Wat is een op IP gebaseerde toegangsbeheerlijst (ACL)?
Azure-servicetags zijn in 2018 geïntroduceerd om netwerkbeveiligingsbeheer in Azure te vereenvoudigen. Een servicetag vertegenwoordigt groepen IP-adresvoorvoegsels die zijn gekoppeld aan specifieke Azure-services en kunnen worden gebruikt in netwerkbeveiligingsgroepen (NSG's), Azure Firewall en door de gebruiker gedefinieerde routes (UDR). Hoewel het doel van servicetags is om het inschakelen van OP IP gebaseerde ACL's te vereenvoudigen, mag dit niet de enige beveiligingsmaatregelen zijn die worden geïmplementeerd.
Zie Servicetags voor meer informatie over servicetags in Azure.
Achtergrond
Een van de aanbevelingen en standaardprocedures is het gebruik van een ACL (Access Control List) om een omgeving te beschermen tegen schadelijk verkeer. Access-lijsten zijn een instructie van criteria en acties. De criteria definiëren het patroon dat moet worden vergeleken, zoals een IP-adres. De acties geven aan wat de verwachte bewerking is die moet worden uitgevoerd, zoals een vergunning of weigering. Deze criteria en acties kunnen worden vastgesteld op basis van netwerkverkeer op basis van de poort en het IP-adres. TCP-gesprekken (Transmission Control Protocol) op basis van poort en IP worden geïdentificeerd met een vijf tuple.
De tuple heeft vijf elementen:
Protocol (TCP)
Bron-IP-adres (welk IP-adres het pakket heeft verzonden)
Bronpoort (poort die is gebruikt om het pakket te verzenden)
Doel-IP-adres (waar het pakket moet gaan)
Doelpoort
Wanneer u IP-ACL's instelt, stelt u een lijst met IP-adressen in die u wilt toestaan om het netwerk te doorlopen en alle andere te blokkeren. Daarnaast past u dit beleid niet alleen toe op het IP-adres, maar ook op de poort.
OP IP gebaseerde ACL's kunnen worden ingesteld op verschillende niveaus van een netwerk van het netwerkapparaat naar firewalls. IP-ACL's zijn handig voor het verminderen van netwerkbeveiligingsrisico's, zoals het blokkeren van Denial of Service-aanvallen en het definiëren van toepassingen en poorten die verkeer kunnen ontvangen. Als u bijvoorbeeld een webservice wilt beveiligen, kan een ACL worden gemaakt om alleen webverkeer toe te staan en al het andere verkeer te blokkeren.
Azure- en servicetags
IP-adressen in Azure hebben standaard beveiligingen ingeschakeld om extra beveiligingslagen te bouwen tegen beveiligingsrisico's. Deze beveiligingen omvatten geïntegreerde DDoS-beveiliging en -beveiliging aan de rand, zoals het inschakelen van RPKI (Resource Public Key Infrastructure). RPKI is een framework dat is ontworpen om de beveiliging voor de infrastructuur voor internetroutering te verbeteren door cryptografische vertrouwensrelatie mogelijk te maken. RPKI beveiligt Microsoft-netwerken om ervoor te zorgen dat niemand anders de Microsoft IP-ruimte op internet probeert aan te kondigen.
Veel klanten maken servicetags mogelijk als onderdeel van hun verdedigingsstrategie. Servicetags zijn labels waarmee Azure-services worden geïdentificeerd op basis van hun IP-adresbereiken. De waarde van servicetags is de lijst met voorvoegsels die automatisch worden beheerd. Het automatische beheer vermindert de noodzaak om afzonderlijke IP-adressen handmatig te onderhouden en bij te houden. Geautomatiseerd onderhoud van servicetags zorgt ervoor dat wanneer services hun aanbod verbeteren om redundantie en verbeterde beveiligingsmogelijkheden te bieden, u onmiddellijk profiteert. Servicetags verminderen het aantal handmatige aanrakingen dat vereist is en zorg ervoor dat het verkeer voor een service altijd nauwkeurig is. Als u een servicetag inschakelt als onderdeel van een NSG of UDR, worden ACL's op basis van IP ingeschakeld door op IP gebaseerde ACL's op te geven welke servicetag verkeer naar u mag verzenden.
Beperkingen
Een uitdaging met het alleen vertrouwen op IP-gebaseerde ACL's is dat IP-adressen kunnen worden vervalst als RPKI niet wordt geïmplementeerd. Azure past automatisch RPKI- en DDoS-beveiligingen toe om IP-adresvervalsing te beperken. IP-adresvervalsing is een categorie schadelijke activiteiten waarbij het IP-adres dat u denkt te vertrouwen niet langer een IP-adres is dat u moet vertrouwen. Door een IP-adres te gebruiken om te doen alsof het een vertrouwde bron is, krijgt dat verkeer toegang tot uw computer, apparaat of netwerk.
Een bekend IP-adres betekent niet noodzakelijkerwijs dat het veilig of betrouwbaar is. IP-adresvervalsing kan niet alleen plaatsvinden op een netwerklaag, maar ook in toepassingen. Met beveiligingsproblemen in HTTP-headers kunnen hackers nettoladingen injecteren die leiden tot beveiligingsevenementen. Lagen van validatie moeten plaatsvinden vanuit niet alleen het netwerk, maar ook binnen toepassingen. Een filosofie van vertrouwen opbouwen, maar verifiëren is noodzakelijk met de vooruitgang die zich voordoet bij cyberaanvallen.
In de toekomst
Elke service documenteert de rol en betekenis van de IP-voorvoegsels in hun servicetag. Alleen servicetags zijn niet voldoende om verkeer te beveiligen zonder rekening te houden met de aard van de service en het verkeer dat wordt verzonden.
De IP-voorvoegsels en servicetags voor een service hebben mogelijk verkeer en gebruikers buiten de service zelf. Als een Azure-service klantbeheerbare bestemmingen toestaat, staat de klant per ongeluk verkeer toe dat wordt beheerd door andere gebruikers van dezelfde Azure-service. Inzicht in de betekenis van elke servicetag die u wilt gebruiken, helpt u inzicht te krijgen in uw risico en extra beveiligingslagen te identificeren die vereist zijn.
Het is altijd een best practice om verificatie/autorisatie te implementeren voor verkeer in plaats van alleen te vertrouwen op IP-adressen. Validaties van door de client geleverde gegevens, inclusief headers, voegen dat volgende beveiligingsniveau toe tegen adresvervalsing. Azure Front Door (AFD) bevat uitgebreide beveiligingen door de header te evalueren en ervoor te zorgen dat deze overeenkomt met uw toepassing en uw id. Zie Verkeer beveiligen naar Azure Front Door-origins voor meer informatie over de uitgebreide beveiligingen van Azure Front Door.
Samenvatting
OP IP gebaseerde ACL's, zoals servicetags, zijn een goede beveiligingsbeveiliging door netwerkverkeer te beperken, maar ze mogen niet de enige verdedigingslaag tegen schadelijk verkeer zijn. Het implementeren van technologieën die voor u beschikbaar zijn in Azure, zoals Private Link en Virtual Network-injectie, naast servicetags, verbeteren uw beveiligingspostuur. Zie Azure Private Link en toegewezen Azure-services implementeren in virtuele netwerken voor meer informatie over Private Link en Virtual Network-injectie.