Sdílet prostřednictvím

Konfigurace bran firewall a virtuálních sítí služby Azure Key Vault

  • Článek

Tento dokument podrobně popisuje různé konfigurace brány firewall služby Azure Key Vault. Pokud chcete postupovat podle podrobných pokynů ke konfiguraci těchto nastavení, přečtěte si téma Konfigurace nastavení sítě služby Azure Key Vault.

Další informace najdete v tématu Koncové body služby pro virtuální síť pro Azure Key Vault.

Nastavení brány firewall

Tato část popisuje různé způsoby konfigurace brány firewall služby Azure Key Vault.

Zakázaná brána firewall služby Key Vault (výchozí)

Při vytváření nového trezoru klíčů je ve výchozím nastavení zakázaná brána firewall služby Azure Key Vault. Všechny aplikace a služby Azure mají přístup k trezoru klíčů a odesílat požadavky do trezoru klíčů. Tato konfigurace neznamená, že každý uživatel bude moct s trezorem klíčů provádět operace. Trezor klíčů stále omezuje přístup k tajným kódům, klíčům a certifikátům uloženým v trezoru klíčů tím, že vyžaduje oprávnění k ověřování a zásadám přístupu microsoft Entra. Podrobnější informace o ověřování trezoru klíčů najdete v tématu Ověřování ve službě Azure Key Vault. Další informace najdete v tématu Přístup ke službě Azure Key Vault za bránou firewall.

Povolená brána firewall služby Key Vault (pouze důvěryhodné služby)

Když povolíte bránu firewall služby Key Vault, máte možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall. Seznam důvěryhodných služeb nepokrývá všechny jednotlivé služby Azure. Například Azure DevOps není v seznamu důvěryhodných služeb. Neznamená to, že služby, které se nezobrazují v seznamu důvěryhodných služeb, nejsou důvěryhodné nebo nezabezpečené. Seznam důvěryhodných služeb zahrnuje služby, ve kterých Microsoft řídí veškerý kód, který běží ve službě. Vzhledem k tomu, že uživatelé můžou psát vlastní kód ve službách Azure, jako je Azure DevOps, Microsoft neposkytuje možnost vytvořit pro službu dekadní schválení. Kromě toho to, že se služba zobrazuje v seznamu důvěryhodných služeb, neznamená, že je povolená pro všechny scénáře.

Pokud chcete zjistit, jestli je služba, kterou se pokoušíte použít, na seznamu důvěryhodných služeb, podívejte se na koncové body služeb virtuální sítě pro Azure Key Vault. Pokud ho chcete provést, postupujte podle pokynů pro portál, Azure CLI a PowerShell.

Povolená brána firewall služby Key Vault (adresy a rozsahy IPv4 – Statické IP adresy)

Pokud chcete autorizovat konkrétní službu pro přístup k trezoru klíčů přes bránu firewall služby Key Vault, můžete přidat její IP adresu do seznamu povolených bran firewall trezoru klíčů. Tato konfigurace je nejvhodnější pro služby, které používají statické IP adresy nebo dobře známé rozsahy. Pro tento případ existuje limit 1 000 rozsahů CIDR.

Pokud chcete povolit IP adresu nebo rozsah prostředku Azure, například webovou aplikaci nebo aplikaci logiky, proveďte následující kroky.

  1. Přihlaste se k portálu Azure.
  2. Vyberte prostředek (konkrétní instanci služby).
  3. V části Nastavení vyberte okno Vlastnosti.
  4. Vyhledejte pole IP adresa.
  5. Zkopírujte tuto hodnotu nebo rozsah a zadejte ji do seznamu povolených bran firewall služby Key Vault.

Pokud chcete povolit celou službu Azure, použijte prostřednictvím brány firewall služby Key Vault seznam VEŘEJNĚ zdokumentovaných IP adres datacentra pro Azure. Vyhledejte IP adresy přidružené ke službě, kterou chcete mít v požadované oblasti, a přidejte tyto IP adresy do brány firewall trezoru klíčů.

Povolená brána firewall služby Key Vault (virtuální sítě – dynamické IP adresy)

Pokud se pokoušíte povolit prostředek Azure, jako je virtuální počítač prostřednictvím trezoru klíčů, možná nebudete moct používat statické IP adresy a možná nechcete povolit přístup ke svému trezoru klíčů pro všechny IP adresy virtuálních počítačů Azure.

V takovém případě byste měli vytvořit prostředek ve virtuální síti a pak povolit provoz z konkrétní virtuální sítě a podsítě pro přístup k vašemu trezoru klíčů.

  1. Přihlaste se k portálu Azure.
  2. Vyberte trezor klíčů, který chcete nakonfigurovat.
  3. Vyberte okno Sítě.
  4. Vyberte + Přidat existující virtuální síť.
  5. Vyberte virtuální síť a podsíť, které chcete povolit prostřednictvím brány firewall trezoru klíčů.

Informace o tom, jak nakonfigurovat připojení privátního propojení ve vašem trezoru klíčů, najdete v tomto dokumentu.

Důležité

Jakmile jsou pravidla brány firewall platná, můžou uživatelé provádět operace roviny dat služby Key Vault pouze v případě, že jejich požadavky pocházejí z povolených virtuálních sítí nebo rozsahů adres IPv4. To platí také pro přístup ke službě Key Vault z webu Azure Portal. I když uživatelé můžou z webu Azure Portal přejít k trezoru klíčů, nemusí být schopni vypsat klíče, tajné kódy nebo certifikáty, pokud jejich klientský počítač není v seznamu povolených. To má vliv také na výběr služby Key Vault používané jinými službami Azure. Uživatelé můžou zobrazit seznam trezorů klíčů, ale ne klíče seznamu, pokud pravidla brány firewall brání klientskému počítači.

