Konfigurace zabezpečení sítě pro Azure Key Vault

Tento článek popisuje různé konfigurace zabezpečení sítě pro Azure Key Vault a obsahuje podrobné pokyny pro jejich konfiguraci. Osvědčené postupy zabezpečení najdete v tématu Zabezpečení služby Azure Key Vault: Zabezpečení sítě.

Další informace o koncových bodech služeb virtuální sítě najdete v tématu Koncové body služby virtuální sítě pro Azure Key Vault.

Nastavení brány firewall

Tato část popisuje různé způsoby konfigurace brány firewall služby Azure Key Vault.

Firewall služby Key Vault je deaktivován (výchozí)

Ve výchozím nastavení, když vytvoříte nový trezor klíčů, je brána firewall služby Azure Key Vault zakázaná. Všechny aplikace a služby Azure mají přístup k trezoru klíčů a odesílat požadavky do trezoru klíčů. Tato konfigurace neznamená, že každý uživatel bude moct s trezorem klíčů provádět operace. Trezor klíčů stále omezuje přístup k tajemství, klíčům a certifikátům uloženým v trezoru klíčů tím, že vyžaduje ověřování Microsoft Entra a oprávnění zásad přístupu. Podrobnější informace o ověřování trezoru klíčů najdete v tématu Ověřování ve službě Azure Key Vault. Další informace najdete v tématu Přístup ke službě Azure Key Vault za bránou firewall.

Povolit firewall Key Vault (pouze důvěryhodné služby)

Když povolíte bránu firewall služby Key Vault, máte tu možnost 'Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall'. Seznam důvěryhodných služeb nepokrývá všechny jednotlivé služby Azure. Například Azure DevOps není v seznamu důvěryhodných služeb. Neznamená to, že služby, které se nezobrazují v seznamu důvěryhodných služeb, nejsou důvěryhodné nebo nezabezpečené. Seznam důvěryhodných služeb zahrnuje služby, ve kterých Microsoft řídí veškerý kód, který běží ve službě. Vzhledem k tomu, že uživatelé můžou psát vlastní kód ve službách Azure, jako je Azure DevOps, Microsoft neposkytuje možnost vytvořit pro službu obecné schválení. Kromě toho to, že se služba zobrazuje v seznamu důvěryhodných služeb, neznamená, že je povolená pro všechny scénáře.

Pokud chcete zjistit, jestli je služba, kterou se pokoušíte použít, na seznamu důvěryhodných služeb, podívejte se na koncové body služeb virtuální sítě pro Azure Key Vault.

Aby bylo možné důvěryhodným službám obejít bránu firewall:

  1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
  2. V nabídce vlevo vyberte Sítě .
  3. Na kartě Brány firewall a virtuální sítě v části Výjimka vyberte Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall.
  4. Vyberte Uložit.

Povolená brána firewall služby Key Vault (adresy a rozsahy IPv4 – statické IP adresy)

Pokud chcete autorizovat konkrétní službu pro přístup k klíčovému trezoru přes firewall Key Vault, můžete její IP adresu přidat do seznamu povolených IP adres v firewallu klíčového trezoru. Tato konfigurace je nejvhodnější pro služby, které používají statické IP adresy nebo dobře známé rozsahy. Pro tento případ existuje limit 1000 rozsahů CIDR.

Pokud chcete povolit IP adresu nebo rozsah prostředku Azure, například webovou aplikaci nebo aplikaci logiky, proveďte následující kroky.

  1. Přihlaste se k portálu Azure.
  2. Vyberte prostředek (konkrétní instanci služby).
  3. Vyberte panel Vlastnosti v části Nastavení.
  4. Vyhledejte pole IP adresa.
  5. Zkopírujte tuto hodnotu nebo rozsah a zadejte ji do povoleného seznamu úložiště klíčů pro firewall.

