項挑戰是,如果未實作 RPKI,IP 位址就可以偽造。 Azure 會自動套用 RPKI 和 DDoS 保護,以減輕 IP 詐騙。 IP 詐騙是惡意活動的類別,其中您認為可以信任的IP不再是您應該信任的IP。 藉由使用IP位址來假裝為受信任的來源,流量會取得您電腦、裝置或網路的存取權。
已知的IP位址不一定表示它是安全或值得信任的。 IP 詐騙不僅可能發生在網路層,也可以發生在應用程式內。 HTTP 標頭中的弱點可讓駭客插入導致安全性事件的承載。 驗證層不僅需要從網路,而且發生在應用程式內。 建立信任理念,但對網路攻擊中發生的進步是必要的驗證。
展望未來
每個服務都會在其服務標籤中記錄 IP 前置詞的角色和意義。 單獨使用服務標籤就不足以保護流量,而不需要考慮服務的本質及其傳送的流量。
服務的IP前置詞和服務標籤可能有超出服務本身的流量和使用者。 如果 Azure 服務允許客戶可控制目的地,則客戶無意中允許相同 Azure 服務其他使用者控制的流量。 瞭解您想要利用的每個服務標籤的意義,可協助您了解風險,並識別所需的額外保護層級。
最佳做法是實作流量的驗證/授權,而不是單獨依賴IP位址。 用戶端提供數據的驗證,包括標頭,可新增下一層防止詐騙的保護。 Azure Front Door (AFD) 包含擴充保護,方法是評估標頭,並確保其符合您的應用程式和標識符。 如需 Azure Front Door 擴充保護的詳細資訊,請參閱 保護 Azure Front Door 來源的流量。
摘要
服務卷標之類的IP型 ACL是限制網路流量的良好安全性防禦,但不應是唯一一層防禦惡意流量。 除了服務標籤之外,實作 Azure 中可用的技術,例如 Private Link 和 虛擬網絡 Injection,可改善您的安全性狀態。 如需 Private Link 和 虛擬網絡 插入的詳細資訊,請參閱 Azure Private Link 和將專用 Azure 服務部署至虛擬網路。