Poznámka:

Mějte na paměti následující omezení konfigurace:

  • Je povoleno maximálně 200 pravidel virtuální sítě a 1 000 pravidel IPv4.
  • Pravidla sítě IP jsou povolená jenom pro veřejné IP adresy. Rozsahy IP adres vyhrazené pro privátní sítě (definované v rfc 1918) nejsou v pravidlech IP adres povolené. Mezi privátní sítě patří adresy začínající 10., 172.16-31 a 192.168..
  • V tuto chvíli jsou podporovány pouze adresy IPv4.

Veřejný přístup je zakázaný (pouze privátní koncový bod)

Pokud chcete zvýšit zabezpečení sítě, můžete nakonfigurovat trezor tak, aby zakázal veřejný přístup. Tím se odepře všechny veřejné konfigurace a povolí se pouze připojení prostřednictvím privátních koncových bodů.

Hraniční síť (Preview)

Hraniční síť zabezpečení sítě (Preview) umožňuje organizacím definovat hranici izolace logické sítě pro prostředky PaaS (například Azure Key Vault, Azure Storage a SQL Database), které jsou nasazené mimo virtuální sítě vaší organizace. Omezuje přístup k prostředkům PaaS mimo hraniční síť. Přístup je možné vyloučit pomocí explicitních pravidel přístupu pro veřejné příchozí a odchozí přenosy.

V současné době je hraniční síť ve verzi Public Preview pro podmnožinu prostředků. Viz Onboarded private-link resources and Limitations of network security perimetr. Další informace najdete v tématu Přechod na hraniční síť zabezpečení sítě.

Důležité

Provoz privátního koncového bodu se považuje za vysoce zabezpečený, a proto se na ně nevztahují pravidla zabezpečení sítě. Všechny ostatní přenosy, včetně důvěryhodných služeb, budou podléhat pravidlům zabezpečení sítě, pokud je trezor klíčů přidružený k hraniční síti.

S hraniční sítí:

  • Všechny prostředky uvnitř hraniční sítě můžou komunikovat s jakýmkoli jiným prostředkem v rámci hraniční sítě.
  • Externí přístup je k dispozici s následujícími ovládacími prvky:
    • Veřejný příchozí přístup je možné schválit pomocí atributů sítě a identity klienta, jako jsou zdrojové IP adresy nebo předplatná.
    • Veřejné odchozí přenosy je možné schválit pomocí plně kvalifikovaných názvů domén (plně kvalifikovaných názvů domén) externích cílů.
  • Diagnostické protokoly jsou povolené pro prostředky PaaS v rámci hraniční sítě pro audit a dodržování předpisů.

Omezení a důležité informace

  • Nastavení přístupu k veřejné síti pro zakázání stále umožňuje důvěryhodné služby. Přepnutí přístupu k veřejné síti na zabezpečený podle hraniční sítě a pak zakáže důvěryhodné služby, i když jsou nakonfigurované tak, aby povolovaly důvěryhodné služby.
  • Pravidla brány firewall služby Azure Key Vault se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall.
  • Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, musíte být na počítači v rámci důvěryhodné hranice, kterou navážete při konfiguraci pravidel zabezpečení sítě.
  • Azure Key Vault nemá žádný koncept odchozích pravidel. Trezor klíčů můžete stále přidružit k hraniční síti s odchozími pravidly, ale trezor klíčů je nebude používat.

Přidružení hraniční sítě k trezoru klíčů – Azure PowerShell

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure PowerShellu, postupujte podle těchto pokynů.

Přidružení hraniční sítě k trezoru klíčů – Azure CLI

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure CLI, postupujte podle těchto pokynů.

Režimy hraničního přístupu zabezpečení sítě

Hraniční síť podporuje dva různé režimy přístupu pro přidružené prostředky:

Režim Popis
Režim výuky Výchozí režim přístupu. V režimu učení protokoluje hraniční síť veškerý provoz do vyhledávací služby, která by byla odepřena, pokud by byla hraniční síť v vynuceném režimu. Správci sítě tak můžou před implementací pravidel přístupu porozumět existujícím vzorům přístupu vyhledávací služby.
Vynucený režim V režimu vynucení protokoly hraniční sítě a zamítnou veškerý provoz, který nejsou explicitně povolená pravidly přístupu.

Nastavení síťového zabezpečení hraniční sítě a trezoru klíčů

Nastavení publicNetworkAccess určuje přidružení trezoru klíčů k hraniční síti.

  • V režimu publicNetworkAccess učení řídí nastavení veřejný přístup k prostředku.

  • V režimu publicNetworkAccess vynucení se nastavení přepíše pravidly zabezpečení sítě. Pokud je například vyhledávací služba s publicNetworkAccess nastavením enabled přidružená k hraniční síti v vynuceném režimu, bude přístup k vyhledávací službě stále řízen pravidly zabezpečení sítě.

Změna režimu přístupu k hraniční síti

  1. Na portálu přejděte k hraničnímu prostředku zabezpečení sítě.

  2. V nabídce vlevo vyberte Prostředky .

  3. Najděte trezor klíčů v tabulce.

  4. Vyberte tři tečky v pravém rohu řádku vyhledávací služby. V místní nabídce vyberte Změnit režim přístupu.

  5. Vyberte požadovaný režim přístupu a vyberte Použít.

Povolení protokolování síťového přístupu

Viz diagnostické protokoly pro hraniční síť.

Reference

Další kroky