Was ist eine IP-basierte Zugriffssteuerungsliste (Access Control List, ACL)?

Azure Service Tags wurden 2018 eingeführt, um die Netzwerksicherheitsverwaltung in Azure zu vereinfachen. Ein Diensttag stellt Gruppen von IP-Adresspräfixen dar, die bestimmten Azure-Diensten zugeordnet sind und in Netzwerksicherheitsgruppen (Network Security Groups, NSGs), Azure Firewall und benutzerdefinierten Routen (User-Defined Routes, UDR) verwendet werden können. Obwohl die Absicht von Diensttags darin besteht, die Aktivierung IP-basierter ACLs zu vereinfachen, sollten sie nicht die einzigen implementierten Sicherheitsmaßnahmen sein.

Weitere Informationen zu Diensttags in Azure finden Sie unter Diensttags.

Hintergrund

Eine der Empfehlungen und Standardprozeduren besteht darin, eine Zugriffssteuerungsliste (Access Control List, ACL) zu verwenden, um eine Umgebung vor schädlichem Datenverkehr zu schützen. Zugriffslisten sind eine Anweisung von Kriterien und Aktionen. Die Kriterien definieren das Muster, das abgeglichen werden soll, z. B. eine IP-Adresse. Die Aktionen geben an, was der erwartete Vorgang ist, der ausgeführt werden soll, z. B. eine Genehmigung oder Ablehnung. Diese Kriterien und Aktionen können basierend auf dem Port und der IP für Netzwerkdatenverkehr festgelegt werden. TCP-Unterhaltungen (Transmission Control Protocol) basierend auf Port und IP werden mit einem Fünf-Tupel identifiziert.

Das Tupel weist fünf Elemente auf:

  • Protokoll (TCP)

  • Quell-IP-Adresse (welche IP das Paket gesendet hat)

  • Quellport (Port, der zum Senden des Pakets verwendet wurde)

  • Ziel-IP-Adresse (wohin das Paket gehen soll)

  • Zielport

Wenn Sie IP-ACLs einrichten, erstellen Sie eine Liste von IP-Adressen, für die Sie das Durchlaufen des Netzwerks zulassen möchten, und blockieren alle anderen. Darüber hinaus wenden Sie diese Richtlinien nicht nur auf die IP-Adresse, sondern auch auf den Port an.

IP-basierte ACLs können auf verschiedenen Ebenen eines Netzwerks eingerichtet werden, vom Netzwerkgerät bis zu Firewalls. IP-ACLs sind nützlich, um Sicherheitsrisiken im Netzwerk zu verringern, z. B. durch das Blockieren von Denial-of-Service-Angriffen und das Festlegen von Anwendungen und Ports, die Datenverkehr empfangen können. Um beispielsweise einen Webdienst zu sichern, kann eine ACL erstellt werden, um nur Webdatenverkehr zuzulassen und den gesamten anderen Datenverkehr zu blockieren.

Azure und Diensttags

IP-Adressen in Azure haben standardmäßig Schutzfunktionen, um zusätzliche Schutzebenen vor Sicherheitsbedrohungen zu erstellen. Diese Schutzmaßnahmen umfassen integrierten DDoS-Schutz und Schutzmaßnahmen am Edge, z. B. Aktivierung der Public Key-Infrastruktur der Ressource (RPKI). RPKI ist ein Framework zur Verbesserung der Sicherheit für die Internetroutinginfrastruktur, indem kryptografische Vertrauensstellungen ermöglicht werden. RPKI schützt Microsoft-Netzwerke, um sicherzustellen, dass niemand anderes versucht, den Microsoft-IP-Raum im Internet bekannt zu machen.

Viele Kunden aktivieren Diensttags als Teil ihrer Verteidigungsstrategie. Diensttags sind Bezeichnungen, die Azure-Dienste anhand ihrer IP-Bereiche identifizieren. Der Wert von Diensttags ist die Liste der Präfixe, die automatisch verwaltet werden. Die automatische Verwaltung reduziert die Notwendigkeit, einzelne IP-Adressen manuell zu verwalten und nachzuverfolgen. Durch die automatisierte Wartung von Diensttags wird sichergestellt, dass Sie sofort davon profitieren, wenn Dienste ihr Angebot erweitern, um Redundanz und verbesserte Sicherheitsfunktionen bereitzustellen. Diensttags reduzieren die Anzahl der erforderlichen manuellen Eingriffe und stellen sicher, dass der Datenverkehr für einen Dienst immer korrekt ist. Das Aktivieren eines Diensttags als Teil eines NSG- oder UDR-Elements ermöglicht IP-basierte ACLs, indem angegeben wird, welcher Diensttag Datenverkehr an Sie senden darf.

