O que é uma lista de controle de acesso (ACL) baseada em IP?
As Etiquetas de Serviço do Azure foram introduzidas em 2018 para simplificar a gestão da segurança de rede no Azure. Uma marca de serviço representa grupos de prefixos de endereço IP associados a serviços específicos do Azure e pode ser usada em NSGs (Grupos de Segurança de Rede), Firewall do Azure e UDR (Rotas Definidas pelo Usuário). Embora a intenção das etiquetas de serviço seja simplificar a habilitação de ACLs baseadas em IP, não deve ser a única medida de segurança implementada.
Para obter mais informações sobre marcas de serviço no Azure, consulte Tags de serviço.
Fundo
Uma das recomendações e procedimentos padrão é usar uma Lista de Controle de Acesso (ACL) para proteger um ambiente de tráfego prejudicial. As listas de acesso são uma declaração de critérios e ações. Os critérios definem o padrão a ser correspondido, como um endereço IP. As ações indicam qual é a operação esperada que deve ser realizada, como uma licença ou negação. Esses critérios e ações podem ser estabelecidos no tráfego de rede com base na porta e no IP. As conversas TCP (Transmission Control Protocol) baseadas em porta e IP são identificadas com uma cinco tuplas.
A tupla tem cinco elementos:
Protocolo (TCP)
Endereço IP de origem (qual IP enviou o pacote)
Porta de origem (porta que foi usada para enviar o pacote)
Endereço IP de destino (para onde o pacote deve ir)
Porta de destino
Ao configurar ACLs IP, você está configurando uma lista de endereços IP que deseja permitir que atravessem a rede e bloqueie todos os outros. Além disso, você está aplicando essas políticas não apenas no endereço IP, mas também na porta.
As ACLs baseadas em IP podem ser configuradas em diferentes níveis de uma rede, desde o dispositivo de rede até firewalls. As ACLs IP são úteis para reduzir os riscos de segurança da rede, como bloquear ataques de negação de serviço e definir aplicativos e portas que podem receber tráfego. Por exemplo, para proteger um serviço Web, uma ACL pode ser criada para permitir apenas o tráfego da Web e bloquear todo o outro tráfego.
Azure e tags de serviço
Os endereços IP no Azure têm proteções habilitadas por padrão para criar camadas extras de proteções contra ameaças à segurança. Essas proteções incluem proteção DDoS integrada e proteções na borda, como a habilitação de RPKI (Resource Public Key Infrastructure). RPKI é uma estrutura projetada para melhorar a segurança da infraestrutura de roteamento da Internet, permitindo a confiança criptográfica. RPKI protege as redes da Microsoft para garantir que ninguém mais tente anunciar o espaço IP da Microsoft na Internet.
Muitos clientes habilitam as etiquetas de serviço como parte de sua estratégia de defesa. As Etiquetas de Serviço são etiquetas que identificam os serviços do Azure pelos seus intervalos de IP. O valor de Service Tags é a lista de prefixos que são gerenciados automaticamente. O gerenciamento automático reduz a necessidade de manter e rastrear manualmente endereços IP individuais. A manutenção automatizada de etiquetas de serviço garante que, à medida que os serviços aprimoram suas ofertas para fornecer redundância e recursos de segurança aprimorados, você se beneficia imediatamente. As etiquetas de serviço reduzem o número de toques manuais necessários e garantem que o tráfego de um serviço seja sempre preciso. Habilitar uma tag de serviço como parte de um NSG ou UDR é habilitar ACLs baseadas em IP especificando qual tag de serviço tem permissão para enviar tráfego para você.
Limitações
Um desafio de depender apenas de ACLs baseadas em IP é que os endereços IP podem ser falsificados se o RPKI não for implementado. O Azure aplica automaticamente proteções RPKI e DDoS para mitigar a falsificação de IP. A falsificação de IP é uma categoria de atividade maliciosa em que o IP em que você acha que pode confiar não é mais um IP em que você deve confiar. Ao usar um endereço IP para fingir ser uma fonte confiável, esse tráfego ganha acesso ao seu computador, dispositivo ou rede.
Um endereço IP conhecido não significa necessariamente que seja seguro ou confiável. IP Spoofing pode ocorrer não apenas em uma camada de rede, mas também dentro de aplicativos. As vulnerabilidades nos cabeçalhos HTTP permitem que os hackers injetem cargas úteis que levam a eventos de segurança. As camadas de validação precisam ocorrer não apenas da rede, mas também dentro dos aplicativos. Construir uma filosofia de confiança, mas verificar é necessário com os avanços que estão ocorrendo nos ataques cibernéticos.
Avançar
Cada serviço documenta a função e o significado dos prefixos IP em sua etiqueta de serviço. As etiquetas de serviço por si só não são suficientes para proteger o tráfego sem considerar a natureza do serviço e o tráfego que ele envia.
Os prefixos IP e a etiqueta de serviço de um serviço podem ter tráfego e usuários além do próprio serviço. Se um serviço do Azure permitir Destinos Controláveis pelo Cliente, o cliente está inadvertidamente permitindo o tráfego controlado por outros usuários do mesmo serviço do Azure. Compreender o significado de cada etiqueta de serviço que você deseja utilizar ajuda a entender seu risco e identificar camadas extras de proteção que são necessárias.
É sempre uma prática recomendada implementar autenticação/autorização para o tráfego, em vez de depender apenas de endereços IP. As validações de dados fornecidos pelo cliente, incluindo cabeçalhos, adicionam esse próximo nível de proteção contra falsificação. O Azure Front Door (AFD) inclui proteções estendidas avaliando o cabeçalho e garante que ele corresponda ao seu aplicativo e ao seu identificador. Para obter mais informações sobre as proteções estendidas do Azure Front Door, consulte Proteger o tráfego para as origens do Azure Front Door.
Resumo
ACLs baseadas em IP, como tags de serviço, são uma boa defesa de segurança ao restringir o tráfego de rede, mas não devem ser a única camada de defesa contra tráfego mal-intencionado. A implementação de tecnologias disponíveis para você no Azure, como Link Privado e Injeção de Rede Virtual, além de tags de serviço, melhora sua postura de segurança. Para obter mais informações sobre Link Privado e Injeção de Rede Virtual, consulte Link Privado do Azure e Implantar serviços dedicados do Azure em redes virtuais.