Configuración de firewalls y redes virtuales de Azure Key Vault

En este documento se describen las distintas configuraciones de un firewall de Azure Key Vault en detalle. Para seguir las instrucciones paso a paso sobre cómo configurar estas opciones, consulte Configuración de las redes de Azure Key Vault.

Para más información, consulte Puntos de conexión de servicio de red virtual para Azure Key Vault.

Configuración del firewall

En esta sección se describen las distintas formas en que se puede configurar un firewall de Azure Key Vault.

Firewall de Key Vault deshabilitado (opción predeterminada)

De forma predeterminada, cuando se crea un nuevo almacén de claves, el firewall de Azure Key Vault está deshabilitado. Todas las aplicaciones y los servicios de Azure pueden acceder al almacén de claves y enviarle solicitudes. Esta configuración no significa que cualquier usuario podrá realizar operaciones en el almacén de claves. El almacén de claves todavía restringe el acceso a los secretos, las claves y los certificados almacenados en él al requerir permisos de directiva de acceso y autenticación de Microsoft Entra. Para conocer más detalles sobre la autenticación del almacén de claves, consulte Autenticación de Azure Key Vault. Para más información, consulte Acceso a Azure Key Vault desde detrás de un firewall.

Firewall de Key Vault habilitado (solo servicios de confianza)

Al habilitar el firewall de Key Vault, se le ofrece una opción para "Permitir que los servicios de Microsoft de confianza omitan este firewall". La lista de servicios de confianza no cubre todos los servicios de Azure. Por ejemplo, Azure DevOps no se encuentra en la lista de servicios de confianza. Esto no implica que los servicios que no aparezcan en la lista de servicios de confianza no sean de confianza o sean inseguros. La lista de servicios de confianza abarca los servicios en los que Microsoft controla todo el código que se ejecuta en el servicio. Dado que los usuarios pueden escribir código personalizado en servicios de Azure como Azure DevOps, Microsoft no ofrece la opción de crear una aprobación global para el servicio. Además, que un servicio aparezca en la lista de servicios de confianza no significa que se permita en todos los escenarios.

Para determinar si un servicio que está intentando usar está en la lista de servicios de confianza, consulte Puntos de conexión de servicio de red virtual para Azure Key Vault. Para obtener una guía paso a paso, siga las instrucciones que se indican aquí para Portal, la CLI de Azure y PowerShell

Firewall de Key Vault habilitado (intervalos y direcciones IPv4: direcciones IP estáticas)

Si desea autorizar el acceso de un servicio determinado al almacén de claves a través del firewall de Key Vault, puede agregar su dirección IP a la lista de permitidos del firewall del almacén de claves. Esta configuración es la mejor para los servicios que usan direcciones IP estáticas o intervalos conocidos. En este caso, hay un límite de 1000 intervalos de CIDR.

Para permitir una dirección IP o un intervalo de direcciones de un recurso de Azure, como una aplicación web o una aplicación lógica, realice los pasos siguientes.

1. Inicie sesión en Azure Portal.
2. Seleccione el recurso (instancia específica del servicio).
3. Seleccione la hoja Propiedades en Configuración.
4. Busque el campo Dirección IP.
5. Copie este valor o intervalo y escríbalo en la lista de permitidos del firewall del almacén de claves.

Para permitir un servicio completo de Azure a través del firewall de Key Vault, use la lista de direcciones IP de centros de datos documentadas públicamente para Azure que se encuentra aquí. Busque las direcciones IP asociadas con el servicio que desea en la región que quiera y agregue esas direcciones IP al firewall del almacén de claves.

Firewall de Key Vault habilitado (redes virtuales: direcciones IP dinámicas)

Si está intentando permitir un recurso de Azure como una máquina virtual a través de Key Vault, es posible que no pueda usar direcciones IP estáticas y que no desee permitir que todas las direcciones IP de Azure Virtual Machines tengan acceso al almacén de claves.

En este caso, debe crear el recurso en una red virtual y, a continuación, permitir que el tráfico de la red virtual y la subred concretas acceda al almacén de claves.

1. Inicie sesión en Azure Portal.
2. Seleccione el almacén de claves que desee configurar.
3. Seleccione la hoja "Redes".
4. Seleccione "+ Agregar red virtual existente".
5. Seleccione la red virtual y la subred que desee permitir a través del firewall del almacén de claves.

Firewall de Key Vault habilitado (Private Link)

Para comprender cómo configurar una conexión de vínculo privado en el almacén de claves, consulte el documento aquí.

Importante

Una vez que las reglas del firewall están en vigor, los usuarios solo pueden realizar operaciones del plano de datos de Key Vault cuando las solicitudes se originan desde redes virtuales o rangos de direcciones IPv4 permitidos. Esto también se aplica al acceso de Key Vault desde Azure Portal. Aunque los usuarios pueden ir a un almacén de claves desde Azure Portal, es posible que no pueda enumerar las claves, los secretos o los certificados si su equipo cliente no está en la lista de dispositivos permitidos. Esto también afecta al selector de Key Vault usado por otros servicios de Azure. Los usuarios podrían ver una lista de almacenes de claves, pero no enumerar las claves si las reglas del firewall limitan su equipo cliente.

Nota

Tenga en cuenta las siguientes limitaciones de configuración:

• Se permite un máximo de 200 reglas de red virtual y 1000 reglas de IPv4.
• Las reglas de red IP solo se permiten para direcciones IP públicas. No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas IP. Las redes privadas incluyen direcciones que comienzan por 10. , 172.16-31 y 192.168. .
• Solo se admiten direcciones IPV4 en este momento.

