Condividi tramite

Configurare reti virtuali e firewall di Azure Key Vault

  • Articolo

Questo documento illustra in dettaglio le diverse configurazioni per un firewall di Azure Key Vault. Per seguire le istruzioni dettagliate su come configurare queste impostazioni, vedere Configurare le impostazioni di rete di Azure Key Vault.

Per altre informazioni, vedere Endpoint servizio di rete virtuale per Azure Key Vault.

Impostazioni del firewall

Questa sezione illustra i diversi modi in cui è possibile configurare un firewall di Azure Key Vault.

Firewall Key Vault disabilitato (impostazione predefinita)

Per impostazione predefinita, quando si crea un nuovo insieme di credenziali delle chiavi, il firewall di Azure Key Vault è disabilitato. Tutte le applicazioni e i servizi di Azure possono accedere e inviare richieste all'insieme di credenziali delle chiavi. Questa configurazione non significa che qualsiasi utente sarà in grado di eseguire operazioni nell'insieme di credenziali delle chiavi. L'insieme di credenziali delle chiavi applica comunque restrizioni dell'accesso a segreti, chiavi e certificati archiviati al suo interno richiedendo l'autenticazione di Microsoft Entra e le autorizzazioni dei criteri di accesso. Per capire in maggior dettaglio l'autenticazione dell'insieme di credenziali delle chiavi, vedere Autenticazione in Azure Key Vault. Per altre informazioni, vedere Accedere ad Azure Key Vault protetto da firewall.

Firewall di Key Vault abilitato (solo servizi attendibili)

Quando si abilita il firewall dell'insieme di credenziali delle chiavi, viene visualizzata l'opzione "Consenti ai servizi Microsoft attendibili di ignorare questo firewall". L'elenco dei servizi attendibili non copre ogni singolo servizio di Azure. Ad esempio, Azure DevOps non è presente nell'elenco dei servizi attendibili. Ciò non implica che i servizi non inclusi nell'elenco non siano considerati attendibili o sicuri. L'elenco di servizi attendibili include i servizi per cui Microsoft controlla tutto il codice eseguito al loro interno. Poiché gli utenti possono scrivere codice personalizzato nei servizi di Azure, ad esempio Azure DevOps, Microsoft non offre la possibilità di creare un'approvazione generale per il servizio. Inoltre, il semplice fatto che un servizio sia incluso nell'elenco di servizi attendibili non significa che sia consentito per tutti gli scenari.

Per determinare se un servizio che si sta tentando di usare è presente nell'elenco dei servizi attendibili, vedere Endpoint servizio di rete virtuale per Azure Key Vault. Per una guida pratica, seguire le istruzioni riportate qui per il portale, l'interfaccia della riga di comando di Azure e PowerShell

Firewall di Key Vault abilitato (indirizzi e intervalli IPv4 - IP statici)

Per autorizzare un particolare servizio ad accedere all'insieme di credenziali delle chiavi attraverso il firewall di Key Vault, è possibile aggiungere l'indirizzo IP corrispondente all'elenco di indirizzi consentiti del firewall. Questa configurazione è ottimale per i servizi che usano indirizzi IP statici o intervalli noti. Per questo caso è previsto un limite di 1000 intervalli CIDR.

Per consentire un indirizzo IP o un intervallo di una risorsa di Azure, ad esempio un'app Web o App per la logica, seguire questa procedura.

  1. Accedi al portale di Azure.
  2. Selezionare la risorsa (istanza specifica del servizio).
  3. Fare clic sul pannello Proprietà in Impostazioni.
  4. Cercare il campo Indirizzo IP.
  5. Copiare questo valore o intervallo e immetterlo nell'elenco elementi consentiti del firewall di Key Vault.

Per consentire un intero servizio di Azure attraverso il firewall di Key Vault, usare l'elenco di indirizzi IP di data center documentati pubblicamente per Azure disponibile qui. Trovare gli indirizzi IP associati al servizio desiderato nell'area scelta e aggiungerli al firewall di Key Vault.

