Configurare reti virtuali e firewall di Azure Key Vault

Questo documento illustra in dettaglio le diverse configurazioni per un firewall di Azure Key Vault. Per seguire le istruzioni dettagliate su come configurare queste impostazioni, vedere Configurare le impostazioni di rete di Azure Key Vault.

Per altre informazioni, vedere Endpoint servizio di rete virtuale per Azure Key Vault.

Impostazioni del firewall

Questa sezione descrive i vari modi in cui è possibile configurare il firewall di Azure Key Vault.

Firewall Key Vault disabilitato (impostazione predefinita)

Per impostazione predefinita, quando si crea un nuovo insieme di credenziali delle chiavi, il firewall di Azure Key Vault è disabilitato. Tutte le applicazioni e i servizi di Azure possono accedere e inviare richieste all'insieme di credenziali delle chiavi. Questa configurazione non significa che qualsiasi utente sarà in grado di eseguire operazioni nell'insieme di credenziali delle chiavi. L'insieme di credenziali delle chiavi applica comunque restrizioni dell'accesso a segreti, chiavi e certificati archiviati al suo interno richiedendo l'autenticazione di Microsoft Entra e le autorizzazioni dei criteri di accesso. Per capire in maggior dettaglio l'autenticazione dell'insieme di credenziali delle chiavi, vedere Autenticazione in Azure Key Vault. Per altre informazioni, vedere Accedere ad Azure Key Vault protetto da firewall.

Firewall di Key Vault abilitato (solo servizi attendibili)

Quando si abilita il firewall di Key Vault, viene offerta l'opzione 'Consentire ai servizi Microsoft attendibili di ignorare il firewall?' L'elenco dei servizi attendibili non copre ogni singolo servizio di Azure. Ad esempio, Azure DevOps non è presente nell'elenco dei servizi attendibili. Ciò non implica che i servizi non inclusi nell'elenco non siano considerati attendibili o sicuri. L'elenco di servizi attendibili include i servizi per cui Microsoft controlla tutto il codice eseguito al loro interno. Poiché gli utenti possono scrivere codice personalizzato nei servizi di Azure, ad esempio Azure DevOps, Microsoft non offre la possibilità di creare un'approvazione generale per il servizio. Inoltre, il semplice fatto che un servizio sia incluso nell'elenco di servizi attendibili non significa che sia consentito per tutti gli scenari.

Per determinare se un servizio che si sta tentando di usare è presente nell'elenco dei servizi attendibili, vedere Endpoint servizio di rete virtuale per Azure Key Vault. Per una guida pratica, seguire le istruzioni riportate qui per il portale, l'interfaccia della riga di comando di Azure e PowerShell

Firewall di Key Vault abilitato (indirizzi e intervalli IPv4 - IP statici)

Per autorizzare un particolare servizio ad accedere all'insieme di credenziali delle chiavi attraverso il firewall di Key Vault, è possibile aggiungere l'indirizzo IP corrispondente all'elenco di indirizzi consentiti del firewall. Questa configurazione è ottimale per i servizi che usano indirizzi IP statici o intervalli noti. Per questo caso è previsto un limite di 1000 intervalli CIDR.

Per consentire un indirizzo IP o un intervallo di una risorsa di Azure, ad esempio un'app Web o App per la logica, seguire questa procedura.

1. Accedi al portale di Azure.
2. Selezionare la risorsa (istanza specifica del servizio).
3. Fare clic sul pannello Proprietà in Impostazioni.
4. Cercare il campo Indirizzo IP.
5. Copiare questo valore o intervallo e immetterlo nell'elenco elementi consentiti del firewall di Key Vault.

Per consentire un intero servizio di Azure attraverso il firewall di Key Vault, usare l'elenco di indirizzi IP di data center documentati pubblicamente per Azure disponibile qui. Trovare gli indirizzi IP associati al servizio desiderato nell'area scelta e aggiungerli al firewall di Key Vault.

Firewall di Key Vault abilitato (reti virtuali - IP dinamici)

Se si prova ad autorizzare una risorsa di Azure, ad esempio una macchina virtuale, nell'insieme di credenziali delle chiavi, potrebbe non essere possibile usare indirizzi IP statici e non è consigliabile consentire a tutti gli indirizzi IP per le macchine virtuali di Azure di accedere all'insieme di credenziali delle chiavi.

In questo caso, è necessario creare la risorsa all'interno di una rete virtuale e quindi consentire l'accesso all'insieme di credenziali delle chiavi al traffico proveniente dalla rete virtuale e dalla subnet specifiche.

1. Accedere al portale di Azure.
2. Selezionare l'insieme di credenziali delle chiavi da configurare.
3. Selezionare il pannello 'Rete'.
4. Selezionare '+ Aggiungi rete virtuale esistente'.
5. Selezionare la rete virtuale e la subnet da autorizzare attraverso il firewall di Key Vault.

Firewall di Key Vault abilitato (collegamento privato)

Per informazioni su come configurare una connessione di collegamento privato nell'insieme di credenziali delle chiavi, vedere il documento qui.

Importante

Quando le regole del firewall sono operative, gli utenti possono eseguire le operazioni del piano dati Key Vault solo se le loro richieste hanno origine da reti virtuali o intervalli di indirizzi IPv4 consentiti. Questo vale anche per l'accesso a Key Vault dal portale di Azure. Benché gli utenti possano accedere a un insieme di credenziali delle chiavi dal portale di Azure, potrebbero non essere in grado di elencare chiavi, segreti o certificati se il computer client in uso non è presente nell'elenco dei computer consentiti. Ciò influisce anche sul selettore di Key Vault usato da altri servizi di Azure. Se le regole del firewall bloccano i computer client, gli utenti potrebbero essere in grado di visualizzare l'elenco degli insiemi di credenziali delle chiavi ma non di elencare le chiavi.

Nota

Tenere presente le seguenti limitazioni di configurazione:

• Sono consentite al massimo 200 regole di rete virtuale e 1000 regole IPv4.
• Le regole di rete IP sono consentite solo per gli indirizzi IP pubblici. Gli intervalli di indirizzi IP riservati per le reti private (come da definizione in RFC 1918) non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10., 172.16-31. e 192.168..
• Attualmente sono supportati solo gli indirizzi IPv4.

Accesso pubblico disabilitato (solo endpoint privato)

Per migliorare la sicurezza di rete, è possibile configurare l'insieme di credenziali per disabilitare l'accesso pubblico. In questo modo verranno negate tutte le configurazioni pubbliche e verranno consentite solo le connessioni tramite endpoint privati.

Riferimenti

• Informazioni di riferimento sui modelli di ARM: Informazioni di riferimento sui modelli di Azure Resource Manager per Azure Key Vault
• Comandi dell'interfaccia della riga di comando di Azure: az keyvault network-rule
• Cmdlet di Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Passaggi successivi

• Endpoint servizio di rete virtuale per Key Vault
• Panoramica della sicurezza di Azure Key Vault