Azure Key Vault-firewalls en virtuele netwerken configureren

Dit document behandelt de verschillende configuraties voor een Azure Key Vault-firewall in detail. Zie Azure Key Vault-netwerkinstellingen configureren als u de stapsgewijze instructies wilt volgen voor het configureren van deze instellingen.

Zie Service-eindpunten voor een virtueel netwerk voor Azure Key Vault voor meer informatie.

Firewallinstellingen

In deze sectie worden de verschillende manieren beschreven waarop een Azure Key Vault-firewall kan worden geconfigureerd.

Key Vault-firewall uitgeschakeld (standaard)

Wanneer u een nieuwe sleutel kluis maakt, wordt de Azure Key Vault-firewall standaard uitgeschakeld. Alle toepassingen en Azure-services hebben toegang tot de sleutelkluis en verzenden aanvragen naar de sleutelkluis. Deze configuratie betekent niet dat een gebruiker bewerkingen kan uitvoeren in uw sleutelkluis. De sleutelkluis beperkt nog steeds de toegang tot geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis door microsoft Entra-verificatie- en toegangsbeleidsmachtigingen te vereisen. Zie Verificatie in Azure Key Vault voor meer informatie over key vault-verificatie. Zie Toegang tot Azure Key Vault achter een firewall voor meer informatie.

Key Vault-firewall ingeschakeld (alleen vertrouwde services)

Wanneer u de Key Vault-firewall inschakelt, krijgt u de optie Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen. De lijst met vertrouwde services bevat niet elke Azure-service. Azure DevOps staat bijvoorbeeld niet in de lijst met vertrouwde services. Dit impliceert niet dat services die niet worden weergegeven in de lijst met vertrouwde services, niet worden vertrouwd of onveilig zijn. De lijst met vertrouwde services bevat services waarbij Microsoft alle code beheert die op de service wordt uitgevoerd. Omdat gebruikers aangepaste code kunnen schrijven in Azure-services zoals Azure DevOps, biedt Microsoft geen optie om een algemene goedkeuring voor de service te maken. Bovendien betekent het feit dat een service op de lijst met vertrouwde services staat, niet dat deze in alle scenario's is toegestaan.

Als u wilt bepalen of een service die u probeert te gebruiken zich in de lijst met vertrouwde services bevindt, raadpleegt u Service-eindpunten voor virtuele netwerken voor Azure Key Vault. Volg de instructies hier voor Portal, Azure CLI en PowerShell voor een instructiegids

Key Vault Firewall ingeschakeld (IPv4-adressen en -bereiken - vaste IP-adressen)

Als u een bepaalde service wilt autoriseren voor toegang tot de sleutelkluis via de Key Vault-firewall, kunt u het IP-adres toevoegen aan de acceptatielijst van de sleutelkluisfirewall. Deze configuratie is het meest geschikt voor services die gebruikmaken van vaste IP-adressen of bekende bereiken. Er geldt een limiet van 1000 CIDR-bereiken voor dit geval.

Als u een IP-adres of bereik van een Azure-resource, zoals een web-app of logische app, wilt toestaan, voert u de volgende stappen uit.

1. Meld u aan bij het Azure-portaal.
2. Selecteer de resource (specifiek exemplaar van de service).
3. Selecteer de blade Eigenschappen onder Instellingen.
4. Zoek het veld IP-adres .
5. Kopieer deze waarde of het bereik en voer deze in de acceptatielijst voor de sleutelkluisfirewall in.

Als u een hele Azure-service wilt doorlaten door de Key Vault-firewall, gebruikt u deze lijst met openbaar gedocumenteerde IP-adressen voor Azure-datacenters. Zoek de IP-adressen die zijn gekoppeld aan de service die u wilt gebruiken in de gewenste regio en voeg deze IP-adressen toe aan de firewall van de sleutelkluis.

Key Vault Firewall ingeschakeld (virtuele netwerken - dynamische IP-adressen)

Als u een Azure-resource zoals een virtuele machine wilt toelaten via de sleutelkluis, kunt u mogelijk geen vaste IP-adressen gebruiken, en u wilt mogelijk niet alle IP-adressen voor Azure Virtual Machines toegang geven tot uw sleutelkluis.

