Compartilhar via

O que é uma lista de controle de acesso baseada em IP (ACL)?

  • Artigo

As marcas de serviço do Azure foram introduzidas em 2018 para simplificar o gerenciamento da segurança de rede no Azure. Uma marca de serviço representa grupos de prefixos de endereço IP associados a serviços específicos do Azure e pode ser usada em Grupos de Segurança de Rede (NSGs), Firewall do Azure e Rotas Definidas pelo Usuário (UDR). Embora a intenção das Marcas de Serviço seja simplificar a habilitação de ACLs baseadas em IP, elas não devem ser as únicas medidas de segurança implementadas.

Para obter mais informações sobre Marcas de Serviço no Azure, consulte Marcas de Serviço.

Tela de fundo

Uma das recomendações e procedimentos padrão é usar uma Lista de Controle de Acesso (ACL) para proteger um ambiente contra tráfego prejudicial. As listas de acesso são uma declaração de critérios e ações. Os critérios definem o padrão a ser correspondido, como um Endereço IP. As ações indicam qual é a operação esperada que deve ser executada, como permitir ou negar. Esses critérios e ações podem ser estabelecidos no tráfego de rede com base na porta e no IP. As conversas TCP (protocolo TCP) baseadas na porta e no IP são identificadas com uma cinco-tuplas.

A tupla tem cinco elementos:

  • Protocolo (TCP)

  • Endereço IP de origem (qual IP enviou o pacote)

  • Porta de origem (porta que foi usada para enviar o pacote)

  • Endereço IP de destino (para onde o pacote deve ir)

  • Porta de destino

Quando você configura ACLs de IP, está configurando uma lista de endereços IP que deseja permitir que atravessem a rede e bloqueiam todos os outros. Além disso, você está aplicando essas políticas não apenas no endereço IP, mas também na porta.

As ACLs baseadas em IP podem ser configuradas em diferentes níveis de uma rede, desde o dispositivo de rede até os firewalls. As ACLs de IP são úteis para reduzir os riscos de segurança da rede, como o bloqueio de ataques de negação de serviço e a definição de aplicativos e portas que podem receber o tráfego. Por exemplo, para proteger um serviço Web, uma ACL pode ser criada para permitir apenas o tráfego da Web e bloquear todos os outros tráfegos.

Azure e marcas de serviço

Os endereços IP no Azure têm proteções habilitadas por padrão para criar camadas extras de proteção contra ameaças à segurança. Essas proteções incluem proteção contra DDoS integrada e proteções na borda, como a habilitação da RPKI (Infraestrutura de Chave Pública de Recursos). A RPKI é uma estrutura projetada para melhorar a segurança da infraestrutura de roteamento da Internet, permitindo a confiança criptográfica. A RPKI protege as redes da Microsoft para garantir que ninguém mais tente anunciar o espaço de IP da Microsoft na Internet.

Muitos clientes habilitam Marcas de Serviço como parte da sua estratégia de defesa. As Marcas de Serviço são rótulos que identificam os serviços do Azure por seus intervalos de IP. O valor das Marcas de Serviço é que a lista de prefixos é gerenciada automaticamente. O gerenciamento automático reduz a necessidade de manter e rastrear manualmente endereços IP individuais. A manutenção automatizada das marcas de serviço garante que, à medida que os serviços melhoram suas ofertas para fornecer redundância e recursos de segurança aprimorados, você se beneficia imediatamente. As marcas de serviço reduzem o número de toques manuais necessários e garantem que o tráfego de um serviço seja sempre preciso. Habilitar uma marca de serviço como parte de um NSG ou UDR é habilitar ACLs baseadas em IP, especificando qual marca de serviço tem permissão para enviar tráfego para você.

Limitações

Um desafio de confiar apenas em ACLs baseadas em IP é que os endereços IP podem ser falsificados se o RPKI não for implementado. O Azure aplica automaticamente as proteção contra DDoS e RPKI para mitigar a falsificação de IP. A falsificação de IP é uma categoria de atividade maliciosa em que o IP no qual você acha que pode confiar não é mais um IP em que você deve confiar. Ao usar um endereço IP para fingir ser uma fonte confiável, esse tráfego obtém acesso ao seu computador, dispositivo ou rede.

Um endereço IP conhecido não significa necessariamente que ele seja seguro ou confiável. A Falsificação de IP pode ocorrer não apenas na camada de rede, mas também nos aplicativos. As vulnerabilidades nos cabeçalhos HTTP permitem que os hackers injetem conteúdos que levam a eventos de segurança. As camadas de validação precisam ocorrer não apenas na rede, mas também nos aplicativos. A criação de uma filosofia Confiar, mas Verificar é necessária com os avanços que estão ocorrendo nos ataques cibernéticos.

Avançando

Todo serviço documenta a função e o significado dos prefixos IP em sua marca de serviço. As Marcas de Serviço por si só não são suficientes para proteger o tráfego sem considerar a natureza do serviço e o tráfego que ele envia.

Os prefixos IP e a Marca de Serviço de um Serviço podem ter tráfego e usuários além do próprio serviço. Se um serviço do Azure permitir Destinos Controláveis pelo Cliente, o cliente estará permitindo inadvertidamente o tráfego controlado por outros usuários do mesmo serviço do Azure. Compreender o significado de cada Marca de Serviço que você deseja utilizar ajuda a entender o risco e a identificar as camadas extras de proteção necessárias.

É sempre uma melhor prática implementar a autenticação/autorização para o tráfego em vez de confiar apenas nos endereços IP. As validações de dados fornecidos pelo cliente, incluindo cabeçalhos, adicionam o próximo nível de proteção contra falsificação. O Azure Front Door (AFD) inclui proteções estendidas ao avaliar o cabeçalho e garantir que ele corresponda ao seu aplicativo e ao seu identificador. Para obter mais informações sobre as proteções estendidas do Azure Front Door, consulte Proteger o tráfego para as origens do Azure Front Door.

Resumo

As ACLs baseadas em IP, como as marcas de serviço, são uma boa defesa de segurança ao restringir o tráfego de rede, mas não devem ser a única camada de defesa contra o tráfego mal-intencionado. A implantação de tecnologias disponíveis no Azure, como Link Privado e Injeção de Rede Virtual, além das marcas de serviço, melhoram sua postura de segurança. Para obter mais informações sobre o Link Privado e a Injeção de Rede Virtual, consulte Link Privado do Azure e Implantar serviços dedicados do Azure em redes virtuais.