Begrenzungen

Eine Herausforderung bei der ausschließlichen Verwendung von IP-basierten ACLs ist, dass IP-Adressen gefälscht werden können, wenn RPKI nicht implementiert ist. Azure wendet automatisch RPKI und DDoS-Schutz an, um IP-Spoofing einzudämmen. IP-Spoofing ist eine Kategorie bösartiger Aktivitäten, bei der die IP-Adresse, der Sie zu vertrauen glauben, nicht mehr die IP-Adresse ist, der Sie vertrauen sollten. Durch die Verwendung einer IP-Adresse, die sich als vertrauenswürdige Quelle ausgibt, erhält dieser Datenverkehr Zugang zu Ihrem Computer, Gerät oder Netzwerk.

Eine bekannte IP-Adresse bedeutet nicht unbedingt, dass sie sicher oder vertrauenswürdig ist. IP-Spoofing kann nicht nur auf Netzwerkebene, sondern auch innerhalb von Anwendungen erfolgen. Sicherheitsrisiken in HTTP-Headern ermöglichen Hackern das Einschleusen von Nutzdaten, die zu Sicherheitsvorfällen führen. Nicht nur im Netzwerk, sondern auch in den Anwendungen müssen mehrere Validierungsebenen vorhanden sein. Der Aufbau einer Philosophie des Vertrauens, aber mit Überprüfung ist angesichts der Fortschritte bei Cyberangriffen notwendig.

Ausblick

Jeder Dienst dokumentiert die Rolle und Bedeutung der IP-Präfixe in seinem Diensttag. Diensttags allein reichen nicht aus, um den Datenverkehr zu sichern, ohne die Art des Diensts und den Datenverkehr zu berücksichtigen, den er sendet.

Die IP-Präfixe und das Diensttag für einen Dienst können Datenverkehr und Benutzer außerhalb des Dienstes selbst umfassen. Wenn ein Azure-Dienst kundenkontrollierbare Ziele zulässt, lässt der Kunde unbeabsichtigt Datenverkehr zu, der von anderen Benutzern desselben Azure-Dienstes kontrolliert wird. Das Verständnis der Bedeutung der einzelnen Diensttags, die Sie nutzen möchten, hilft Ihnen, Ihr Risiko besser einzuschätzen und zusätzliche Schutzebenen zu identifizieren, die erforderlich sind.

Es ist immer eine bewährte Methode, Authentifizierung/Autorisierung für Datenverkehr zu implementieren, anstatt nur auf IP-Adressen zu vertrauen. Die Validierung der vom Client bereitgestellten Daten, einschließlich der Header, fügen diese nächste Schutzebene vor Spoofing hinzu. Azure Front Door (AFD) bietet erweiterten Schutz, indem der Header ausgewertet und sichergestellt wird, dass er mit Ihrer Anwendung und Ihrem Bezeichner übereinstimmt. Weitere Informationen zu erweiterten Schutzfunktionen von Azure Front Door finden Sie unter Sicherer Datenverkehr zu Azure Front Door-Ursprüngen.

Zusammenfassung

IP-basierte ACLs, z. B. Diensttags, sind ein guter Sicherheitsschutz, da sie den Netzwerkverkehr einschränken, aber sie sollten nicht die einzige Schutzebene gegen schädlichen Datenverkehr sein. Die Implementierung von Technologien, die Ihnen in Azure zur Verfügung stehen, z. B. Private Link- und Virtual Network Injection, sowie Diensttags verbessern Ihren Sicherheitsstatus. Weitere Informationen zu Private Link und Virtual Network Injection finden Sie unter Azure Private Link und Bereitstellen von dedizierten Azure-Diensten in virtuellen Netzwerken.