Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault

W tym dokumencie szczegółowo opisano różne konfiguracje zapory usługi Azure Key Vault. Aby wykonać instrukcje krok po kroku dotyczące konfigurowania tych ustawień, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.

Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault.

Ustawienia zapory

W tej sekcji opisano różne sposoby konfigurowania zapory usługi Azure Key Vault.

Zapora usługi Key Vault jest wyłączona (ustawienie domyślne)

Domyślnie podczas tworzenia nowego magazynu kluczy zapora usługi Azure Key Vault jest wyłączona. Wszystkie aplikacje i usługi platformy Azure mogą uzyskiwać dostęp do magazynu kluczy i wysyłać żądania do magazynu kluczy. Ta konfiguracja nie oznacza, że żaden użytkownik będzie mógł wykonywać operacje w magazynie kluczy. Magazyn kluczy nadal ogranicza dostęp do wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy, wymagając uprawnień uwierzytelniania i zasad dostępu firmy Microsoft. Aby lepiej zrozumieć uwierzytelnianie magazynu kluczy, zobacz Uwierzytelnianie w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą.

Zapora usługi Key Vault jest włączona (tylko zaufane usługi)

Po włączeniu zapory usługi Key Vault otrzymujesz opcję "Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory". Lista zaufanych usług nie obejmuje każdej pojedynczej usługi platformy Azure. Na przykład usługa Azure DevOps nie znajduje się na liście zaufanych usług. Nie oznacza to, że usługi, które nie są wyświetlane na liście zaufanych usług, nie są zaufane lub są niezabezpieczone. Lista zaufanych usług obejmuje usługi, w których firma Microsoft kontroluje cały kod uruchamiany w usłudze. Ponieważ użytkownicy mogą pisać kod niestandardowy w usługach platformy Azure, takich jak Azure DevOps, firma Microsoft nie udostępnia opcji tworzenia ogólnego zatwierdzenia dla usługi. Ponadto tylko dlatego, że usługa jest wyświetlana na liście zaufanych usług, nie oznacza, że jest dozwolona dla wszystkich scenariuszy.

Aby określić, czy usługa, której próbujesz użyć, znajduje się na liście zaufanych usług, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault. Aby uzyskać instrukcje, postępuj zgodnie z instrukcjami w witrynie Portal, interfejsie wiersza polecenia platformy Azure i programie PowerShell

Włączono zaporę usługi Key Vault (adresy IPv4 i zakresy — statyczne adresy IP)

Jeśli chcesz autoryzować określoną usługę do uzyskiwania dostępu do magazynu kluczy za pośrednictwem zapory usługi Key Vault, możesz dodać jej adres IP do listy dozwolonych zapory magazynu kluczy. Ta konfiguracja jest najlepsza w przypadku usług korzystających ze statycznych adresów IP lub dobrze znanych zakresów. W tym przypadku istnieje limit 1000 zakresów CIDR.

Aby zezwolić na użycie adresu IP lub zakresu zasobu platformy Azure, takiego jak aplikacja internetowa lub aplikacja logiki, wykonaj następujące kroki.

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz zasób (określone wystąpienie usługi).
3. Wybierz blok Właściwości w obszarze Ustawienia.
4. Wyszukaj pole Adres IP.
5. Skopiuj tę wartość lub zakres i wprowadź ją na liście dozwolonych zapory magazynu kluczy.

Aby zezwolić na całą usługę platformy Azure za pośrednictwem zapory usługi Key Vault, użyj listy publicznie udokumentowanych adresów IP centrum danych dla platformy Azure tutaj. Znajdź adresy IP skojarzone z usługą, którą chcesz znaleźć w żądanym regionie, i dodaj te adresy IP do zapory magazynu kluczy.

Zapora usługi Key Vault jest włączona (sieci wirtualne — dynamiczne adresy IP)

Jeśli próbujesz zezwolić na zasób platformy Azure, taki jak maszyna wirtualna za pośrednictwem magazynu kluczy, możesz nie być w stanie użyć statycznych adresów IP i nie chcesz zezwalać na dostęp do magazynu kluczy wszystkim adresom IP dla usługi Azure Virtual Machines.