Acceso público deshabilitado (solo puntos de conexión privados)

Para mejorar la seguridad de red, puede configurar el almacén para deshabilitar el acceso público. Por tanto, se denegarán todas las configuraciones públicas y solo se permitirán conexiones mediante puntos de conexión privados.

Perímetro de seguridad de red (versión preliminar)

Perímetro de seguridad de red (versión preliminar) permite a las organizaciones definir un límite de aislamiento de red lógico para los recursos de PaaS (por ejemplo, Azure Key Vault, Azure Storage y SQL Database) que se implementan fuera de las redes virtuales de la organización’. Restringe el acceso de red pública a los recursos de PaaS fuera del perímetro, el acceso se puede excluir mediante reglas de acceso explícitas para entrada y salida públicas.

Actualmente, el perímetro de seguridad de red está en versión preliminar pública para un subconjunto de recursos. Consulte Recursos de vínculo privado incorporados y limitaciones del perímetro de seguridad de red. Para obtener más información, consulte Transición a un perímetro de seguridad de red.

Importante

El tráfico del punto de conexión privado se considera altamente seguro y, por lo tanto, no está sujeto a reglas perimetrales de seguridad de red. El resto del tráfico, incluidos los servicios de confianza, estará sujeto a reglas perimetrales de seguridad de red si el almacén de claves está asociado a un perímetro.

Con un perímetro de seguridad de red:

• Todos los recursos dentro del perímetro pueden comunicarse con cualquier otro recurso dentro del perímetro.
• El acceso externo está disponible con los siguientes controles:
  • El acceso de entrada público se puede aprobar mediante atributos de red e identidad del cliente, como direcciones IP de origen, suscripciones.
  • La salida pública se puede aprobar mediante FQDN (nombres de dominio completos) de los destinos externos.
• Los registros de diagnóstico están habilitados para los recursos de PaaS dentro del perímetro para auditoría y cumplimiento.

Restricciones y consideraciones

• Establecer el acceso a la red pública en Deshabilitar todavía permite servicios de confianza. Al cambiar el acceso de red pública a Seguro por perímetro, se prohíben los servicios de confianza incluso si están configurados para permitir servicios de confianza.
• Las reglas de firewall de Azure Key Vault solo se aplican a las operaciones del plano de datos. Las operaciones del plano de control no están sujetas a las restricciones especificadas en las reglas de firewall.
• Para acceder a los datos mediante herramientas como Azure Portal, debe estar en una máquina dentro del límite de confianza que establezca al configurar reglas de seguridad de red.
• Azure Key Vault no tiene ningún concepto de reglas de salida; todavía puede asociar un almacén de claves a un perímetro con reglas de salida, pero el almacén de claves no los usará.

Asociación de un perímetro de seguridad de red con un almacén de claves: Azure PowerShell

Para asociar un perímetro de seguridad de red a un almacén de claves en Azure PowerShell, siga estas instrucciones.

Asociación de un perímetro de seguridad de red con un almacén de claves: CLI de Azure

Para asociar un perímetro de seguridad de red a un almacén de claves en la CLI de Azure, siga estas instrucciones

Modos de acceso en el perímetro de seguridad de red

El perímetro de seguridad de red admite dos modos de acceso diferentes para los recursos asociados:

Modo	Descripción
Modo de aprendizaje	Modo de acceso predeterminado. En modo de aprendizaje, el perímetro de seguridad de red registra todo el tráfico al servicio de búsqueda que se habría denegado si el perímetro estuviera en modo aplicado. Esto permite a los administradores de red comprender los patrones de acceso existentes del servicio de búsqueda antes de implementar la aplicación de reglas de acceso.
Modo aplicado	En modo aplicado, el perímetro de seguridad de red registra y deniega todo el tráfico no permitido explícitamente por las reglas de acceso.

Configuración de red perimetral de seguridad de red y almacén de claves

La configuración publicNetworkAccess determina la asociación del almacén de claves con un perímetro de seguridad de red.

• En modo de aprendizaje, la configuración publicNetworkAccess controla el acceso público al recurso.

• En modo aplicado, las reglas de perímetro de seguridad de red reemplazan la configuración publicNetworkAccess. Por ejemplo, si un servicio de búsqueda con una configuración publicNetworkAccess de enabled está asociado a un perímetro de seguridad de red en modo aplicado, las reglas de acceso de perímetro de seguridad de red siguen controlando el acceso al servicio de búsqueda.

Cambio del modo de acceso en el perímetro de seguridad de red

1. Vaya al recurso de perímetro de seguridad de red en el portal.

2. Seleccione Recursos en el menú izquierdo.

3. Busque el almacén de claves en la tabla.

4. Seleccione los tres puntos situados en el extremo derecho de la fila del servicio de búsqueda. Seleccione Cambiar modo de acceso en el menú emergente.

5. Seleccione el modo de acceso deseado y seleccione Aplicar.

Habilitación del registro del acceso de red

Consulte Registros de diagnóstico del perímetro de seguridad de la red.

Referencias

• Referencia de plantilla de ARM: Referencia de la plantilla de ARM de Azure Key Vault
• Comandos de la CLI de Azure: az keyvault network-rule
• Cmdlets de Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Pasos siguientes

• Puntos de conexión de servicio de red virtual para Key Vault
• Introducción a la seguridad de Azure Key Vault