Firewall di Key Vault abilitato (reti virtuali - IP dinamici)

Se si prova ad autorizzare una risorsa di Azure, ad esempio una macchina virtuale, nell'insieme di credenziali delle chiavi, potrebbe non essere possibile usare indirizzi IP statici e non è consigliabile consentire a tutti gli indirizzi IP per le macchine virtuali di Azure di accedere all'insieme di credenziali delle chiavi.

In questo caso, è necessario creare la risorsa all'interno di una rete virtuale e quindi consentire l'accesso all'insieme di credenziali delle chiavi al traffico proveniente dalla rete virtuale e dalla subnet specifiche.

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi da configurare.
  3. Selezionare il pannello 'Rete'.
  4. Selezionare '+ Aggiungi rete virtuale esistente'.
  5. Selezionare la rete virtuale e la subnet da autorizzare attraverso il firewall di Key Vault.

Per informazioni su come configurare una connessione di collegamento privato nell'insieme di credenziali delle chiavi, vedere il documento qui.

Importante

Quando le regole del firewall sono operative, gli utenti possono eseguire le operazioni del piano dati Key Vault solo se le loro richieste hanno origine da reti virtuali o intervalli di indirizzi IPv4 consentiti. Questo vale anche per l'accesso a Key Vault dal portale di Azure. Benché gli utenti possano accedere a un insieme di credenziali delle chiavi dal portale di Azure, potrebbero non essere in grado di elencare chiavi, segreti o certificati se il computer client in uso non è presente nell'elenco dei computer consentiti. Ciò influisce anche sul selettore di Key Vault usato da altri servizi di Azure. Se le regole del firewall bloccano i computer client, gli utenti potrebbero essere in grado di visualizzare l'elenco degli insiemi di credenziali delle chiavi ma non di elencare le chiavi.

Nota

Tenere presente le seguenti limitazioni di configurazione:

  • Sono consentite al massimo 200 regole di rete virtuale e 1000 regole IPv4.
  • Le regole di rete IP sono consentite solo per gli indirizzi IP pubblici. Gli intervalli di indirizzi IP riservati per le reti private (come da definizione in RFC 1918) non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10., 172.16-31. e 192.168..
  • Attualmente sono supportati solo gli indirizzi IPv4.

Accesso pubblico disabilitato (solo endpoint privato)

Per migliorare la sicurezza di rete, è possibile configurare l'insieme di credenziali per disabilitare l'accesso pubblico. In questo modo vengono negate tutte le configurazioni pubbliche e sono consentite solo le connessioni tramite endpoint privati.

Perimetro di sicurezza di rete (anteprima)

Il perimetro di sicurezza di rete (anteprima) consente alle organizzazioni di definire un limite di isolamento della rete logica per le risorse PaaS (ad esempio, Azure Key Vault, Archiviazione di Azure e database SQL) distribuite all'esterno delle reti virtuali dell'organizzazione. Limita l'accesso alla rete pubblica alle risorse PaaS all'esterno del perimetro, l'accesso può essere esente usando regole di accesso esplicite per le risorse in ingresso e in uscita pubbliche.

Attualmente, il perimetro di sicurezza di rete è disponibile in anteprima pubblica per un subset di risorse. Vedere Risorse di collegamento privato e limitazioni del perimetro di sicurezza di rete di cui è stato eseguito l'onboarding. Per altre informazioni, vedere Transizione a un perimetro di sicurezza di rete.

Importante

Il traffico degli endpoint privati è considerato altamente sicuro e pertanto non è soggetto alle regole del perimetro di sicurezza di rete. Tutto l'altro traffico, inclusi i servizi attendibili, sarà soggetto alle regole del perimetro di sicurezza di rete se l'insieme di credenziali delle chiavi è associato a un perimetro.

