Configurer les pare-feux et réseaux virtuels d’Azure Key Vault

Ce document présente en détail les différentes configurations d'un pare-feu Azure Key Vault. Pour suivre les instructions pas à pas sur la configuration de ces paramètres, consultez Configurer les paramètres réseau d’Azure Key Vault.

Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel pour Azure Key Vault.

Paramètres du pare-feu

Cette section présente les différentes configurations possibles d’un pare-feu Azure Key Vault.

Pare-feu Key Vault désactivé (configuration par défaut)

Par défaut, quand vous créez un coffre de clés, le pare-feu Azure Key Vault est désactivé. Toutes les applications et tous les services Azure peuvent accéder au coffre de clés et lui envoyer des requêtes. Cette configuration n’implique pas que tous les utilisateurs pourront effectuer des opérations sur le coffre de clés. Le coffre de clés restreint toujours l’accès aux secrets, aux clés et aux certificats qu’il stocke en exigeant des autorisations de stratégie d’accès et une authentification Microsoft Entra. Pour comprendre l’authentification du coffre de clés plus en détail, consultez Authentification dans Azure Key Vault. Pour plus d’informations, consultez Accès à Azure Key Vault derrière un pare-feu.

Pare-feu Key Vault activé (services approuvés uniquement)

Quand vous activez le pare-feu Key Vault, vous pouvez choisir d’autoriser les services Microsoft approuvés à contourner ce pare-feu. » La liste des services approuvés n’inclut pas tous les services Azure. Par exemple, Azure DevOps n’y figure pas. Cela ne signifie pas que les services n’apparaissant pas dans la liste des services approuvés ne sont pas sécurisés ou approuvés. La liste des services approuvés englobe les services dans lesquels tout le code exécuté est contrôlé par Microsoft. Du fait que les utilisateurs peuvent écrire du code personnalisé dans des services Azure comme Azure DevOps, Microsoft n’offre pas l’option de créer une approbation permanente pour le service. En outre, la présence d’un service dans la liste des services approuvés ne signifie pas pour autant que le service est autorisé dans tous les scénarios.

Pour déterminer si un service que vous voulez utiliser fait partie de la liste des services approuvés, consultez Points de terminaison privés de réseau virtuel pour Azure Key Vault. Pour obtenir un guide pratique, suivez les instructions ici concernant le Portail, Azure CLI et PowerShell

Pare-feu Key Vault activé (adresses et plages IPv4 - adresses IP statiques)

Si vous souhaitez autoriser un service particulier à accéder au coffre de clés par le biais du pare-feu Key Vault, vous pouvez ajouter son adresse IP à la liste autorisée du pare-feu Key Vault. Cette configuration est idéale pour les services qui utilisent des adresses IP statiques ou des plages connues. Il existe une limite de 1000 de plages CIDR pour ce cas.

Pour autoriser une adresse ou plage IP d’une ressource Azure telle qu’une application web ou une application logique, effectuez les étapes suivantes.

1. Connectez-vous au portail Azure.
2. Sélectionnez la ressource (instance spécifique du service).
3. Sélectionnez le panneau Propriétés sous Paramètres.
4. Recherchez le champ « Adresse IP ».
5. Copiez cette valeur ou plage et entrez-la dans la liste d’autorisation du pare-feu Key Vault.

Pour autoriser un service Azure entier, par le biais du pare-feu Key Vault, utilisez la liste des adresses IP du centre de données documentées publiquement pour Azure, accessible ici. Recherchez les adresses IP associées au service dont vous avez besoin dans la région de votre choix et ajoutez ces adresses IP au pare-feu Key Vault.

Pare-feu Key Vault activé (réseaux virtuels - adresses IP dynamiques)

Si vous essayez d’autoriser une ressource Azure telle qu’une machine virtuelle par le biais du coffre de clés, il est possible que vous ne puissiez pas utiliser des adresses IP statiques et que vous ne souhaitiez pas autoriser toutes les adresses IP de machines virtuelles Azure à accéder à votre coffre de clés.

Dans ce cas, vous devez créer la ressource dans un réseau virtuel, puis autoriser le trafic provenant du réseau virtuel et du sous-réseau spécifiques à accéder à votre coffre de clés.

1. Connectez-vous au portail Azure.
2. Sélectionnez le coffre de clés à configurer.
3. Sélectionnez le panneau « Réseau ».
4. Sélectionnez « + Ajouter un réseau virtuel existant ».
5. Sélectionnez le réseau virtuel et le sous-réseau que vous souhaitez autoriser via le pare-feu Key Vault.

Pare-feu Key Vault activé (Private Link)

Pour savoir comment configurer un lien privé sur votre coffre de clés, consultez le document ici.

Important

Une fois que les règles de pare-feu sont effectives, les utilisateurs peuvent effectuer des opérations du plan de données de Key Vault seulement quand leurs demandes proviennent de réseaux virtuels ou de plages d’adresses IPv4 autorisés. Ceci s’applique également à l’accès au coffre de clés à partir du portail Azure. Si des utilisateurs peuvent accéder à un coffre de clés à partir du portail Azure, il ne peuvent pas lister les clés/secrets/certificats si leur ordinateur client ne figure pas dans la liste autorisée. Cela affecte également l’accès au sélecteur Key Vault utilisé par d’autres services Azure. Il est possible que des utilisateurs puissent voir une liste des coffres de clés, mais pas répertorier des clés, si des règles de pare-feu bloquent l’ordinateur de leur client.

Notes

Notez les limitations de configuration suivantes :

• Un maximum de 200 règles de réseau virtuel et de 1 000 règles IPv4 sont autorisées.
• Les règles de réseau IP sont autorisées uniquement pour les adresses IP publiques. Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10. , 172.16-31. et 192.168. .
• Seules les adresses IPv4 sont prises en charge pour le moment.

