Megosztás a következőn keresztül:

Az Azure Key Vault hálózati biztonságának konfigurálása

Ez a cikk az Azure Key Vault különböző hálózati biztonsági konfigurációit ismerteti, és részletes útmutatást nyújt a konfigurálásukhoz. A biztonsági ajánlott eljárásokért tekintse meg az Azure Key Vault biztonságossá tételét: Hálózati biztonság.

A virtuális hálózati szolgáltatásvégpontokról további információt az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai című témakörben talál.

Tűzfalbeállítások

Ez a szakasz az Azure Key Vault tűzfal konfigurálásának különböző módjait ismerteti.

A Key Vault tűzfala le van tiltva (alapértelmezett)

Ha új kulcstartót hoz létre, alapértelmezés szerint az Azure Key Vault tűzfala le van tiltva. Minden alkalmazás és Azure-szolgáltatás hozzáférhet a kulcstartóhoz, és kéréseket küldhet a kulcstartónak. Ez a konfiguráció nem jelenti azt, hogy bármely felhasználó végrehajthat műveleteket a kulcstartón. A kulcstartó továbbra is korlátozza a kulcstartóban tárolt titkos kulcsokhoz, kulcsokhoz és tanúsítványokhoz való hozzáférést a Microsoft Entra-hitelesítés és a hozzáférési szabályzat engedélyeinek megkövetelésével. A Key Vault-hitelesítés részletesebb megismeréséhez lásd : Hitelesítés az Azure Key Vaultban. További információ: Access Azure Key Vault tűzfal mögött.

A Key Vault tűzfala engedélyezve van (csak megbízható szolgáltatások esetén)

Amikor engedélyezi a Key Vault tűzfalat, a rendszer "Engedélyezi a megbízható Microsoft-szolgáltatások számára a tűzfal megkerülését". A megbízható szolgáltatások listája nem terjed ki minden azure-szolgáltatásra. Az Azure DevOps például nem szerepel a megbízható szolgáltatások listájában. Ez nem jelenti azt, hogy a megbízható szolgáltatások listájában nem szereplő szolgáltatások nem megbízhatók vagy nem biztonságosak. A megbízható szolgáltatások listája magában foglalja azokat a szolgáltatásokat, amelyekben a Microsoft vezérli a szolgáltatáson futó összes kódot. Mivel a felhasználók egyéni kódot írhatnak az Azure-szolgáltatásokban, például az Azure DevOpsban, a Microsoft nem biztosít általános jóváhagyást a szolgáltatáshoz. Ezenkívül csak azért, mert egy szolgáltatás megjelenik a megbízható szolgáltatáslistában, nem jelenti azt, hogy minden forgatókönyv esetében engedélyezve van.

Annak megállapításához, hogy a használni kívánt szolgáltatás szerepel-e a megbízható szolgáltatáslistában, tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait.

Annak engedélyezése, hogy a megbízható szolgáltatások megkerüljék a tűzfalat:

  1. Keresse meg a kulcstárt az Azure portálon.
  2. Válassza a Bal oldali menü Hálózatkezelés elemét.
  3. A Tűzfalak és virtuális hálózatok lap Kivétel területén válassza a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez lehetőséget.
  4. Válassza az Mentésgombot.

A Key Vault tűzfala engedélyezve van (IPv4-címek és -tartományok – statikus IP-címek)

Ha engedélyezni szeretne egy adott szolgáltatást a Key Vault tűzfalon keresztüli hozzáféréshez, hozzáadhatja annak IP-címét a Key Vault tűzfal engedélyezési listájához. Ez a konfiguráció a statikus IP-címeket vagy jól ismert tartományokat használó szolgáltatások esetében a legjobb. Ebben az esetben 1000 CIDR-tartomány van korlátozva.

Egy Azure-erőforrás( például webalkalmazás vagy logikai alkalmazás) IP-címének vagy tartományának engedélyezéséhez hajtsa végre az alábbi lépéseket.