Con un perimetro di sicurezza di rete:

  • Tutte le risorse all'interno del perimetro possono comunicare con qualsiasi altra risorsa all'interno del perimetro.
  • L'accesso esterno è disponibile con i controlli seguenti:
    • L'accesso in ingresso pubblico può essere approvato usando attributi di rete e identità del client, ad esempio indirizzi IP di origine, sottoscrizioni.
    • Le destinazioni esterne possono essere approvate tramite FQDN (nomi di dominio completi) delle destinazioni esterne.
  • I log di diagnostica sono abilitati per le risorse PaaS all'interno del perimetro per Controllo e conformità.

Restrizioni e considerazioni

  • L'impostazione dell'accesso alla rete pubblica su Disabilita consente comunque servizi attendibili. Se si passa all'accesso alla rete pubblica su Protetto per perimetro, i servizi attendibili vengono proibiti anche se configurati per consentire servizi attendibili.
  • Le regole del firewall di Azure Key Vault si applicano solo alle operazioni del piano dati. Le operazioni del piano di controllo non sono soggette alle restrizioni specificate nelle regole del firewall.
  • Per accedere ai dati usando strumenti come il portale di Azure, è necessario trovarsi in un computer entro il limite attendibile stabilito durante la configurazione delle regole di sicurezza di rete.
  • Azure Key Vault non prevede regole in uscita, è comunque possibile associare un insieme di credenziali delle chiavi a un perimetro con regole in uscita, ma l'insieme di credenziali delle chiavi non le userà.

Associare un perimetro di sicurezza di rete a un insieme di credenziali delle chiavi - Azure PowerShell

Per associare un perimetro di sicurezza di rete a un insieme di credenziali delle chiavi in Azure PowerShell, seguire queste istruzioni.

Associare un perimetro di sicurezza di rete a un insieme di credenziali delle chiavi - Interfaccia della riga di comando di Azure

Per associare un perimetro di sicurezza di rete a un insieme di credenziali delle chiavi nell'interfaccia della riga di comando di Azure, seguire queste istruzioni

Modalità di accesso perimetro di sicurezza di rete

Il perimetro di sicurezza di rete supporta due diverse modalità di accesso per le risorse associate:

Modalità Descrizione
Modalità di apprendimento Modalità di accesso predefinita. In modalità di apprendimento , il perimetro di sicurezza di rete registra tutto il traffico verso il servizio di ricerca che sarebbe stato negato se il perimetro fosse in modalità applicata. Ciò consente agli amministratori di rete di comprendere i modelli di accesso esistenti del servizio di ricerca prima di implementare l'applicazione delle regole di accesso.
Modalità applicata In modalità applicata, i log perimetrali di sicurezza di rete e negano tutto il traffico non consentito in modo esplicito dalle regole di accesso.

Impostazioni di rete per il perimetro di sicurezza di rete e l'insieme di credenziali delle chiavi

L'impostazione publicNetworkAccess determina l'associazione dell'insieme di credenziali delle chiavi a un perimetro di sicurezza di rete.

  • In modalità Learning l'impostazione controlla l'accesso publicNetworkAccess pubblico alla risorsa.

  • In modalità applicata, l'impostazione publicNetworkAccess viene sostituita dalle regole del perimetro di sicurezza di rete. Ad esempio, se un servizio di ricerca con un'impostazione publicNetworkAccess di è associato a un perimetro di sicurezza di enabled rete in modalità applicata, l'accesso al servizio di ricerca è ancora controllato dalle regole di accesso perimetrale della sicurezza di rete.

Modificare la modalità di accesso perimetrale della sicurezza di rete

  1. Passare alla risorsa perimetrale di sicurezza di rete nel portale.

  2. Selezionare Risorse nel menu a sinistra.

  3. Trovare l'insieme di credenziali delle chiavi nella tabella.

  4. Selezionare i tre puntini nell'estrema destra della riga del servizio di ricerca. Selezionare Cambia modalità di accesso nella finestra popup.

  5. Selezionare la modalità di accesso desiderata e selezionare Applica.

Abilitare l'accesso alla rete di registrazione

Vedere Log di diagnostica per il perimetro di sicurezza di rete.

Riferimenti

Passaggi successivi