W takim przypadku należy utworzyć zasób w sieci wirtualnej, a następnie zezwolić na ruch z określonej sieci wirtualnej i podsieci w celu uzyskania dostępu do magazynu kluczy.

1. Zaloguj się w witrynie Azure Portal.
2. Wybierz magazyn kluczy, który chcesz skonfigurować.
3. Wybierz blok "Sieć".
4. Wybierz pozycję "+ Dodaj istniejącą sieć wirtualną".
5. Wybierz sieć wirtualną i podsieć, którą chcesz zezwolić za pośrednictwem zapory magazynu kluczy.

Zapora usługi Key Vault jest włączona (usługa Private Link)

Aby dowiedzieć się, jak skonfigurować połączenie łącza prywatnego w magazynie kluczy, zobacz dokument tutaj.

Ważne

Po wprowadzeniu reguł zapory użytkownicy mogą wykonywać operacje płaszczyzny danych usługi Key Vault tylko wtedy, gdy ich żądania pochodzą z dozwolonych sieci wirtualnych lub zakresów adresów IPv4. Dotyczy to również uzyskiwania dostępu do usługi Key Vault z witryny Azure Portal. Mimo że użytkownicy mogą przejść do magazynu kluczy z witryny Azure Portal, mogą nie być w stanie wyświetlić listy kluczy, wpisów tajnych lub certyfikatów, jeśli ich maszyna kliencka nie znajduje się na liście dozwolonych. Ma to również wpływ na selektor usługi Key Vault używany przez inne usługi platformy Azure. Użytkownicy mogą wyświetlać listę magazynów kluczy, ale nie wyświetlać listy kluczy, jeśli reguły zapory uniemożliwiają maszynę kliencką.

Uwaga

Należy pamiętać o następujących ograniczeniach konfiguracji:

• Dozwolone są maksymalnie 200 reguł sieci wirtualnej i 1000 reguł IPv4.
• Reguły sieci IP są dozwolone tylko dla publicznych adresów IP. Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10., 172.16-31 i 192.168..
• Obecnie obsługiwane są tylko adresy IPv4.

Dostęp publiczny jest wyłączony (tylko prywatny punkt końcowy)

Aby zwiększyć bezpieczeństwo sieci, możesz skonfigurować magazyn tak, aby wyłączył dostęp publiczny. Spowoduje to odmowę wszystkich konfiguracji publicznych i zezwala na połączenia tylko za pośrednictwem prywatnych punktów końcowych.

Obwód zabezpieczeń sieci (wersja zapoznawcza)

Obwód zabezpieczeń sieci (wersja zapoznawcza) umożliwia organizacjom zdefiniowanie granicy izolacji sieci logicznej dla zasobów PaaS (na przykład usługi Azure Key Vault, usługi Azure Storage i usługi SQL Database), które są wdrażane poza sieciami wirtualnymi organizacji. Ogranicza ona dostęp do sieci publicznej do zasobów PaaS poza obwodem. Dostęp można wykluczyć przy użyciu jawnych reguł dostępu dla publicznego ruchu przychodzącego i wychodzącego.

Obecnie obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej dla podzestawu zasobów. Zobacz Dołączane zasoby łącza prywatnego i ograniczenia obwodu zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci.

Ważne

Ruch prywatnego punktu końcowego jest uważany za wysoce bezpieczny i dlatego nie podlega regułom obwodowym zabezpieczeń sieci. Cały inny ruch, w tym zaufane usługi, będzie podlegać regułom obwodowym zabezpieczeń sieci, jeśli magazyn kluczy jest skojarzony z obwodem.

Z obwodem zabezpieczeń sieci:

• Wszystkie zasoby wewnątrz obwodu mogą komunikować się z dowolnym innym zasobem w obrębie obwodu.
• Dostęp zewnętrzny jest dostępny z następującymi mechanizmami kontroli:
  • Publiczny dostęp przychodzący można zatwierdzić przy użyciu atrybutów sieci i tożsamości klienta, takich jak źródłowe adresy IP, subskrypcje.
  • Publiczny ruch wychodzący można zatwierdzić przy użyciu nazw FQDN (w pełni kwalifikowanych nazw domen) zewnętrznych miejsc docelowych.
• Dzienniki diagnostyczne są włączone dla zasobów PaaS w obrębie obwodu dla inspekcji i zgodności.