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki az erőforrást (a szolgáltatás adott példányát).
  3. Válassza a Tulajdonságok panelt a Beállítások területen.
  4. Keresse meg az IP-cím mezőt.
  5. Másolja ki ezt az értéket vagy tartományt, és írja be a key vault tűzfal engedélyezési listájába.

Ha egy teljes Azure-szolgáltatást szeretne engedélyezni a Key Vault tűzfalán keresztül, használja az Azure nyilvánosan dokumentált adatközponti IP-címeinek listáját. Keresse meg a kívánt szolgáltatáshoz társított IP-címeket a kívánt régióban, és adja hozzá ezeket az IP-címeket a key vault tűzfalához.

IP-címszabályok hozzáadása:

  1. Keresse meg a kulcstárolót, és válassza a Hálózat lehetőséget.
  2. A Tűzfalak és virtuális hálózatok lap Tűzfal területén adja meg az IPv4-címeket vagy CIDR-tartományokat.
  3. Válassza az Mentésgombot.

A Key Vault tűzfala engedélyezve van (virtuális hálózatok – dinamikus IP-címek)

Ha egy Azure-erőforrást, például egy virtuális gépet a kulcstartón keresztül próbál engedélyezni, előfordulhat, hogy nem tudja statikus IP-címeket használni, és nem szeretné engedélyezni az Azure-beli virtuális gépek összes IP-címét a kulcstartó eléréséhez.

Ebben az esetben létre kell hoznia az erőforrást egy virtuális hálózaton belül, majd engedélyeznie kell az adott virtuális hálózat és alhálózat forgalmának elérését a kulcstartóhoz.

  1. Keresse meg a konfigurálni kívánt kulcstartót.
  2. Válassza a Hálózatkezelés lehetőséget, majd a Tűzfalak és virtuális hálózatok lapot.
  3. A Hozzáférés engedélyezése a forrásból csoportban válassza a Nyilvános hozzáférés engedélyezése adott virtuális hálózatokról és IP-címekről lehetőséget.
  4. Válassza a + Virtuális hálózat hozzáadása> és Meglévő virtuális hálózatok hozzáadása lehetőséget.
  5. Válassza ki a hozzáférést engedélyezni kívánt előfizetést, virtuális hálózatokat és alhálózatokat. Ha a szolgáltatásvégpontok nincsenek engedélyezve, válassza az Engedélyezés lehetőséget, amikor a rendszer kéri. A hatás érvénybe lépése akár 15 percet is igénybe vehet.
  6. Válassza a Hozzáadás, majd a Mentés lehetőséget.

Új virtuális hálózat hozzáadásához válassza a + Virtuális hálózat> hozzáadásaúj virtuális hálózat hozzáadása lehetőséget, és kövesse az utasításokat.

Ha szeretné megtudni, hogyan konfigurálhat privát kapcsolatkapcsolatot a kulcstartón, olvassa el a Key Vault integrálása az Azure Private Linkkel című témakört.

Hálózati szabályok listázása

A kulcstartódhoz konfigurált aktuális hálózati szabályok megtekintéséhez:

  1. Keresse meg a kulcstartó tárolót, és válassza a Hálózat lehetőséget.
  2. Tekintse át a konfigurált virtuális hálózatokat és IP-címeket a Tűzfalak és a virtuális hálózatok lapon.

Hálózati szabályok eltávolítása

  1. Keresse meg a kulcstartó tárolót, és válassza a Hálózatkezelés.
  2. A Tűzfalak és virtuális hálózatok lapon válassza az eltávolítani kívánt szabály melletti törlés ikont.
  3. Válassza az Mentésgombot.

Fontos

A tűzfalszabályok életbe lépése után a felhasználók csak akkor hajthatnak végre Key Vault-adatsík-műveleteket, ha a kérések engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. Ez hatással van a más Azure-szolgáltatások által használt Key Vault-pickerre is. Előfordulhat, hogy a felhasználók megtekinthetik a kulcstartók listáját, de a kulcsokat nem, ha a tűzfalszabályok megakadályozzák az ügyfélgépüket.