Accès public désactivé (point de terminaison privé uniquement)

Pour renforcer la sécurité réseau, vous pouvez configurer votre coffre de manière à désactiver l’accès public. Cette opération refuse toutes les configurations publiques et autorise uniquement les connexions par le biais de points de terminaison privés.

Périmètre de sécurité réseau (préversion)

Le périmètre de sécurité réseau (préversion) permet aux organisations de définir une limite logique d'isolation du réseau pour les ressources PaaS (par exemple, Azure Key Vault, Stockage Azure et SQL Database) qui sont déployées en dehors des réseaux virtuels de votre organisation. Il limite l’accès du réseau public aux ressources PaaS en dehors du périmètre ; l’accès peut être exempté en utilisant des règles d’accès explicites pour le trafic entrant et sortant public.

Actuellement, le périmètre de sécurité du réseau est en avant-première publique pour un sous-ensemble de ressources. Consultez Ressources de liaison privée intégrées et limitations du périmètre de sécurité réseau. Pour plus d'informations, voir Transition vers un périmètre de sécurité réseau.

Important

Le trafic de point de terminaison privé est considéré comme hautement sécurisé et n’est donc pas soumis aux règles de périmètre de sécurité réseau. Tous les autres trafics, y compris les services de confiance, seront soumis aux règles du périmètre de sécurité du réseau si le coffre de clés est associé à un périmètre.

Avec un périmètre de sécurité réseau :

• Toutes les ressources à l'intérieur du périmètre peuvent communiquer avec n'importe quelle autre ressource à l'intérieur du périmètre.
• L'accès externe est disponible avec les contrôles suivants :
  • L’accès entrant public peut être approuvé à l’aide des attributs Réseau et Identité du client, tels que les adresses IP sources et les abonnements.
  • Le public sortant peut être approuvé à l’aide des noms de domaine complets des destinations externes.
• Les journaux de diagnostic sont activés pour les ressources PaaS à l'intérieur du périmètre pour l'audit et la conformité.

Restrictions et considérations

• La désactivation de l'accès au réseau public autorise toujours les services de confiance. Passer l'accès au réseau public en mode sécurisé par le périmètre, puis interdire les services de confiance même s'ils sont configurés pour autoriser les services de confiance.
• Les règles de pare-feu d’Azure Key Vault s’appliquent uniquement aux opérations de plan de données. Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.
• Pour accéder aux données à l’aide d’outils tels que le Portail Azure, vous devez être sur un ordinateur dans la limite approuvée que vous établissez lors de la configuration des règles de sécurité réseau.
• Azure Key Vault n’a pas de concept de règles de trafic sortant, vous pouvez toujours associer un coffre de clés à un périmètre à des règles de trafic sortant, mais le coffre de clés ne les utilisera pas.

Associer un périmètre de sécurité réseau à un coffre de clés – Azure PowerShell

Pour associer un périmètre de sécurité réseau à un coffre de clés dans Azure PowerShell, suivez ces instructions.

Associer un périmètre de sécurité réseau à un coffre de clés – Azure CLI

Pour associer un périmètre de sécurité réseau à un coffre de clés dans l'interface de commande Azure, suivez les instructions suivantes

Modes d’accès au périmètre de sécurité réseau

Le périmètre de sécurité réseau prend en charge deux modes d’accès différents pour les ressources associées :

Mode	Description
Mode apprentissage	Le mode d’accès par défaut. En mode Apprentissage, le périmètre de sécurité réseau journalise tout le trafic vers le service de recherche qui aurait été refusé si le périmètre était en mode appliqué. Cela permet aux administrateurs réseau de comprendre les modèles d’accès existants du service de recherche avant d’exécuter l’application des règles d’accès.
Mode Appliqué	En mode Appliqué, le périmètre de sécurité réseau journalise et refuse tout le trafic qui n’est pas explicitement autorisé par les règles d’accès.

Périmètre de sécurité du réseau et paramètres de mise en réseau du coffre de clés

Ce paramètre publicNetworkAccess détermine l'association du coffre-fort à un périmètre de sécurité du réseau.

• En mode Apprentissage, le paramètre publicNetworkAccess contrôle l’accès public à la ressource.

• En mode Appliqué, le paramètre publicNetworkAccess est remplacé par les règles du périmètre de sécurité réseau. Par exemple, si un service de recherche avec un paramètre publicNetworkAccess de enabled est associé à un périmètre de sécurité réseau en mode Appliqué, l’accès au service de recherche est toujours contrôlé par les règles d’accès au périmètre de sécurité réseau.

Modification du mode d’accès au périmètre de sécurité réseau

1. Accédez à votre ressource de périmètre de sécurité réseau sur le portail.

2. Sélectionnez Ressources dans le menu de gauche.

3. Retrouvez votre clé de voûte dans le tableau.

4. Sélectionnez les trois points à droite de la ligne dédiée au service de recherche. Sélectionnez Modifier le mode d'accès dans la fenêtre contextuelle.

5. Sélectionnez le mode d’accès souhaité, puis sélectionnez Appliquer.

Activation de la journalisation de l’accès réseau

Voir Journaux de diagnostic pour le périmètre de sécurité réseau.

Références

• Informations de référence sur les modèles ARM : Informations de référence sur les modèles ARM pour Azure Key Vault
• Commandes Azure CLI : az keyvault network-rule
• Applets de commande Azure PowerShell : Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Étapes suivantes

• Points de terminaison de service de réseau virtuel pour Azure Key Vault
• Présentation de la sécurité Azure Key Vault