Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása

  • Cikk

Ez a dokumentum részletesen ismerteti az Azure Key Vault tűzfalának különböző konfigurációit. A beállítások konfigurálására vonatkozó részletes utasításokat az Azure Key Vault hálózati beállításainak konfigurálása című témakörben találja.

További információ: Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai.

Tűzfalbeállítások

Ez a szakasz az Azure Key Vault tűzfal konfigurálásának különböző módjait ismerteti.

A Key Vault tűzfala le van tiltva (alapértelmezett)

Ha új kulcstartót hoz létre, alapértelmezés szerint az Azure Key Vault tűzfala le van tiltva. Minden alkalmazás és Azure-szolgáltatás hozzáférhet a kulcstartóhoz, és kéréseket küldhet a kulcstartónak. Ez a konfiguráció nem jelenti azt, hogy bármely felhasználó végrehajthat műveleteket a kulcstartón. A kulcstartó továbbra is korlátozza a kulcstartóban tárolt titkos kulcsokhoz, kulcsokhoz és tanúsítványokhoz való hozzáférést a Microsoft Entra-hitelesítés és a hozzáférési szabályzat engedélyeinek megkövetelésével. A Key Vault-hitelesítés részletesebb megismeréséhez lásd : Hitelesítés az Azure Key Vaultban. További információ: Access Azure Key Vault tűzfal mögött.

Key Vault tűzfal engedélyezve (csak megbízható szolgáltatások esetén)

Amikor engedélyezi a Key Vault tűzfalat, a "Megbízható Microsoft-szolgáltatások megkerülhetik ezt a tűzfalat" lehetőséget kap. A megbízható szolgáltatások listája nem terjed ki minden azure-szolgáltatásra. Az Azure DevOps például nem szerepel a megbízható szolgáltatások listájában. Ez nem jelenti azt, hogy a megbízható szolgáltatások listájában nem szereplő szolgáltatások nem megbízhatók vagy nem biztonságosak. A megbízható szolgáltatások listája magában foglalja azokat a szolgáltatásokat, amelyekben a Microsoft vezérli a szolgáltatáson futó összes kódot. Mivel a felhasználók egyéni kódot írhatnak az Azure-szolgáltatásokban, például az Azure DevOpsban, a Microsoft nem biztosít általános jóváhagyást a szolgáltatáshoz. Ezenkívül csak azért, mert egy szolgáltatás megjelenik a megbízható szolgáltatáslistában, nem jelenti azt, hogy minden forgatókönyv esetében engedélyezve van.

Annak megállapításához, hogy a használni kívánt szolgáltatás szerepel-e a megbízható szolgáltatáslistában, tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait. Útmutatóért kövesse a Portal, az Azure CLI és a PowerShell útmutatóját

A Key Vault tűzfala engedélyezve van (IPv4-címek és -tartományok – Statikus IP-címek)

Ha engedélyezni szeretne egy adott szolgáltatást a Key Vault tűzfalon keresztüli hozzáféréshez, hozzáadhatja annak IP-címét a Key Vault tűzfal engedélyezési listájához. Ez a konfiguráció a statikus IP-címeket vagy jól ismert tartományokat használó szolgáltatások esetében a legjobb. Ebben az esetben 1000 CIDR-tartomány van korlátozva.

Egy Azure-erőforrás( például webalkalmazás vagy logikai alkalmazás) IP-címének vagy tartományának engedélyezéséhez hajtsa végre az alábbi lépéseket.

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki az erőforrást (a szolgáltatás adott példányát).
  3. Válassza a Tulajdonságok panelt Gépház alatt.
  4. Keresse meg az IP-cím mezőt.
  5. Másolja ki ezt az értéket vagy tartományt, és írja be a key vault tűzfal engedélyezési listájába.

Ha egy teljes Azure-szolgáltatást szeretne engedélyezni a Key Vault tűzfalán keresztül, használja az Azure nyilvánosan dokumentált adatközponti IP-címeinek listáját. Keresse meg a kívánt szolgáltatáshoz társított IP-címeket a kívánt régióban, és adja hozzá ezeket az IP-címeket a key vault tűzfalához.

Key Vault tűzfal engedélyezve (virtuális hálózatok – dinamikus IP-címek)

Ha egy Azure-erőforrást, például egy virtuális gépet a kulcstartón keresztül próbál engedélyezni, előfordulhat, hogy nem tudja statikus IP-címeket használni, és nem szeretné engedélyezni az Azure-beli virtuális gépek összes IP-címét a kulcstartó eléréséhez.

Ebben az esetben létre kell hoznia az erőforrást egy virtuális hálózaton belül, majd engedélyeznie kell az adott virtuális hálózat és alhálózat forgalmának elérését a kulcstartóhoz.

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki a konfigurálni kívánt kulcstartót.
  3. Válassza a Hálózatkezelés panelt.
  4. Válassza a "+ Meglévő virtuális hálózat hozzáadása" lehetőséget.
  5. Válassza ki a key vault tűzfalán keresztül engedélyezni kívánt virtuális hálózatot és alhálózatot.

Ha tudni szeretné, hogyan konfigurálhat privát kapcsolatkapcsolatot a kulcstartón, tekintse meg a dokumentumot itt.

Fontos

A tűzfalszabályok életbe lépése után a felhasználók csak akkor hajthatnak végre Key Vault-adatsík-műveleteket, ha a kérések engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. Ez hatással van a más Azure-szolgáltatások által használt Key Vault-pickerre is. Előfordulhat, hogy a felhasználók megtekinthetik a kulcstartók listáját, de a kulcsokat nem, ha a tűzfalszabályok megakadályozzák az ügyfélgépüket.

Megjegyzés:

Vegye figyelembe a következő konfigurációs korlátozásokat:

  • Legfeljebb 200 virtuális hálózati szabály és 1000 IPv4-szabály engedélyezett.
  • Az IP-hálózati szabályok csak nyilvános IP-címekre engedélyezettek. A magánhálózatok számára fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10., 172.16-31 és 192.168. címekkel kezdődő címeket.
  • Jelenleg csak az IPv4-címek támogatottak.

Nyilvános hozzáférés letiltva (csak privát végpont)

A hálózati biztonság javítása érdekében konfigurálhatja a tárolót úgy, hogy letiltsa a nyilvános hozzáférést. Ez megtagadja az összes nyilvános konfigurációt, és csak privát végpontokon keresztül engedélyezi a kapcsolatokat.

References

Következő lépések