Konfigurace zabezpečení sítě pro Azure Key Vault

Tento článek popisuje různé konfigurace zabezpečení sítě pro Azure Key Vault a obsahuje podrobné pokyny pro jejich konfiguraci. Osvědčené postupy zabezpečení najdete v tématu Zabezpečení služby Azure Key Vault: Zabezpečení sítě.

Další informace o koncových bodech služeb virtuální sítě najdete v tématu Koncové body služby virtuální sítě pro Azure Key Vault.

Nastavení brány firewall

Tato část popisuje různé způsoby konfigurace brány firewall služby Azure Key Vault.

Firewall služby Key Vault je deaktivován (výchozí)

Při vytváření nového trezoru klíčů je ve výchozím nastavení zakázaná brána firewall služby Azure Key Vault. Všechny aplikace a služby Azure mají přístup k trezoru klíčů a odesílat požadavky do trezoru klíčů. Tato konfigurace neznamená, že každý uživatel bude moct s trezorem klíčů provádět operace. Trezor klíčů stále omezuje přístup k tajným kódům, klíčům a certifikátům uloženým v trezoru klíčů tím, že vyžaduje oprávnění k ověřování a zásadám přístupu microsoft Entra. Podrobnější informace o ověřování trezoru klíčů najdete v tématu Ověřování ve službě Azure Key Vault. Další informace najdete v tématu Přístup ke službě Azure Key Vault za bránou firewall.

Povolit firewall Key Vault (pouze důvěryhodné služby)

Když povolíte bránu firewall služby Key Vault, máte možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall. Seznam důvěryhodných služeb nepokrývá všechny jednotlivé služby Azure. Například Azure DevOps není v seznamu důvěryhodných služeb. Neznamená to, že služby, které se nezobrazují v seznamu důvěryhodných služeb, nejsou důvěryhodné nebo nezabezpečené. Seznam důvěryhodných služeb zahrnuje služby, ve kterých Microsoft řídí veškerý kód, který běží ve službě. Vzhledem k tomu, že uživatelé můžou psát vlastní kód ve službách Azure, jako je Azure DevOps, Microsoft neposkytuje možnost vytvořit pro službu dekadní schválení. Kromě toho to, že se služba zobrazuje v seznamu důvěryhodných služeb, neznamená, že je povolená pro všechny scénáře.

Pokud chcete zjistit, jestli je služba, kterou se pokoušíte použít, na seznamu důvěryhodných služeb, podívejte se na koncové body služeb virtuální sítě pro Azure Key Vault.

Aby bylo možné důvěryhodným službám obejít bránu firewall:

Portal

1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
2. V nabídce vlevo vyberte Sítě .
3. Na kartě Brány firewall a virtuální sítě v části Výjimka vyberte Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall.
4. Vyberte Uložit.

Azure CLI

Pomocí příkazu azure CLI az keyvault update povolte důvěryhodným službám obejít bránu firewall.

az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices

PowerShell

Pomocí rutiny Azure PowerShell Update-AzKeyVaultNetworkRuleSet povolte důvěryhodným službám obejít bránu firewall.

Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices

Povolená brána firewall služby Key Vault (adresy a rozsahy IPv4 – statické IP adresy)

Pokud chcete autorizovat konkrétní službu pro přístup k klíčovému trezoru přes firewall Key Vault, můžete její IP adresu přidat do seznamu povolených IP adres v firewallu klíčového trezoru. Tato konfigurace je nejvhodnější pro služby, které používají statické IP adresy nebo dobře známé rozsahy. Pro tento případ existuje limit 1 000 rozsahů CIDR.

Pokud chcete povolit IP adresu nebo rozsah prostředku Azure, například webovou aplikaci nebo aplikaci logiky, proveďte následující kroky.

1. Přihlaste se k portálu Azure.
2. Vyberte prostředek (konkrétní instanci služby).
3. V části Nastavení vyberte okno Vlastnosti.
4. Vyhledejte pole IP adresa.
5. Zkopírujte tuto hodnotu nebo rozsah a zadejte ji do povoleného seznamu úložiště klíčů pro firewall.

Pokud chcete umožnit celé službě Azure projít přes firewall služby Key Vault, použijte seznam veřejně zdokumentovaných IP adres datového centra pro Azure. Vyhledejte IP adresy přidružené ke službě, kterou chcete mít v požadované oblasti, a přidejte tyto IP adresy do brány firewall trezoru klíčů.