In dit geval moet u de resource in een virtueel netwerk maken en vervolgens verkeer van het specifieke virtuele netwerk en subnet toestaan om toegang te krijgen tot uw sleutelkluis.

1. Meld u aan bij het Azure-portaal.
2. Selecteer de sleutelkluis die u wilt configureren.
3. Selecteer de blade Netwerken.
4. Selecteer + Bestaand virtueel netwerk toevoegen.
5. Selecteer het virtuele netwerk en subnet dat u wilt toelaten door de firewall van de sleutelkluis.

Key Vault Firewall ingeschakeld (Private Link)

Zie het document hier voor meer informatie over het configureren van een private link-verbinding in uw sleutelkluis.

Belangrijk

Als de firewallregels van kracht zijn, kunnen gebruikers alleen Key Vault-gegevenslaagbewerkingen uitvoeren wanneer hun aanvragen afkomstig zijn van toegestane virtuele netwerken of IPv4-adresbereiken. Dit is tevens van toepassing voor toegang tot Key Vault vanuit Azure Portal. Hoewel gebruikers kunnen bladeren naar een sleutelkluis van Azure Portal, kunnen ze mogelijk geen sleutels, geheimen of certificaten weergeven als hun clientcomputer niet in de lijst met toegestane clients staat. Dit is ook van invloed op de Key Vault-kiezer die wordt gebruikt door andere Azure-services. Gebruikers kunnen mogelijk een lijst met sleutelkluizen zien, maar geen sleutels weergeven als firewallregels hun clientcomputer verhinderen.

Notitie

Houd rekening met de volgende configuratielimieten:

• Maximaal 200 regels voor virtuele netwerken en 1000 IPv4-regels zijn toegestaan.
• IP-netwerkregels zijn alleen toegestaan voor openbare IP-adressen. IP-adresbereiken die zijn gereserveerd voor privénetwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels. Privénetwerken omvatten adressen die beginnen met 10., 172.16-31, en 192.168..
• Momenteel worden alleen IPv4-adressen ondersteund.

Openbare toegang uitgeschakeld (alleen privé-eindpunt)

Als u de netwerkbeveiliging wilt verbeteren, kunt u uw kluis zo configureren dat openbare toegang wordt uitgeschakeld. Hiermee worden alle openbare configuraties geweigerd en worden alleen verbindingen via privé-eindpunten toegestaan.

Netwerkbeveiligingsperimeter (preview)

Met netwerkbeveiligingsperimeter (preview) kunnen organisaties een logische netwerkisolatiegrens definiëren voor PaaS-resources (bijvoorbeeld Azure Key Vault, Azure Storage en SQL Database) die buiten de virtuele netwerken van uw organisatie worden geïmplementeerd. Hiermee wordt de toegang tot openbare netwerken beperkt tot PaaS-resources buiten de perimeter, kan de toegang worden uitgesloten met behulp van expliciete toegangsregels voor openbaar inkomend en uitgaand verkeer.

Momenteel is netwerkbeveiligingsperimeter beschikbaar als openbare preview voor een subset van resources. Zie Onboarded private link resources and Limitations of network security perimeter. Zie Overgang naar een netwerkbeveiligingsperimeter voor meer informatie.

Belangrijk

Privé-eindpuntverkeer wordt beschouwd als zeer veilig en is daarom niet onderworpen aan regels voor netwerkbeveiligingsperimeter. Al het andere verkeer, inclusief vertrouwde services, is onderhevig aan regels voor netwerkbeveiligingsperimeter als de sleutelkluis is gekoppeld aan een perimeter.

Met een netwerkbeveiligingsperimeter:

• Alle resources binnen de perimeter kunnen communiceren met elke andere resource binnen de perimeter.
• Externe toegang is beschikbaar met de volgende besturingselementen:
  • Openbare binnenkomende toegang kan worden goedgekeurd met behulp van netwerk- en identiteitskenmerken van de client, zoals bron-IP-adressen, abonnementen.
  • Openbaar uitgaand verkeer kan worden goedgekeurd met FQDN's (Fully Qualified Domain Names) van de externe bestemmingen.
• Diagnostische logboeken zijn ingeschakeld voor PaaS-resources binnen de perimeter voor controle en naleving.

