Vad är en IP-baserad åtkomstkontrollista (ACL)?

  • Artikel

Azure Service-taggar introducerades 2018 för att förenkla nätverkssäkerhetshanteringen i Azure. En tjänsttagg representerar grupper med IP-adressprefix som är associerade med specifika Azure-tjänster och kan användas i nätverkssäkerhetsgrupper (NSG), Azure Firewall och användardefinierade vägar (UDR). Avsikten med tjänsttaggar är att förenkla aktivering av IP-baserade ACL:er, men det bör inte vara de enda säkerhetsåtgärder som implementeras.

Mer information om tjänsttaggar i Azure finns i Tjänsttaggar.

Bakgrund

En av rekommendationerna och standardprocedurerna är att använda en åtkomstkontrollista (ACL) för att skydda en miljö mot skadlig trafik. Åtkomstlistor är en instruktion för kriterier och åtgärder. Villkoret definierar det mönster som ska matchas, till exempel en IP-adress. Åtgärderna anger vilken förväntad åtgärd som ska utföras, till exempel ett tillstånd eller neka. Dessa kriterier och åtgärder kan upprättas på nätverkstrafik baserat på porten och IP-adressen. TCP-konversationer (Transmission Control Protocol) baserat på port och IP identifieras med en femtupplare.

Tuppeln har fem element:

  • Protokoll (TCP)

  • Käll-IP-adress (som IP skickade paketet)

  • Källport (port som användes för att skicka paketet)

  • Mål-IP-adress (vart paketet ska gå)

  • Målport

När du konfigurerar IP-ACL:er konfigurerar du en lista med IP-adresser som du vill tillåta för att passera nätverket och blockera alla andra. Dessutom tillämpar du dessa principer inte bara på IP-adressen utan även på porten.

IP-baserade ACL:er kan konfigureras på olika nivåer i ett nätverk från nätverksenheten till brandväggar. IP-ACL:er är användbara för att minska nätverkssäkerhetsrisker, till exempel blockera överbelastningsattacker och definiera program och portar som kan ta emot trafik. För att till exempel skydda en webbtjänst kan en ACL skapas för att endast tillåta webbtrafik och blockera all annan trafik.

Azure- och tjänsttaggar

IP-adresser i Azure har skydd aktiverat som standard för att skapa extra lager av skydd mot säkerhetshot. Dessa skydd omfattar integrerat DDoS-skydd och skydd vid gränsen, till exempel aktivering av RPKI (Resource Public Key Infrastructure). RPKI är ett ramverk som är utformat för att förbättra säkerheten för internetroutningsinfrastrukturen genom att aktivera kryptografiskt förtroende. RPKI skyddar Microsoft-nätverk för att säkerställa att ingen annan försöker meddela Microsofts IP-utrymme på Internet.

Många kunder aktiverar tjänsttaggar som en del av sin försvarsstrategi. Tjänsttaggar är etiketter som identifierar Azure-tjänster efter deras IP-intervall. Värdet för tjänsttaggar är listan över prefix som hanteras automatiskt. Den automatiska hanteringen minskar behovet av att manuellt underhålla och spåra enskilda IP-adresser. Automatiserat underhåll av en tjänsttaggar säkerställer att när tjänsterna förbättrar sina erbjudanden för att tillhandahålla redundans och förbättrade säkerhetsfunktioner, drar du omedelbart nytta av det. Tjänsttaggar minskar antalet manuella inslag som krävs och ser till att trafiken för en tjänst alltid är korrekt. Att aktivera en tjänsttagg som en del av en NSG eller UDR aktiverar IP-baserade ACL:er genom att ange vilken tjänsttagg som ska kunna skicka trafik till dig.

Begränsningar

En utmaning med att bara förlita sig på IP-baserade ACL:er är att IP-adresser kan förfalskas om RPKI inte implementeras. Azure tillämpar automatiskt RPKI- och DDoS-skydd för att minimera IP-förfalskning. IP-förfalskning är en kategori av skadlig aktivitet där IP-adressen som du tror att du kan lita på inte längre är en IP-adress som du bör lita på. Genom att använda en IP-adress för att låtsas vara en betrodd källa får trafiken åtkomst till datorn, enheten eller nätverket.

En känd IP-adress betyder inte nödvändigtvis att den är säker eller tillförlitlig. IP-förfalskning kan ske inte bara på ett nätverkslager utan även i program. Säkerhetsrisker i HTTP-huvuden gör det möjligt för hackare att mata in nyttolaster som leder till säkerhetshändelser. Valideringslager måste ske från inte bara nätverket utan även inom program. Att skapa en förtroendefilosofi men verifiera är nödvändigt med de framsteg som sker i cyberattacker.

Framöver

Varje tjänst dokumenterar rollen och innebörden av IP-prefixen i tjänsttaggen. Enbart tjänsttaggar räcker inte för att skydda trafiken utan att ta hänsyn till tjänstens art och den trafik som den skickar.

IP-prefixen och tjänsttaggen för en tjänst kan ha trafik och användare utanför själva tjänsten. Om en Azure-tjänst tillåter kundkontrollbara mål tillåter kunden oavsiktligt trafik som kontrolleras av andra användare av samma Azure-tjänst. Att förstå innebörden av varje tjänsttagg som du vill använda hjälper dig att förstå din risk och identifiera extra skyddslager som krävs.

Det är alltid bästa praxis att implementera autentisering/auktorisering för trafik i stället för att enbart förlita sig på IP-adresser. Valideringar av klientbaserade data, inklusive rubriker, lägger till nästa skyddsnivå mot förfalskning. Azure Front Door (AFD) innehåller utökat skydd genom att utvärdera huvudet och se till att det matchar ditt program och din identifierare. Mer information om Azure Front Door utökade skydd finns i Skydda trafik till Azure Front Door-ursprung.

Sammanfattning

IP-baserade ACL:er, till exempel tjänsttaggar, är ett bra säkerhetsskydd genom att begränsa nätverkstrafiken, men de bör inte vara det enda skyddsskiktet mot skadlig trafik. Implementering av tekniker som är tillgängliga för dig i Azure, till exempel Private Link och Virtual Network Injection utöver tjänsttaggar, förbättrar din säkerhetsstatus. Mer information om Private Link och Virtual Network Injection finns i Azure Private Link och Distribuera dedikerade Azure-tjänster till virtuella nätverk.