Поделиться через

Настройка брандмауэров и виртуальных сетей Azure Key Vault

  • Статья

В этом документе подробно рассматриваются различные конфигурации брандмауэра Azure Key Vault. Чтобы выполнить пошаговые инструкции по настройке этих параметров, см . раздел "Настройка параметров сети Azure Key Vault".

Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети для Azure Key Vault.

Настройки брандмауэра

В этом разделе рассматриваются различные способы настройки брандмауэра Azure Key Vault.

Брандмауэр Key Vault отключен (по умолчанию)

По умолчанию при создании нового хранилища ключей брандмауэр Azure Key Vault отключен. Все приложения и службы Azure имеют доступ к хранилищу ключей и отправляют запросы в хранилище ключей. Эта конфигурация не означает, что любой пользователь сможет выполнять операции в хранилище ключей. Хранилище ключей по-прежнему ограничивает доступ к секретам, ключам и сертификатам, хранящимся в хранилище ключей, требуя проверки подлинности Microsoft Entra и разрешений политики доступа. Дополнительные сведения о проверке подлинности хранилища ключей см. в статье "Проверка подлинности в Azure Key Vault". Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.

Брандмауэр Key Vault включен (только доверенные службы)

При включении брандмауэра Key Vault вы можете разрешить доверенным службам Майкрософт обойти этот брандмауэр. Список доверенных служб содержит не все службы Azure. Например, Azure DevOps не содержится в списке доверенных служб. Это не означает, что службы, которые не отображаются в списке доверенных служб, не являются доверенными или небезопасны. Список доверенных служб содержит службы, в которых Майкрософт контролирует весь код, выполняемый в службе. Так как пользователи могут писать пользовательский код в таких службах Azure, как Azure DevOps, корпорация Майкрософт не предоставляет возможность создать утверждение параметров для этой службы. Более того, только то, что служба отображается в списке доверенных служб, не означает, что она разрешена для всех сценариев.

Чтобы определить, находится ли служба, используемая в списке доверенных служб, см . сведения о конечных точках службы виртуальной сети для Azure Key Vault. Инструкции по использованию портала, Azure CLI и PowerShell

Брандмауэр Key Vault включен (адреса и диапазоны IPv4 — статические IP-адреса)

Если вы хотите авторизовать определенную службу для доступа к хранилищу ключей через брандмауэр Key Vault, можно добавить его IP-адрес в список разрешений брандмауэра хранилища ключей. Эта конфигурация лучше подходит для служб, использующих статические IP-адреса или известные диапазоны. Для этого случая существует ограничение в 1000 диапазонов CIDR.

Чтобы разрешить IP-адрес или диапазон адресов для ресурса Azure, например веб-приложению или приложению логики, выполните следующие действия.

  1. Войдите на портал Azure.
  2. Выберите ресурс (конкретный экземпляр службы).
  3. Выберите колонку "Свойства" в разделе "Параметры".
  4. Найдите поле IP-адреса.
  5. Скопируйте это значение или диапазон и введите его в список разрешений брандмауэра хранилища ключей.

Чтобы разрешить всю службу Azure в брандмауэре Key Vault, используйте список общедоступных IP-адресов центра обработки данных для Azure здесь. Найдите IP-адреса, связанные со службой, которую вы хотите найти в нужном регионе, и добавьте эти IP-адреса в брандмауэр хранилища ключей.

Брандмауэр Key Vault включен (виртуальные сети — динамические IP-адреса)

Если вы пытаетесь разрешить ресурс Azure, например виртуальную машину, в хранилище ключей, возможно, вы не сможете использовать статические IP-адреса и не хотите разрешать всем IP-адресам виртуальных машин Azure доступ к хранилищу ключей.

В этом случае необходимо создать ресурс в виртуальной сети, а затем разрешить трафик из конкретной виртуальной сети и подсети для доступа к хранилищу ключей.

  1. Войдите на портал Azure.
  2. Выберите хранилище ключей, которое вы хотите настроить.
  3. Выберите колонку "Сеть".
  4. Выберите "+ Добавить существующую виртуальную сеть".
  5. Выберите виртуальную сеть и подсеть, которые вы хотите разрешить в брандмауэре Key Vault.

Сведения о настройке подключения приватного канала в хранилище ключей см. здесь.

Внимание

Когда правила брандмауэра начнут действовать, пользователи смогут выполнять запросы на операции плоскости данных в Key Vault только из разрешенных виртуальных сетей или диапазонов IPv4-адресов. Это относится и к получению доступа к Key Vault с портала Azure. Пользователь сможет перейти в хранилище ключей с портала Azure, но не сможет получить список ключей, секретов и сертификатов, если клиентский компьютер не включен в список разрешенных. Это также влияет на средство выбора Key Vault, используемое другими службами Azure. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют их клиентскому компьютеру.

Примечание.