Beperkingen en overwegingen

• Als u openbare netwerktoegang instelt op Uitschakelen, zijn vertrouwde services nog steeds toegestaan. Als u van openbare netwerktoegang overschakelt naar Beveiligd per perimeter, worden vertrouwde services verboden, zelfs als deze zijn geconfigureerd om vertrouwde services toe te staan.
• Firewallregels van Azure Key Vault zijn alleen van toepassing op bewerkingen in het gegevensvlak . Besturingsvlakbewerkingen zijn niet onderhevig aan de beperkingen die zijn opgegeven in firewallregels.
• Als u toegang wilt krijgen tot gegevens met behulp van hulpprogramma's zoals Azure Portal, moet u zich op een computer bevinden binnen de vertrouwde grens die u tot stand brengt bij het configureren van netwerkbeveiligingsregels.
• Azure Key Vault heeft geen concept van uitgaande regels. U kunt een sleutelkluis nog steeds koppelen aan een perimeter met uitgaande regels, maar de sleutelkluis gebruikt deze niet.

Een netwerkbeveiligingsperimeter koppelen aan een sleutelkluis - Azure PowerShell

Als u een netwerkbeveiligingsperimeter wilt koppelen aan een sleutelkluis in Azure PowerShell, volgt u deze instructies.

Een netwerkbeveiligingsperimeter koppelen aan een sleutelkluis - Azure CLI

Als u een netwerkbeveiligingsperimeter wilt koppelen aan een sleutelkluis in de Azure CLI, volgt u deze instructies

Perimetertoegangsmodi voor netwerkbeveiliging

Netwerkbeveiligingsperimeter ondersteunt twee verschillende toegangsmodi voor gekoppelde resources:

Wijze	Beschrijving
Leermodus	De standaardtoegangsmodus. In de leermodus registreert de netwerkbeveiligingsperimeter al het verkeer naar de zoekservice die zou zijn geweigerd als de perimeter zich in de afgedwongen modus bevond. Hierdoor kunnen netwerkbeheerders inzicht krijgen in de bestaande toegangspatronen van de zoekservice voordat ze toegangsregels afdwingen.
Afgedwongen modus	In de modus Afgedwongen worden netwerkbeveiligingsperimeterlogboeken en wordt al het verkeer geweigerd dat niet expliciet is toegestaan door toegangsregels.

Netwerkbeveiligingsperimeter- en sleutelkluisnetwerkinstellingen

De publicNetworkAccess instelling bepaalt de koppeling van de sleutelkluis met een netwerkbeveiligingsperimeter.

• In de leermodus beheert de publicNetworkAccess instelling de openbare toegang tot de resource.

• In de afgedwongen modus wordt de publicNetworkAccess instelling overschreven door de perimeterregels voor netwerkbeveiliging. Als bijvoorbeeld een zoekservice met een publicNetworkAccess instelling enabled is gekoppeld aan een netwerkbeveiligingsperimeter in de modus Afgedwongen, wordt de toegang tot de zoekservice nog steeds beheerd door de toegangsregels voor perimetertoegang tot netwerkbeveiliging.

De perimetertoegangsmodus voor netwerkbeveiliging wijzigen

1. Navigeer naar de perimeterresource voor netwerkbeveiliging in de portal.

2. Selecteer Resources in het linkermenu.

3. Zoek uw sleutelkluis in de tabel.

4. Selecteer de drie puntjes in de rechterbovenhoek van de rij van de zoekservice. Selecteer De toegangsmodus wijzigen in het pop-upvenster .

5. Selecteer de gewenste toegangsmodus en selecteer Toepassen.

Netwerktoegang voor logboekregistratie inschakelen

Zie diagnostische logboeken voor netwerkbeveiligingsperimeter.

Verwijzingen

• Arm-sjabloonverwijzing: Naslaginformatie over ARM-sjablonen in Azure Key Vault
• Azure CLI-opdrachten: az keyvault network-rule
• Azure PowerShell-cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Volgende stappen

• Service-eindpunten voor virtuele netwerken voor Key Vault
• Overzicht van Azure Key Vault-beveiliging