Sdílet prostřednictvím


Co je seznam řízení přístupu na základě IP adresy (ACL)?

Značky služeb Azure byly zavedeny v roce 2018, aby se zjednodušila správa zabezpečení sítě v Azure. Značka služby představuje skupiny předpon IP adres přidružených ke konkrétním službám Azure a je možné je použít ve skupinách zabezpečení sítě (NSG), bráně Azure Firewall a trasách definovaných uživatelem (UDR). I když účelem značek služeb je zjednodušit povolování seznamů ACL založených na IP adresách, nemělo by se jednat o jediná implementovaná bezpečnostní opatření.

Další informace o značkách služeb v Azure najdete v tématu Značky služeb.

Pozadí

Jedním z doporučení a standardních postupů je použití seznamu řízení přístupu (ACL) k ochraně prostředí před škodlivým provozem. Přístupové seznamy jsou příkazem kritérií a akcí. Kritéria definují vzor, který se má shodovat, například IP adresu. Akce označují, co je očekávaná operace, která by se měla provést, například povolení nebo zamítnutí. Tato kritéria a akce je možné navázat na síťový provoz na základě portu a IP adresy. Konverzace TCP (Transmission Control Protocol) založené na portu a PROTOKOLU IP jsou identifikovány pětiřazenou kolekcí členů.

Řazená kolekce členů má pět prvků:

  • Protokol (TCP)

  • Zdrojová IP adresa (která IP adresa paketu odeslala)

  • Zdrojový port (port použitý k odeslání paketu)

  • Cílová IP adresa (kam se má paket přejít)

  • Cílový port

Při nastavování seznamů ACL IP nastavujete seznam IP adres, které chcete povolit procházení sítě a blokování všech ostatních. Kromě toho tyto zásady používáte nejen na IP adrese, ale i na portu.

Seznamy ACL založené na IP adresách je možné nastavit na různých úrovních sítě od síťového zařízení po brány firewall. Seznamy ACL protokolu IP jsou užitečné pro snížení rizik zabezpečení sítě, jako je blokování útoků na dostupnost služby a definování aplikací a portů, které můžou přijímat provoz. Například pro zabezpečení webové služby je možné vytvořit seznam ACL, který povolí pouze webový provoz a zablokuje veškerý ostatní provoz.

Značky Azure a služeb

IP adresy v Rámci Azure mají ve výchozím nastavení povolené ochrany, aby se vytvořily další vrstvy ochrany před bezpečnostními hrozbami. Mezi tyto ochrany patří integrovaná ochrana před útoky DDoS a ochrana na hraničních zařízeních, jako je povolení infrastruktury veřejných klíčů prostředků (RPKI). RPKI je architektura navržená tak, aby zlepšila zabezpečení infrastruktury internetového směrování tím, že umožňuje kryptografický vztah důvěryhodnosti. RPKI chrání sítě Microsoftu, aby se nikdo jiný nepokusil oznamovat prostor IP adres Microsoftu na internetu.

Mnoho zákazníků povoluje značky služeb jako součást své strategie obrany. Značky služeb jsou popisky, které identifikují služby Azure podle rozsahů IP adres. Hodnota značek služeb je seznam předpon, které se spravují automaticky. Automatická správa snižuje potřebu ruční údržby a sledování jednotlivých IP adres. Automatizovaná údržba značek služeb zajišťuje, aby služby vylepšovaly jejich nabídky tak, aby poskytovaly redundanci a vylepšené možnosti zabezpečení, které okamžitě těžíte. Značky služeb snižují počet ručních dotyků, které jsou potřeba, a zajišťují, aby provoz služby byl vždy přesný. Povolení značky služby v rámci skupiny zabezpečení sítě nebo trasy definované uživatelem povoluje seznamy ACL založené na IP adresách tím, že určíte, která značka služby vám může odesílat provoz.

Omezení

Jednou z výzev, kdy se spoléháte jenom na seznamy ACL založené na IP adresách, je to, že IP adresy se dají zfalšovat, pokud není implementováno RPKI. Azure automaticky použije ochranu RPKI a DDoS pro zmírnění falšování identity IP adres. Falšování identity IP je kategorie škodlivé aktivity, kde IP adresa, kterou si myslíte, že můžete důvěřovat, už není IP adresa, kterou byste měli považovat za důvěryhodnou. Použitím IP adresy předstírat, že je důvěryhodným zdrojem, že provoz získá přístup k vašemu počítači, zařízení nebo síti.

Známá IP adresa nemusí nutně znamenat, že je bezpečná nebo důvěryhodná. Falšování ip adres může nastat nejen v síťové vrstvě, ale i v rámci aplikací. Chyby zabezpečení v hlavičce HTTP umožňují hackerům vkládat datové části, které vedou k událostem zabezpečení. Vrstvy ověřování musí nastat nejen ze sítě, ale i v rámci aplikací. Budování filozofie důvěryhodnosti, ale ověření je nezbytné s pokroky, ke kterým dochází v kybernetických útocích.

Další kroky

Každá služba dokumentuje roli a význam předpon IP adres ve své značce služby. Značky služeb samy o sobě nestačí k zabezpečení provozu bez ohledu na povahu služby a provoz, který odesílá.

Předpony IP adres a značka služby pro službu můžou mít provoz a uživatele nad rámec samotné služby. Pokud služba Azure povoluje cíle s možností řízení zákazníků, zákazník neúmyslně povoluje provoz řízený jinými uživateli stejné služby Azure. Pochopení významu každé značky služby, kterou chcete využít, vám pomůže pochopit vaše riziko a identifikovat další vrstvy ochrany, které jsou potřeba.

Vždy je osvědčeným postupem implementovat ověřování a autorizaci provozu, a nespoléhat se jenom na IP adresy. Ověření dat poskytnutých klientem, včetně hlaviček, přidávají další úroveň ochrany proti falšování identity. Azure Front Door (AFD) zahrnuje rozšířenou ochranu vyhodnocením hlavičky a zajištěním, že odpovídá vaší aplikaci a vašemu identifikátoru. Další informace o rozšířených ochraně služby Azure Front Door najdete v tématu Zabezpečení provozu do zdrojů služby Azure Front Door.

Shrnutí

Seznamy ACL založené na IP adresách, jako jsou značky služeb, představují dobrou ochranu zabezpečení omezením síťového provozu, ale neměly by být jedinou vrstvou ochrany před škodlivým provozem. Implementace technologií dostupných v Azure, jako je private link a injektáž virtuální sítě, kromě značek služeb zlepšuje stav zabezpečení. Další informace o injektáži služby Private Link a virtuální sítě najdete v tématu Azure Private Link a nasazení vyhrazených služeb Azure do virtuálních sítí.