تكوين جدران حماية مخزن Azure الرئيسي والشبكات الظاهرية

سيغطي هذا المستند التكوينات المختلفة لجدار حماية Azure Key Vault بالتفصيل. لاتباع الإرشادات خطوة بخطوة حول كيفية تكوين هذه الإعدادات، راجع تكوين إعدادات شبكة Azure Key Vault.

للتعرف على المزيد من المعلومات، راجع نقاط النهاية لخدمة الشبكة الظاهرية في Azure Key Vault.

إعدادات جدار الحماية

سيغطي هذا القسم الطرق المختلفة التي يمكن من خلالها تكوين جدار حماية Azure Key Vault.

جدار حماية المخزن الرئيس معطل (الافتراضي)

عند إنشاء مخزن رئيسي جديد، يتم تعطيل جدار حماية Azure Key Vault بشكل افتراضي. يمكن لجميع التطبيقات وخدمات Azure الوصول إلى المخزن الرئيسي وإرسال الطلبات إلى المخزن الرئيسي. لا يعني هذا التكوين أن أي مستخدم سيكون قادرا على تنفيذ العمليات على مخزن المفاتيح الخاص بك. لا يزال مخزن المفاتيح يقيد الوصول إلى الأسرار والمفاتيح والشهادات المخزنة في مخزن المفاتيح من خلال طلب مصادقة Microsoft Entra وأذونات نهج الوصول. لفهم مصادقة مخزن المفاتيح بمزيد من التفصيل، راجع المصادقة في Azure Key Vault. لمزيد من المعلومات، راجع الوصول إلى Azure Key Vault خلف جدار حماية.

تمكين جدار حماية المخزن الرئيسي (الخدمات الموثوق بها فقط)

عند تمكين جدار حماية Key Vault، سيمنحك خيار "السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا." لا تضم قائمة الخدمات الموثوق بها جميع خدمات Azure. على سبيل المثال، Azure DevOps غير موجود في قائمة الخدمات الموثوق بها. وهذا لا يعني أن الخدمات التي لا تظهر في قائمة الخدمات الموثوق بها غير موثوق بها أو غير آمنة. تضم قائمة الخدمات الموثوق بها الخدمات التي تتحكم Microsoft فيها في جميع التعليمات البرمجية التي يتم تشغيلها على الخدمة. نظرًا إلى أن المستخدمين يمكنهم كتابة تعليمات برمجية مخصصة في خدمات Azure مثل Azure DevOps، لا توفر Microsoft الخيار لإنشاء موافقة مفتوحة لهذه الخدمة. علاوة على ذلك، إن ظهور خدمة ما في قائمة الخدمات الموثوق بها لا يعني أنه مسموح بها في جميع السيناريوهات.

لتحديد ما إذا كانت الخدمة التي تحاول استخدامها موجودة في قائمة الخدمة الموثوق بها، راجع نقاط نهاية خدمة الشبكة الظاهرية ل Azure Key Vault. للحصول على دليل إرشادي، اتبع الإرشادات هنا للمدخل وAzure CLI وPowerShell

تمكين جدار حماية المخزن الرئيسي (عناوين ونطاقات IPv4 - عناوين IP ثابتة)

إذا كنت ترغب في تخويل خدمة معينة للوصول إلى مخزن المفاتيح من خلال جدار حماية Key Vault، يمكنك إضافة عنوان IP الخاص به إلى قائمة السماح لجدار حماية مخزن المفاتيح. يعد هذا التكوين الأفضل للخدمات التي تستخدم عناوين IP ثابتة أو نطاقات معروفة. هناك حد مكون من 1000 من نطاقات CIDR لهذه الحالة.

للسماح لعنوان IP أو نطاق مورد Azure، مثل Web App أو Logic App، قم بتنفيذ الخطوات التالية.

1. سجل الدخول إلى مدخل Azure.
2. حدد المورد (مثيل معين للخدمة).
3. حدد جزء Properties ضمن الإعدادات.
4. ابحث عن حقل عنوان IP.
5. انسخ هذه القيمة أو النطاق وأدخلها في قائمة السماح لجدار حماية مخزن المفاتيح.