Feljegyzés

Vegye figyelembe a következő konfigurációs korlátozásokat:

  • Legfeljebb 200 virtuális hálózati szabály és 1000 IPv4-szabály engedélyezett.
  • Az IP-hálózati szabályok csak nyilvános IP-címekre engedélyezettek. A magánhálózatok számára fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10., 172.16-31 és 192.168. címekkel kezdődő címeket.
  • Jelenleg csak az IPv4-címek támogatottak.

Nyilvános hozzáférés letiltva (csak privát végpont)

A hálózati biztonság javítása érdekében konfigurálhatja a tárolót úgy, hogy letiltsa a nyilvános hozzáférést. Ez letiltja az összes nyilvános konfigurációt, és csak privát végpontokon keresztül engedélyezi a kapcsolatokat.

A Private Link beállítási utasításait a Key Vault és az Azure Private Link integrálása című témakörben találja.

A nyilvános hozzáférés letiltása a Private Link konfigurálása után:

  1. Keresse meg a kulcs tárolót az Azure Portalon.
  2. Válassza a Bal oldali menü Hálózatkezelés elemét.
  3. Válassza a Tűzfalak és a virtuális hálózatok lapot.
  4. A Hozzáférés engedélyezése innen csoportban válassza a Nyilvános hozzáférés letiltása lehetőséget.
  5. Válassza az Mentésgombot.

Fontos

A nyilvános hozzáférés letiltása után a kulcstartó csak privát végpontokon keresztül érhető el. A nyilvános hozzáférés letiltása előtt győződjön meg arról, hogy a privát végpont konfigurációja befejeződött.

Hálózati biztonsági szegély

A Network Security Perimeter lehetővé teszi a szervezetek számára, hogy logikai hálózati elkülönítési határt határozzanak meg a szervezet virtuális hálózatán kívül üzembe helyezett PaaS-erőforrásokhoz (például Az Azure Key Vaulthoz, az Azure Storage-hoz és az SQL Database-hez). Korlátozza a nyilvános hálózati hozzáférést a PaaS-erőforrásokhoz a peremhálózaton kívül, a hozzáférés a nyilvános bejövő és kimenő hozzáférésre vonatkozó explicit hozzáférési szabályokkal mentesíthető.

A hálózati biztonsági szegély mostantól általánosan elérhető a támogatott erőforrásokhoz. Lásd a beépített privát kapcsolati erőforrásokat és a hálózati biztonsági szegély korlátait. További információ: Áttérés hálózati biztonsági szegélyre.

Fontos

A privát végpont forgalmát rendkívül biztonságosnak tekintik, ezért nem vonatkoznak a hálózati biztonsági szegélyszabályokra. Minden más forgalomra, beleértve a megbízható szolgáltatásokat is, a hálózati biztonsági szegélyszabályok vonatkoznak, ha a kulcstartó szegélyhez van társítva.

Hálózati biztonsági szegélyrel:

  • A szegélyhálózaton belüli összes erőforrás képes kommunikálni bármely más erőforrással a szegélyen belül.
  • A külső hozzáférés a következő vezérlőkkel érhető el:
    • A nyilvános bejövő hozzáférés jóváhagyható az ügyfél hálózati és identitásattribútumával, például a forrás IP-címekkel, előfizetésekkel.
    • A nyilvános kimenő forgalom a külső célhelyek teljes tartományneveinek (FQDN-jeinek) használatával hagyható jóvá.
  • A diagnosztikai naplók engedélyezve vannak a PaaS-erőforrások számára a naplózás és a megfelelőség peremhálózatán belül.