Chcete-li přidat pravidla IP adres:

Portal

1. Přejděte do trezoru klíčů a vyberte Sítě.
2. Na kartě Brány firewall a virtuální sítě v části Brána firewall zadejte adresy IPv4 nebo rozsahy CIDR.
3. Vyberte Uložit.

Azure CLI

Příkaz az keyvault network-rule add použijte k přidání pravidla IP adresy.

az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

PowerShell

Pomocí rutiny Add-AzKeyVaultNetworkRule v Azure PowerShellu přidejte pravidlo IP adresy.

Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Brána firewall Key Vault povolena (virtuální sítě – dynamické IP adresy)

Pokud se pokoušíte povolit prostředek Azure, jako je virtuální počítač prostřednictvím trezoru klíčů, možná nebudete moct používat statické IP adresy a možná nechcete povolit přístup ke svému trezoru klíčů pro všechny IP adresy virtuálních počítačů Azure.

V takovém případě byste měli vytvořit prostředek ve virtuální síti a pak povolit provoz z konkrétní virtuální sítě a podsítě pro přístup k vašemu trezoru klíčů.

Portal

1. Přejděte do trezoru klíčů, který chcete nakonfigurovat.
2. Vyberte Sítě a poté vyberte Brány firewall a virtuální sítě kartu.
3. V části Povolit přístup vyberte Povolit veřejný přístup z konkrétních virtuálních sítí a IP adres.
4. Vyberte + Přidat virtuální síť>Přidat existující virtuální sítě.
5. Vyberte předplatné, virtuální sítě a podsítě, ke kterým chcete povolit přístup. Pokud koncové body služby nejsou povolené, po zobrazení výzvy vyberte Povolit . Může trvat až 15 minut, než se projeví.
6. Vyberte Přidat a pak vyberte Uložit.

Pokud chcete přidat novou virtuální síť, vyberte + Přidat virtuální síť Přidat> a postupujte podle pokynů.

Azure CLI

Pomocí příkazu azure CLI az network vnet subnet update povolte koncový bod služby. Pomocí příkazu az network vnet subnet show získejte ID podsítě a pak pomocí příkazu az keyvault network-rule add přidejte pravidlo virtuální sítě.

1. Povolte koncový bod služby pro Key Vault ve stávající podsíti a virtuální síti.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

2. Přidejte pravidlo sítě pro virtuální síť a podsíť:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --subnet $subnetid
   

3. Pomocí příkazu az keyvault update nastavte výchozí akci na odepření:

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --default-action Deny
   

PowerShell

Poznámka:

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Pomocí rutiny Azure PowerShell Get-AzVirtualNetwork získejte virtuální síť Set-AzVirtualNetworkSubnetConfig , abyste povolili koncový bod služby, a Set-AzVirtualNetwork uložte změny. Pak pomocí rutiny Add-AzKeyVaultNetworkRule přidejte pravidlo virtuální sítě.

1. Povolení koncového bodu služby pro službu Key Vault ve stávající virtuální síti a podsíti:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

2. K získání podsítě použijte Get-AzVirtualNetworkSubnetConfig, poté přidejte pravidlo sítě:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

3. Pomocí rutiny Update-AzKeyVaultNetworkRuleSet nastavte výchozí akci na odepření:

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Povolený firewall služby Key Vault (privátní linka)

Informace o konfiguraci připojení privátního propojení ve vašem trezoru klíčů najdete v tématu Integrace služby Key Vault se službou Azure Private Link.

Výpis pravidel sítě

Zobrazení aktuálních pravidel sítě nakonfigurovaných pro váš trezor klíčů:

Portal

1. Přejděte do trezoru klíčů a vyberte Sítě.
2. Zkontrolujte nakonfigurované virtuální sítě a IP adresy na kartě Firewally a virtuální sítě.

Azure CLI

Pomocí příkazu Azure CLI az keyvault network-rule list zobrazte seznam síťových pravidel.

az keyvault network-rule list --resource-group "myresourcegroup" --name "mykeyvault"

PowerShell

K načtení seznamů ACL sítě použijte rutinu Azure PowerShell Get-AzKeyVault .

(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls

Odebrání pravidel sítě

Portal

1. Přejděte do trezoru klíčů a vyberte Sítě.
2. Na kartě Brány firewall a virtuální sítě vyberte ikonu pro odstranění vedle pravidla, které chcete odebrat.
3. Vyberte Uložit.