Следует учитывать следующие ограничения конфигурации:

  • Допускается не более 200 правил виртуальной сети и 1000 правил IPv4.
  • Правила IP-сети можно применять только в общедоступных IP-адресах. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. К частным сетям относятся адреса, начинающиеся с 10., 172.16-31 и 192.168.
  • Сейчас поддерживаются только IPV4-адреса.

Общедоступный доступ отключен (только частная конечная точка)

Чтобы повысить безопасность сети, вы можете настроить хранилище для отключения общедоступного доступа. Это запрещает все общедоступные конфигурации и разрешает подключения только через частные конечные точки.

Периметр безопасности сети (предварительная версия)

Периметр безопасности сети (предварительная версия) позволяет организациям определять границу логической сетевой изоляции для ресурсов PaaS (например, Azure Key Vault, служба хранилища Azure и База данных SQL), развернутых за пределами виртуальных сетей организации. Он ограничивает доступ к ресурсам PaaS за пределами периметра, доступ можно исключить с помощью явных правил доступа для общедоступного входящего и исходящего трафика.

В настоящее время периметр безопасности сети находится в общедоступной предварительной версии для подмножества ресурсов. См. сведения о подключенных ресурсах приватного канала и ограничениях периметра безопасности сети. Дополнительные сведения см. в разделе "Переход на периметр безопасности сети".

Внимание

Трафик частной конечной точки считается высокозащищенным и поэтому не подлежит правилам периметра безопасности сети. Все остальные трафик, включая доверенные службы, будут подвергаться правилам периметра безопасности сети, если хранилище ключей связано с периметром.

С периметром безопасности сети:

  • Все ресурсы внутри периметра могут взаимодействовать с любым другим ресурсом в периметре.
  • Внешний доступ доступен со следующими элементами управления:
    • Общедоступный входящий доступ можно утвердить с помощью атрибутов сети и удостоверений клиента, таких как исходные IP-адреса, подписки.
    • Общедоступный исходящий трафик можно утвердить с помощью полных доменных имен (полных доменных имен) внешних назначений.
  • Журналы диагностики включены для ресурсов PaaS в периметре для аудита и соответствия требованиям.

Ограничения и рекомендации

  • Настройка доступа к общедоступной сети для отключения по-прежнему разрешает доверенные службы. Переключение общедоступного сетевого доступа на безопасный по периметру, то запрещает доверенные службы, даже если настроено разрешить доверенные службы.
  • Правила брандмауэра Azure Key Vault применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра.
  • Чтобы получить доступ к данным с помощью таких средств, как портал Azure, необходимо находиться на компьютере в пределах доверенной границы, устанавливаемой при настройке правил безопасности сети.
  • Azure Key Vault не имеет понятия о правилах исходящего трафика, вы по-прежнему можете связать хранилище ключей с периметром с правилами исходящего трафика, но хранилище ключей не будет использовать их.

Связывание периметра безопасности сети с хранилищем ключей — Azure PowerShell

Чтобы связать периметр безопасности сети с хранилищем ключей в Azure PowerShell, следуйте этим инструкциям.

Связывание периметра безопасности сети с хранилищем ключей — Azure CLI

Чтобы связать периметр безопасности сети с хранилищем ключей в Azure CLI, выполните следующие инструкции.

Режимы доступа периметра безопасности сети

Периметр безопасности сети поддерживает два разных режима доступа для связанных ресурсов:

Режим Description
Режим обучения Режим доступа по умолчанию. В режиме обучения периметр безопасности сети регистрирует весь трафик в службу поиска, которая была бы отклонена, если периметр был в принудительном режиме. Это позволяет администраторам сети понять существующие шаблоны доступа службы поиска перед реализацией правил доступа.
Принудительный режим В принудительном режиме журналы периметра безопасности сети и запрещает весь трафик, который явно не разрешен правилами доступа.

Параметры сети периметра безопасности сети и хранилища ключей

Параметр publicNetworkAccess определяет связь хранилища ключей с периметром безопасности сети.

  • В режиме publicNetworkAccess обучения параметр управляет общедоступным доступом к ресурсу.

  • В принудительном режиме publicNetworkAccess параметр переопределяется правилами периметра безопасности сети. Например, если служба поиска с publicNetworkAccess параметром enabled связана с периметром безопасности сети в принудительном режиме, доступ к службе поиска по-прежнему контролируется правилами доступа к периметру безопасности сети.

Изменение режима доступа к периметру безопасности сети

  1. Перейдите к ресурсу периметра безопасности сети на портале.

  2. Выберите ресурсы в меню слева.

  3. Найдите хранилище ключей в таблице.

  4. Выберите три точки в правой части строки службы поиска. Выберите "Изменить режим доступа" во всплывающем оккупе.

  5. Выберите нужный режим доступа и нажмите кнопку "Применить".

Включение доступа к сети ведения журнала

См . журналы диагностики для периметра безопасности сети.

Ссылки

Следующие шаги