Pokud chcete umožnit celé službě Azure projít přes firewall služby Key Vault, použijte seznam veřejně zdokumentovaných IP adres datového centra pro Azure. Vyhledejte IP adresy přidružené ke službě, kterou požadujete v dané oblasti, a přidejte tyto IP adresy do firewallu trezoru klíčů.

Chcete-li přidat pravidla IP adres:

  1. Přejděte do trezoru klíčů a vyberte Sítě.
  2. Na kartě Brány firewall a virtuální sítě v části Brána firewall zadejte adresy IPv4 nebo rozsahy CIDR.
  3. Vyberte Uložit.

Brána firewall Key Vault povolena (virtuální sítě – dynamické IP adresy)

Pokud se pokoušíte povolit prostředek Azure, jako je virtuální počítač prostřednictvím trezoru klíčů, možná nebudete moct používat statické IP adresy a možná nechcete povolit přístup ke svému trezoru klíčů pro všechny IP adresy virtuálních počítačů Azure.

V takovém případě byste měli vytvořit prostředek ve virtuální síti a pak povolit provoz z konkrétní virtuální sítě a podsítě pro přístup k vašemu trezoru klíčů.

  1. Přejděte do trezoru klíčů, který chcete nakonfigurovat.
  2. Vyberte Sítě a poté vyberte Brány firewall a virtuální sítě kartu.
  3. V části Povolit přístup vyberte Povolit veřejný přístup z konkrétních virtuálních sítí a IP adres.
  4. Vyberte + Přidat virtuální síť>Přidat existující virtuální sítě.
  5. Vyberte předplatné, virtuální sítě a podsítě, ke kterým chcete povolit přístup. Pokud koncové body služby nejsou povolené, po zobrazení výzvy vyberte Povolit . Může trvat až 15 minut, než se projeví.
  6. Vyberte Přidat a pak vyberte Uložit.

Pokud chcete přidat novou virtuální síť, vyberte + Přidat virtuální síť Přidat> a postupujte podle pokynů.

Informace o konfiguraci připojení privátního propojení ve vašem trezoru klíčů najdete v tématu Integrace služby Key Vault se službou Azure Private Link.

Výpis pravidel sítě

Zobrazení aktuálních pravidel sítě nakonfigurovaných pro váš trezor klíčů:

  1. Přejděte do trezoru klíčů a vyberte Sítě.
  2. Zkontrolujte nakonfigurované virtuální sítě a IP adresy na kartě Firewally a virtuální sítě.

Odebrání pravidel sítě

  1. Přejděte do trezoru klíčů a vyberte Sítě.
  2. Na kartě Brány firewall a virtuální sítě vyberte ikonu pro odstranění vedle pravidla, které chcete odebrat.
  3. Vyberte Uložit.

Důležité

Poté, co se uplatní pravidla firewallu, mohou uživatelé provádět operace na datové vrstvě služby Key Vault pouze tehdy, když jejich požadavky pocházejí z povolených virtuálních sítí nebo rozsahů adres IPv4. To platí také pro přístup ke službě Key Vault z webu Azure Portal. I když uživatelé můžou z webu Azure Portal přejít k trezoru klíčů, nemusí být schopni vypsat klíče, tajné kódy nebo certifikáty, pokud jejich klientský počítač není v seznamu povolených. To má vliv také na nástroj pro výběr Key Vault používaný jinými službami Azure. Uživatelé mohou vidět seznam klíčových trezorů, ale nemohou zobrazit seznam klíčů, pokud pravidla brány firewall blokují jejich klientský počítač.

Poznámka:

Mějte na paměti následující omezení konfigurace:

  • Je povoleno maximálně 200 pravidel virtuální sítě a 1 000 pravidel IPv4.
  • Pravidla sítě IP jsou povolená jenom pro veřejné IP adresy. Rozsahy IP adres vyhrazené pro privátní sítě (definované v rfc 1918) nejsou v pravidlech IP adres povolené. Mezi privátní sítě patří adresy začínající 10., 172.16-31 a 192.168..
  • V tuto chvíli jsou podporovány pouze adresy IPv4.