Ograniczenia i zagadnienia

• Ustawienie opcji Dostęp do sieci publicznej na wartość Wyłącz nadal zezwala na zaufane usługi. Przełączanie dostępu do sieci publicznej na bezpieczny według obwodu, a następnie zabrania zaufanych usług nawet w przypadku skonfigurowania w celu zezwalania na zaufane usługi.
• Reguły zapory usługi Azure Key Vault dotyczą tylko operacji płaszczyzny danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
• Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
• Usługa Azure Key Vault nie ma pojęcia reguł ruchu wychodzącego. Nadal można skojarzyć magazyn kluczy z obwodem z regułami ruchu wychodzącego, ale magazyn kluczy nie będzie ich używać.

Kojarzenie obwodu zabezpieczeń sieci z magazynem kluczy — Azure PowerShell

Aby skojarzyć obwód zabezpieczeń sieci z magazynem kluczy w programie Azure PowerShell, postępuj zgodnie z tymi instrukcjami.

Kojarzenie obwodu zabezpieczeń sieci z magazynem kluczy — interfejs wiersza polecenia platformy Azure

Aby skojarzyć obwód zabezpieczeń sieci z magazynem kluczy w interfejsie wiersza polecenia platformy Azure, postępuj zgodnie z tymi instrukcjami

Tryby dostępu obwodowego zabezpieczeń sieci

Obwód zabezpieczeń sieci obsługuje dwa różne tryby dostępu dla skojarzonych zasobów:

Tryb	Opis
Tryb uczenia	Domyślny tryb dostępu. W trybie uczenia obwód zabezpieczeń sieci rejestruje cały ruch do usługi wyszukiwania, która byłaby blokowana, jeśli obwód był w trybie wymuszanym. Dzięki temu administratorzy sieci mogą zrozumieć istniejące wzorce dostępu usługi wyszukiwania przed zaimplementowaniem wymuszania reguł dostępu.
Tryb wymuszony	W trybie wymuszonym dzienniki obwodowe zabezpieczeń sieci i odrzuca cały ruch, który nie jest jawnie dozwolony przez reguły dostępu.

Ustawienia sieciowe zabezpieczeń sieci i sieci magazynu kluczy

Ustawienie publicNetworkAccess określa skojarzenie magazynu kluczy z obwodem zabezpieczeń sieci.

• W trybie publicNetworkAccess uczenia ustawienie kontroluje publiczny dostęp do zasobu.

• W trybie publicNetworkAccess wymuszonym ustawienie jest zastępowane przez reguły obwodu zabezpieczeń sieci. Jeśli na przykład usługa wyszukiwania z ustawieniem publicNetworkAccess enabled jest skojarzona z obwodem zabezpieczeń sieci w trybie wymuszonym, dostęp do usługi wyszukiwania jest nadal kontrolowany przez reguły dostępu obwodowego zabezpieczeń sieci.

Zmienianie trybu dostępu obwodowego zabezpieczeń sieci

1. Przejdź do zasobu obwodowego zabezpieczeń sieci w portalu.

2. Wybierz pozycję Zasoby w menu po lewej stronie.

3. Znajdź magazyn kluczy w tabeli.

4. Wybierz trzy kropki po prawej stronie wiersza usługi wyszukiwania. Wybierz pozycję Zmień tryb dostępu w oknie podręcznym.

5. Wybierz żądany tryb dostępu i wybierz pozycję Zastosuj.

Włączanie rejestrowania dostępu do sieci

Zobacz Dzienniki diagnostyczne dotyczące obwodu zabezpieczeń sieci.

Informacje

• Dokumentacja szablonu usługi ARM: Dokumentacja szablonu usługi ARM usługi Azure Key Vault
• Polecenia interfejsu wiersza polecenia platformy Azure: az keyvault network-rule
• Polecenia cmdlet programu Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Następne kroki

• Punkty końcowe usługi sieci wirtualnej dla usługi Key Vault
• Omówienie zabezpieczeń usługi Azure Key Vault