Azure CLI

Použijte příkaz azure CLI az keyvault network-rule remove .

Chcete-li odebrat pravidlo virtuální sítě:

subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule remove --resource-group "myresourcegroup" --name "mykeyvault" --subnet $subnetid

Odstranit pravidlo pro IP adresu:

az keyvault network-rule remove --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

PowerShell

Použijte rutinu Remove-AzKeyVaultNetworkRule v Azure PowerShellu.

Chcete-li odebrat pravidlo virtuální sítě:

$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id

Chcete-li odebrat pravidlo IP adresy:

Remove-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Důležité

Jakmile jsou pravidla brány firewall platná, můžou uživatelé provádět operace roviny dat služby Key Vault pouze v případě, že jejich požadavky pocházejí z povolených virtuálních sítí nebo rozsahů adres IPv4. To platí také pro přístup ke službě Key Vault z webu Azure Portal. I když uživatelé můžou z webu Azure Portal přejít k trezoru klíčů, nemusí být schopni vypsat klíče, tajné kódy nebo certifikáty, pokud jejich klientský počítač není v seznamu povolených. To má vliv také na výběr služby Key Vault používané jinými službami Azure. Uživatelé můžou zobrazit seznam trezorů klíčů, ale ne klíče seznamu, pokud pravidla brány firewall brání klientskému počítači.

Poznámka:

Mějte na paměti následující omezení konfigurace:

• Je povoleno maximálně 200 pravidel virtuální sítě a 1 000 pravidel IPv4.
• Pravidla sítě IP jsou povolená jenom pro veřejné IP adresy. Rozsahy IP adres vyhrazené pro privátní sítě (definované v rfc 1918) nejsou v pravidlech IP adres povolené. Mezi privátní sítě patří adresy začínající 10., 172.16-31 a 192.168..
• V tuto chvíli jsou podporovány pouze adresy IPv4.

Veřejný přístup zakázaný (pouze privátní koncový bod)

Pokud chcete zvýšit zabezpečení sítě, můžete nakonfigurovat trezor tak, aby zakázal veřejný přístup. Tím se odepře všechny veřejné konfigurace a povolí se pouze připojení prostřednictvím privátních koncových bodů.

Úplné pokyny k nastavení služby Private Link najdete v tématu Integrace služby Key Vault se službou Azure Private Link.

Zakázání veřejného přístupu po konfiguraci služby Private Link:

Portal

1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
2. V nabídce vlevo vyberte Sítě .
3. Vyberte kartu Brány firewall a virtuální sítě .
4. V části Povolit přístup z vyberte Zakázat veřejný přístup.
5. Vyberte Uložit.

Azure CLI

Pomocí příkazu azure CLI az keyvault update zakažte přístup k veřejné síti.

az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --public-network-access Disabled

PowerShell

Pomocí rutiny Azure PowerShell Update-AzKeyVault zakažte přístup k veřejné síti.

Update-AzKeyVault -ResourceGroupName "myresourcegroup" -VaultName "mykeyvault" -PublicNetworkAccess "Disabled"

Důležité

Po zakázání veřejného přístupu je trezor klíčů přístupný jenom prostřednictvím privátních koncových bodů. Před zakázáním veřejného přístupu se ujistěte, že je konfigurace privátního koncového bodu dokončená.

Perimetr zabezpečení sítě

Hraniční síť zabezpečení sítě umožňuje organizacím definovat hranici izolace logické sítě pro prostředky PaaS (například Azure Key Vault, Azure Storage a SQL Database), které jsou nasazené mimo virtuální sítě vaší organizace. Omezuje přístup k prostředkům PaaS mimo hraniční síť. Přístup je možné vyloučit pomocí explicitních pravidel přístupu pro veřejné příchozí a odchozí přenosy.

Hraniční síť je teď obecně dostupná pro podporované prostředky. Viz Onboarded private-link resources and Limitations of network security perimetr. Další informace najdete v tématu Přechod na hraniční síť zabezpečení sítě.

Důležité

Provoz privátního koncového bodu se považuje za vysoce zabezpečený, a proto se na ně nevztahují pravidla zabezpečení sítě. Všechny ostatní přenosy, včetně důvěryhodných služeb, budou podléhat pravidlům zabezpečení sítě, pokud je trezor klíčů přidružený k hraniční síti.