Veřejný přístup zakázaný (pouze privátní koncový bod)

Pokud chcete zvýšit zabezpečení sítě, můžete nakonfigurovat trezor tak, aby zakázal veřejný přístup. Tím se odepře všechny veřejné konfigurace a povolí se pouze připojení prostřednictvím privátních koncových bodů.

Úplné pokyny k nastavení služby Private Link najdete v tématu Integrace služby Key Vault se službou Azure Private Link.

Poznámka:

Co je stále veřejně viditelné po zakázání veřejného přístupu. Plně kvalifikovaný název domény trezoru klíčů (<vault-name>.vault.azure.net a jeho CNAME na privatelink.vaultcore.azure.net) se nadále překládá z veřejných resolverů DNS. Toto chování je záměrně a vyžaduje se pro Private Link překryvný model DNS, který používá každá Azure služba PaaS. dig nebo nslookup z veřejného internetu vrátí veřejnou regionální příchozí IP adresu pro Key Vault a tato příchozí IP odmítá všechny požadavky, pokud je veřejný přístup zakázaný. Veřejné DNS řešení nezveřejňuje, zda existuje soukromý koncový bod, jeho privátní IP adresu, pravidla sítě trezoru nebo jakýkoli obsah datové roviny. Další informace najdete v tématu Viditelnost privátního trezoru klíčů přes veřejné DNS a Konfigurace DNS pro privátní koncový bod Azure.

Zakázání veřejného přístupu po konfiguraci služby Private Link:

  1. Na webu Azure Portal přejděte ke svému trezoru klíčů.
  2. V nabídce vlevo vyberte Sítě .
  3. Vyberte kartu Brány firewall a virtuální sítě .
  4. V části Povolit přístup z vyberte Zakázat veřejný přístup.
  5. Vyberte Uložit.

Důležité

Po zakázání veřejného přístupu je trezor klíčů přístupný jenom prostřednictvím privátních koncových bodů. Před zakázáním veřejného přístupu se ujistěte, že je konfigurace privátního koncového bodu dokončená. Zakázání veřejného přístupu blokuje datové připojení; neodstraní veřejné DNS záznamy trezoru, které zůstanou dohledatelné podle návrhu.

Perimetr zabezpečení sítě

Hraniční síť zabezpečení sítě umožňuje organizacím definovat hranici izolace logické sítě pro prostředky PaaS (například Azure Key Vault, Azure Storage a SQL Database), které jsou nasazené mimo virtuální sítě vaší organizace. Omezuje přístup k prostředkům PaaS mimo hraniční síť. Přístup je možné vyloučit pomocí explicitních pravidel přístupu pro veřejné příchozí a odchozí přenosy.

Perimetr síťové bezpečnosti je nyní obecně dostupný pro podporované prostředky. Vizte Onboarded private-link resources a Omezení perimetru síťové bezpečnosti. Další informace najdete v tématu Přechod na síťový bezpečnostní perimetr.

Důležité

Provoz privátního koncového bodu se považuje za vysoce zabezpečený, a proto se na ně nevztahují pravidla zabezpečení sítě. Všechny ostatní přenosy, včetně důvěryhodných služeb, budou podléhat pravidlům síťového perimetru, pokud je klíčový trezor přidružený k síťovému perimetru.

S perimetrem síťové bezpečnosti:

  • Všechny prostředky uvnitř hraniční sítě můžou komunikovat s jakýmkoli jiným prostředkem v rámci hraniční sítě.
  • Externí přístup je k dispozici s následujícími ovládacími prvky:
    • Veřejný příchozí přístup je možné schválit pomocí atributů sítě a identity klienta, jako jsou zdrojové IP adresy nebo předplatná.
    • Veřejné odchozí komunikace lze schválit pomocí plně kvalifikovaných názvů domén (FQDN) externích cílů.
  • Diagnostické protokoly jsou povolené pro prostředky PaaS v rámci perimetru pro audit a shodu.