للسماح لخدمة Azure بالكامل، من خلال جدار حماية المخزن الرئيسي، استخدم استخدام قائمة عناوين IP لمركز البيانات الموثقة بشكل عام في Azure من هنا. ابحث عن عناوين IP المقترنة بالخدمة التي تريدها في المنطقة التي تريدها وأضف عناوين IP هذه إلى جدار حماية مخزن المفاتيح.

تمكين جدار حماية المخزن الرئيسي (الشبكات الظاهرية - عناوين IP الديناميكية)

إذا كنت تحاول السماح لمورد Azure مثل جهاز ظاهري من خلال المخزن الرئيسي، قد لا تتمكن من استخدام عناوين IP ثابتة، وربما لا تريد السماح لجميع عناوين IP لأجهزة Azure الظاهرية بالوصول إلى المخزن الرئيسي.

في هذه الحالة، يجب إنشاء المورد داخل شبكة ظاهرية، ثم السماح لحركة البيانات من الشبكة الظاهرية المحددة والشبكة الفرعية للوصول إلى المخزن الرئيسي.

1. سجل الدخول إلى مدخل Azure.
2. حدد key vault الذي ترغب في تكوينه.
3. حدد جزء "Networking".
4. حدد '+ إضافة شبكة ظاهرية موجودة'.
5. تحديد الشبكة الظاهرية والشبكة الفرعية التي تريد السماح لها من خلال جدار حماية المخزن الرئيسي.

تمكين جدار حماية المخزن الرئيسي (رابط خاص)

لفهم كيفية تكوين اتصال رابط خاص في المخزن الرئيسي، يرجى الاطلاع على المستند هنا.

هام

بعد أن تسري قواعد جدار الحماية، يمكن للمستخدمين فقط تنفيذ عمليات مستوى بيانات المخزن الرئيسي عندما تنشأ طلباتهم من الشبكات الظاهرية أو نطاقات عناوين IPv4 المسموح لها. ينطبق هذا أيضًا على الوصول إلى المخزن الرئيسي من مدخل Azure. في حين أنه بإمكان المستخدمين التصفح للوصول إلى المخزن الرئيسي من مدخل Azure، إلا أنه قد لا يمكنهم إدراج المفاتيح أو الأسرار أو الشهادات إذا لم يكن جهاز العميل الخاص بهم في القائمة المسموح لها. يؤثر هذا أيضا على منتقي Key Vault الذي تستخدمه خدمات Azure الأخرى. قد يتمكن المستخدمون من رؤية قائمة بخزائن المفاتيح، ولكن ليس سرد المفاتيح، إذا كانت قواعد جدار الحماية تمنع جهاز العميل الخاص بهم.

إشعار

يجب أن تكون ملمًا بقيود التكوين التالية:

• لا يُسمح بأكثر من 200 قاعدة للشبكة الظاهرية و1000 من قواعد IPv4.
• يُسمح فقط بقواعد شبكة IP لعناوين IP العامة. غير مسموح لنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تشمل الشبكات الخاصة العناوين التي تبدأ بـ 10.و172.16-31و192.168..
• عناوين IPv4 هي المدعومة فقط في هذا الوقت.

تعطيل الوصول العام (نقطة النهاية الخاصة فقط)

لتحسين أمان الشبكة، يمكنك تكوين المخزن الخاص بك لتعطيل الوصول العام. سيؤدي ذلك إلى رفض جميع التكوينات العامة والسماح بالاتصالات فقط من خلال نقاط النهاية الخاصة.

المراجع

• مرجع قالب ARM: مرجع قالب ARM لـ Azure Key Vault
• أوامر Azure CLI: az keyvault network-rule
• Azure PowerShell cmdlets: Get-AzKeyVault وAdd-AzKeyVaultNetworkRule وRemove-AzKeyVaultNetworkRule وUpdate-AzKeyVaultNetworkRuleSet

الخطوات التالية

• نقاط نهاية خدمة الشبكة الظاهرية للمخزن الرئيسي
• نظرة عامة على أمان Azure Key Vault