Compartilhar via

Configurar redes virtuais e firewalls do Azure Key Vault

  • Artigo

Este documento tratará das diferentes configurações de um firewall do Azure Key Vault em detalhes. Para seguir as instruções passo a passo sobre como definir essas configurações, consulte Definir configurações de rede do Azure Key Vault.

Para obter mais informações, confira Pontos de extremidade de serviço de rede virtual para o Azure Key Vault.

Configurações do Firewall

Esta seção abordará as diferentes maneiras como um firewall do Azure Key Vault pode ser configurado.

Firewall do Key Vault desabilitado (padrão)

Por padrão, quando você cria um cofre de chaves, o firewall do Azure Key Vault está desabilitado. Todos os aplicativos e serviços do Azure podem acessar o cofre de chaves e enviar solicitações para ele. Essa configuração não significa que qualquer usuário poderá executar operações em seu cofre de chaves. O cofre de chaves ainda restringe acesso aos segredos, chaves e certificados armazenados nele exigindo as permissões de autenticação e de política de acesso do Microsoft Entra. Para entender mais profundamente a autenticação do cofre de chaves, consulte Autenticação no Azure Key Vault. Para obter mais informações, confira Acessar o Azure Key Vault por trás de um firewall.

Firewall do Key Vault habilitado (somente serviços confiáveis)

Quando habilitar o Firewall do Key Vault, você terá a opção de "Permitir que Serviços Confiáveis da Microsoft ignorem este firewall". A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Isso não significa que os serviços que não aparecem na lista de serviços confiáveis não sejam confiáveis ou seguros. A lista de serviços confiáveis abrange os serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado em serviços do Azure como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação ampla para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, não significa que ele seja permitido em todos os cenários.

Para determinar se um serviço que você está tentando usar está na lista de serviços confiáveis, confira Pontos de extremidade de serviço de rede virtual para o Azure Key Vault. Para ver um guia de instruções, siga as instruções aqui para o Portal, a CLI do Azure e o PowerShell

Firewall do Key Vault habilitado (intervalos e endereços IPv4 – IPs estáticos)

Se desejar autorizar um serviço específico a acessar o cofre de chaves por meio do Firewall do Key Vault, você pode adicionar o endereço IP dele à lista de permissões do firewall do cofre de chaves. Essa configuração é melhor para serviços que usam endereços IP estáticos ou intervalos bem conhecidos. Há um limite de 1000 intervalos de CIDR para esse caso.

Para permitir um intervalo ou um endereço IP de um recurso do Azure, como um Aplicativo Web ou Aplicativo Lógico, execute as etapas a seguir.

  1. Entre no portal do Azure.
  2. Selecione o recurso (instância específica do serviço).
  3. Selecione a folha Propriedades em Configurações.
  4. Procure o campo Endereço IP.
  5. Copie esse valor ou intervalo e insira na lista de permissões do firewall do cofre de chaves.

Para permitir que todo um serviço do Azure passe pelo firewall do Key Vault, use a lista de endereços IP de data centers documentados publicamente para o Azure aqui. Localize os endereços IP associados ao serviço que deseja na região que deseja e adicione-os ao firewall do cofre de chaves.

Firewall do Key Vault habilitado (redes virtuais – IPs dinâmicos)

Se estiver tentando permitir que um recurso do Azure, como uma máquina virtual, passe pelo cofre de chaves, você não poderá usar endereços IP estáticos e talvez não queira permitir que todos os endereços IP das Máquinas Virtuais do Azure acessem o cofre de chaves.

Nesse caso, você deve criar o recurso em uma rede virtual e permitir que o tráfego da rede virtual específica e da sub-rede acesse o cofre de chaves.

  1. Entre no portal do Azure.
  2. Selecione o cofre de chaves que deseja configurar.
  3. Selecione a folha "Rede".
  4. Selecione "+ Adicionar rede virtual existente".
  5. Selecione a rede virtual e a sub-rede que deseja permitir que passem pelo firewall do cofre de chaves.

Para saber como configurar uma conexão de link privado em seu cofre de chaves, confira o documento aqui.

Importante

Depois que as regras de firewall estiverem ativas, os usuários podem realizar apenas operações de plano de dados do Key Vault quando as solicitações deles originarem-se de redes virtuais ou intervalos de endereços IPv4 permitidos. Isso também aplica-se ao acessar o Key Vault a partir do portal do Azure. Embora os usuários possam navegar em um cofre de chaves a partir do portal do Azure, eles talvez não consigam listar chaves, segredos ou certificados se o computador cliente deles não estiver na lista permitida. Isso também afeta o Seletor do Key Vault usado por outros serviços do Azure. Os usuários poderão ver a lista de cofres de chaves, mas não listar chaves, se as regras de firewall impedirem o computador cliente.

Observação

Esteja ciente das seguintes limitações de configuração:

  • Um máximo de 200 regras da rede virtual e 1.000 regras de IPv4 são permitidas.
  • Regras de rede IP somente são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido na RFC 1918) não são permitidos em regras de IP. Redes privadas incluem endereços que começam com 10. , 172.16-31 e 192.168. .
  • Atualmente, somente há suporte para endereços IPv4.