Omezení a limity

  • Nastavení přístupu k veřejné síti pro zakázání stále umožňuje důvěryhodné služby. Přepnutí přístupu k veřejné síti na zabezpečený podle perimetru následně zakáže důvěryhodné služby, i když jsou povolené v konfiguraci.
  • Pravidla brány firewall služby Azure Key Vault se vztahují pouze na operace datové roviny. Operace řídicí roviny nejsou podléhány omezením stanoveným v pravidlech brány firewall. To zahrnuje nasazení tajných kódů nebo klíčů prostřednictvím šablon ARM, které používají koncový bod řídicí roviny Azure Resource Manageru (management.azure.com) místo koncového bodu roviny dat služby Key Vault (<vault-name>.vault.azure.net). Další informace najdete v tématu Koncové body služby pro virtuální síť pro Azure Key Vault.
  • Pokud chcete získat přístup k datům pomocí nástrojů, jako je Azure Portal, musíte být na počítači v rámci důvěryhodné hranice, kterou navážete při konfiguraci pravidel zabezpečení sítě.
  • Azure Key Vault nemá žádný koncept odchozích pravidel. Trezor klíčů můžete stále přidružit k hraniční síti s odchozími pravidly, ale trezor klíčů je nebude používat.
  • Protokoly hraničního přístupu k zabezpečení sítě pro Azure Key Vault nemusí obsahovat pole Počet nebo TimeGeneratedEndTime.

Přidružení hraniční sítě k trezoru klíčů – Azure PowerShell

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure PowerShellu, postupujte podle těchto pokynů.

Přidružení hraniční sítě k trezoru klíčů – Azure CLI

Pokud chcete přidružit hraniční síť k trezoru klíčů v Azure CLI, postupujte podle těchto pokynů.

Režimy přístupu k perimetru síťové bezpečnosti

Síťová bezpečnostní perimetr podporuje dva různé způsoby přístupu k přidruženým prostředkům.

Režim Popis
Přechodový režim (dříve "Režim výuky") Výchozí režim přístupu. V režimu přechodu protokoluje bezpečnostní perimetr sítě veškerý provoz do vyhledávací služby, který by byl odepřen, pokud by byl perimetr ve vynuceném režimu. Správci sítě tak můžou před implementací pravidel přístupu porozumět existujícím vzorům přístupu vyhledávací služby.
Vynucený režim V vynuceném režimu protokol bezpečnostního obvodu sítě zapisuje a zamítá veškerý provoz, který není explicitně povolený pravidly přístupu.

Nastavení hraniční ochrany síťového zabezpečení a síťových podmínek úložiště klíčů

Nastavení publicNetworkAccess určuje přidružení úložiště klíčů k síťovému bezpečnostnímu perimetru.

  • V režimu přechodu publicNetworkAccess nastavení řídí veřejný přístup k prostředku.

  • V režimu publicNetworkAccess vynucení se toto nastavení přepíše pravidly zabezpečení perimetru sítě. Pokud je například vyhledávací služba s publicNetworkAccess nastavením enabled přidružená k obvodové síťové bezpečnosti ve vynuceném režimu, bude přístup k vyhledávací službě stále řízen pravidly zabezpečení sítě.

Změna režimu přístupu k síťovému bezpečnostnímu perimetru

  1. Na portálu přejděte k perimetrickému prostředku zabezpečení sítě.

  2. V nabídce vlevo vyberte Prostředky .

  3. Najděte trezor klíčů v tabulce.

  4. Vyberte tři tečky v pravém rohu řádku vyhledávací služby. V místní nabídce vyberte Změnit režim přístupu.

  5. Vyberte požadovaný režim přístupu a vyberte Použít.

Povolte protokolování síťového přístupu

Viz diagnostické protokoly pro síťový bezpečnostní perimetr.

Reference

Další kroky

  • Last updated on