Korlátozások és korlátozottságok

  • A nyilvános hálózati hozzáférés letiltása továbbra is lehetővé teszi a megbízható szolgáltatásokat. A nyilvános hálózati hozzáférés biztonságossá váltása szegély szerint, majd tiltja a megbízható szolgáltatásokat még akkor is, ha a megbízható szolgáltatások engedélyezésére van konfigurálva.
  • Az Azure Key Vault tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások. Ez magában foglalja a titkos kulcsok vagy kulcsok ARM-sablonokon keresztül történő üzembe helyezését, amelyek a Key Vault adatsík végpontja () helyett az Azure Resource Manager vezérlősík végpontját (management.azure.com<vault-name>.vault.azure.net) használják. További információ: Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai.
  • Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
  • Az Azure Key Vault nem rendelkezik a kimenő szabályok fogalmával, a kulcstartót továbbra is társíthatja a peremhálózathoz kimenő szabályokkal, de a kulcstartó nem fogja használni őket.
  • Előfordulhat, hogy az Azure Key Vault hálózati biztonsági szegélyelérési naplói nem rendelkeznek a "count" vagy a "timeGeneratedEndTime" mezőkkel.

Hálózati biztonsági perem társítása egy kulcstárral – Azure PowerShell

Ha egy hálózati biztonsági szegélyt egy kulcstartóhoz szeretne társítani az Azure PowerShellben, kövesse az alábbi utasításokat.

Hálózati biztonsági szegély társítása kulcstartóval – Azure CLI

Ha egy hálózati biztonsági szegélyt egy kulcstartóhoz szeretne társítani az Azure CLI-ben, kövesse az alábbi utasításokat.

Hálózati biztonsági szegélyek hozzáférési módjai

A hálózati biztonsági szegély két különböző hozzáférési módot támogat a társított erőforrásokhoz:

Üzemmód Leírás
Áttűnési mód (korábbi nevén "Tanulási mód") Az alapértelmezett hozzáférési mód. Áttűnési módban a hálózati biztonsági szegély naplózza a keresési szolgáltatás felé menő összes forgalmat, amelyet megtagadtak volna, ha a szegély kényszerített módban lett volna. Ez lehetővé teszi, hogy a hálózati rendszergazdák megismerhessék a keresési szolgáltatás meglévő hozzáférési mintáit a hozzáférési szabályok érvényesítése előtt.
Kényszerített mód Kényszerített módban a hálózati biztonsági peremhálózat naplózza és tagadja az összes olyan forgalmat, amelyet a hozzáférési szabályok nem kifejezetten engedélyeznek.

Hálózati biztonsági szegély és kulcstartó hálózati beállításai

A publicNetworkAccess beállítás meghatározza, hogy a kulcstartó társítva van-e egy hálózati biztonsági szegélyrel.

  • Áttűnési módban az publicNetworkAccess beállítás szabályozza az erőforráshoz való nyilvános hozzáférést.

  • Kényszerített módban a publicNetworkAccess beállítást felülírják a hálózati biztonsági szegélyszabályok. Ha például egy beállítással publicNetworkAccess rendelkező enabled keresési szolgáltatás egy hálózati biztonsági szegélyhez van társítva kényszerített módban, a keresési szolgáltatáshoz való hozzáférést továbbra is a hálózati biztonsági szegély hozzáférési szabályai vezérlik.

A hálózati biztonsági szegély hozzáférési módjának módosítása

  1. Keresse meg a hálózati biztonsági szegélyerőforrást a portálon.

  2. Válassza az Erőforrások lehetőséget a bal oldali menüben.

  3. Keresse meg a kulcstartót a táblázatban.

  4. Válassza ki a keresési szolgáltatás sorának jobb szélén található három elemet. Válassza a Hozzáférési mód módosítása lehetőséget az előugró ablakban.

  5. Válassza ki a kívánt hozzáférési módot, és válassza az Alkalmaz lehetőséget.

Naplózási hálózati hozzáférés engedélyezése

Lásd a hálózati biztonsági szegély diagnosztikai naplóit.

Hivatkozások

Következő lépések

  • Last updated on