Acesso público desabilitado (somente ponto de extremidade privado)

Para aprimorar a segurança de rede, você pode configurar seu cofre para desabilitar o acesso público. Isso nega todas as configurações públicas e permite apenas conexões por meio de pontos de extremidade privados.

Perímetro de segurança da rede (versão prévia)

O Perímetro de Segurança da Rede (versão prévia) permite que as organizações definam um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, Azure Key Vault, Armazenamento do Microsoft Azure e Banco de Dados SQL do Azure) que são implantados fora das redes virtuais da sua organização. Ele restringe o acesso à rede pública aos recursos de PaaS fora do perímetro. O acesso pode ser isento usando regras de acesso explícitas para entrada e saída públicas.

Atualmente, o Perímetro de Segurança da Rede está em visualização pública para um subconjunto de recursos. Consulte Recursos de link privado integrados e Limitações de perímetro de segurança da rede. Para obter mais informações, confira Transição para um Perímetro de Segurança da Rede.

Importante

O tráfego de ponto de extremidade privado é considerado altamente seguro e, portanto, não está sujeito a regras de Perímetro de Segurança de Rede. Todo o tráfego restante, incluindo serviços confiáveis, estará sujeito às regras do Perímetro de Segurança da Rede se o cofre de chaves estiver associado a um perímetro.

Com um perímetro de segurança da rede:

  • Todos os recursos dentro do perímetro podem se comunicar com qualquer outro recurso dentro do perímetro.
  • O acesso externo está disponível com os seguintes controles:
    • O acesso de entrada público pode ser aprovado usando atributos de Rede e Identidade do cliente, como endereços IP de origem, assinaturas.
    • A saída pública pode ser aprovado usando FQDNs (Nomes de Domínio Totalmente Qualificados) dos destinos externos.
  • Os logs de diagnóstico estão habilitados para recursos de PaaS dentro do perímetro para Auditoria e Conformidade.

Restrições e considerações

  • Configurar o Acesso à rede pública como Desativado ainda permite serviços confiáveis. Alternar o Acesso à rede pública como Seguro por perímetro proíbe serviços confiáveis mesmo se configurados para permitir serviços confiáveis.
  • As regras de firewall do Azure Key Vault se aplicam apenas a operações de plano de dados. As operações do Painel de controle não estão sujeitas às restrições especificadas nas regras de firewall.
  • Para acessar os dados usando ferramentas como o portal do Azure, você deve estar em um computador dentro do limite confiável estabelecido ao configurar as regras de segurança de rede.
  • O Azure Key Vault não tem nenhum conceito de regras de saída, você ainda pode associar um cofre de chaves a um perímetro com regras de saída, mas o cofre de chaves não as usará.

Associar um Perímetro de Segurança da Rede a um cofre de chaves – Azure PowerShell

Para associar um Perímetro de Segurança da Rede a um cofre de chaves no Azure PowerShell, siga essas instruções.

Associar um Perímetro de Segurança da Rede com um cofre de chaves – CLI do Azure

Para associar um Perímetro de Segurança da Rede a um cofre de chaves na CLI do Azure, siga essas instruções

Modos de acesso de perímetro de segurança da rede

O perímetro de segurança da rede dá suporte a dois modos de acesso diferentes para recursos associados:

Modo Descrição
Modo de aprendizado O modo de acesso padrão. No modo de aprendizagem, o perímetro de segurança da rede registra todo o tráfego no serviço de pesquisa que teria sido negado se o perímetro estivesse no modo imposto. Isso permite que os administradores de rede entendam os padrões de acesso existentes do serviço de pesquisa antes de implementar a imposição de regras de acesso.
Modo imposto No modo Imposto, o perímetro de segurança da rede registra e nega todo o tráfego que não é explicitamente permitido pelas regras de acesso.

Configurações de rede do cofre de chaves e do perímetro de segurança da rede

A configuração publicNetworkAccess determina a associação do cofre de chaves com um perímetro de segurança da rede.

  • No modo Aprendizagem, a configuração publicNetworkAccess controla o acesso público ao recurso.

  • No modo Imposto, a configuração publicNetworkAccess é substituída pelas regras de perímetro de segurança da rede. Por exemplo, se um serviço de pesquisa com uma configuração publicNetworkAccess de enabled estiver associado a um perímetro de segurança da rede no modo Imposto, o acesso ao serviço de pesquisa ainda será controlado pelas regras de acesso de perímetro de segurança da rede.

Alterar o modo de acesso de perímetro de segurança da rede

  1. Navegue até o recurso de perímetro de segurança da rede no portal.

  2. Selecione Recursos no menu à esquerda.

  3. Localize o cofre de chaves na tabela.

  4. Selecione os três pontos na extrema direita da linha de serviço de pesquisa. Selecione Alterar modo de acesso na janela pop-up.

  5. Selecione o modo de acesso desejado e selecione Aplicar.

Habilitar o registro em log do acesso à rede

Consulte Logs de diagnóstico do Perímetro de Segurança da Rede.

Referências

Próximas etapas