S hraniční sítí:

• Všechny prostředky uvnitř hraniční sítě můžou komunikovat s jakýmkoli jiným prostředkem v rámci hraniční sítě.
• Externí přístup je k dispozici s následujícími ovládacími prvky:
  • Veřejný příchozí přístup je možné schválit pomocí atributů sítě a identity klienta, jako jsou zdrojové IP adresy nebo předplatná.
  • Veřejné odchozí přenosy je možné schválit pomocí plně kvalifikovaných názvů domén (plně kvalifikovaných názvů domén) externích cílů.
• Diagnostické protokoly jsou povolené pro prostředky PaaS v rámci hraniční sítě pro audit a dodržování předpisů.

Omezení a limity

• Nastavení přístupu k veřejné síti pro zakázání stále umožňuje důvěryhodné služby. Přepnutí přístupu k veřejné síti na zabezpečený podle hraniční sítě a pak zakáže důvěryhodné služby, i když jsou nakonfigurované tak, aby povolovaly důvěryhodné služby.
• Pravidla brány firewall služby Azure Key Vault se vztahují pouze na operace roviny dat. Operace řídicí roviny podléhají omezením stanoveným v pravidlech brány firewall. To zahrnuje nasazení tajných kódů nebo klíčů prostřednictvím šablon ARM, které používají koncový bod řídicí roviny Azure Resource Manageru (management.azure.com) místo koncového bodu roviny dat služby Key Vault (<vault-name>.vault.azure.net). Další informace najdete v tématu Koncové body služby pro virtuální síť pro Azure Key Vault.
• Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, musíte být na počítači v rámci důvěryhodné hranice, kterou navážete při konfiguraci pravidel zabezpečení sítě.
• Azure Key Vault nemá žádný koncept odchozích pravidel. Trezor klíčů můžete stále přidružit k hraniční síti s odchozími pravidly, ale trezor klíčů je nebude používat.
• Protokoly hraničního přístupu k zabezpečení sítě pro Azure Key Vault nemusí obsahovat pole Počet nebo TimeGeneratedEndTime.

Přidružení hraniční sítě k trezoru klíčů – Azure PowerShell

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure PowerShellu, postupujte podle těchto pokynů.

Přidružení hraniční sítě k trezoru klíčů – Azure CLI

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure CLI, postupujte podle těchto pokynů.

Režimy hraničního přístupu zabezpečení sítě

Hraniční síť podporuje dva různé režimy přístupu pro přidružené prostředky:

Režim	Popis
Přechodový režim (dříve "Režim výuky")	Výchozí režim přístupu. V režimu přechodu protokoluje bezpečnostní perimetr sítě veškerý provoz do vyhledávací služby, který by byl odepřen, pokud by byl perimetr ve vynuceném režimu. Správci sítě tak můžou před implementací pravidel přístupu porozumět existujícím vzorům přístupu vyhledávací služby.
Vynucený režim	V režimu vynucení protokoly hraniční sítě a zamítnou veškerý provoz, který nejsou explicitně povolená pravidly přístupu.

Nastavení síťového zabezpečení hraniční sítě a trezoru klíčů

Nastavení publicNetworkAccess určuje přidružení trezoru klíčů k hraniční síti.

• V režimu přechodu publicNetworkAccess nastavení řídí veřejný přístup k prostředku.

• V režimu publicNetworkAccess vynucení se nastavení přepíše pravidly zabezpečení sítě. Pokud je například vyhledávací služba s publicNetworkAccess nastavením enabled přidružená k hraniční síti v vynuceném režimu, bude přístup k vyhledávací službě stále řízen pravidly zabezpečení sítě.

Změna režimu přístupu k hraniční síti

1. Na portálu přejděte k hraničnímu prostředku zabezpečení sítě.

2. V nabídce vlevo vyberte Prostředky .

3. Najděte trezor klíčů v tabulce.

4. Vyberte tři tečky v pravém rohu řádku vyhledávací služby. V místní nabídce vyberte Změnit režim přístupu.

5. Vyberte požadovaný režim přístupu a vyberte Použít.

Povolení protokolování síťového přístupu

Viz diagnostické protokoly pro hraniční síť.

Reference

• Referenční informace k šabloně ARM: Referenční informace k šabloně ARM služby Azure Key Vault
• Příkazy Azure CLI: az keyvault network-rule
• Rutiny Azure PowerShellu: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Další kroky

• Integrace služby Key Vault se službou Azure Private Link
• Koncové body služby pro virtuální síť pro Key Vault
• Přístup ke službě Key Vault za bránou firewall
• Zabezpečení služby Azure Key Vault