Udostępnij za pośrednictwem

Zabezpieczenia sieci dla usługi Azure Key Vault

W tym dokumencie szczegółowo opisano różne konfiguracje zapory usługi Azure Key Vault. Aby wykonać instrukcje krok po kroku dotyczące konfigurowania tych ustawień, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.

Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi sieci wirtualnej dla Azure Key Vault.

Ustawienia zapory

W tej sekcji opisano różne sposoby konfigurowania zapory usługi Azure Key Vault.

Zapora usługi Key Vault jest wyłączona (ustawienie domyślne)

Domyślnie, gdy tworzysz nowy skarbiec kluczy, zapora usługi Azure Key Vault jest wyłączona. Wszystkie aplikacje i usługi platformy Azure mogą uzyskiwać dostęp do magazynu kluczy i wysyłać żądania do magazynu kluczy. Ta konfiguracja nie oznacza, że żaden użytkownik będzie mógł wykonywać operacje w magazynie kluczy. Magazyn kluczy nadal ogranicza dostęp do wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy, wymagając uprawnień uwierzytelniania i zasad dostępu firmy Microsoft. Aby lepiej zrozumieć uwierzytelnianie w usłudze Azure Key Vault, zobacz Uwierzytelnianie w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą.

Włączono zaporę usługi Key Vault (tylko zaufane usługi)

Po włączeniu zapory usługi Key Vault otrzymujesz opcję "Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory". Lista zaufanych usług nie obejmuje każdej pojedynczej usługi platformy Azure. Na przykład usługa Azure DevOps nie znajduje się na liście zaufanych usług. Nie oznacza to, że usługi, które nie są wyświetlane na liście zaufanych usług, nie są zaufane lub są niezabezpieczone. Lista zaufanych usług obejmuje usługi, w których firma Microsoft kontroluje cały kod uruchamiany w usłudze. Ponieważ użytkownicy mogą pisać kod niestandardowy w usługach platformy Azure, takich jak Azure DevOps, firma Microsoft nie udostępnia opcji tworzenia ogólnego zatwierdzenia dla usługi. Ponadto tylko dlatego, że usługa jest wyświetlana na liście zaufanych usług, nie oznacza, że jest dozwolona dla wszystkich scenariuszy.

Aby określić, czy usługa, której próbujesz użyć, znajduje się na liście zaufanych usług, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault. Aby uzyskać instrukcje, postępuj zgodnie z instrukcjami w witrynie Portal, interfejsie wiersza polecenia platformy Azure i programie PowerShell

Włączono zaporę usługi Key Vault (adresy IPv4 i zakresy — statyczne adresy IP)

Jeśli chcesz autoryzować określoną usługę do uzyskiwania dostępu do magazynu kluczy za pośrednictwem zapory usługi Key Vault, możesz dodać jej adres IP do listy dozwolonych zapory magazynu kluczy. Ta konfiguracja jest najlepsza w przypadku usług korzystających ze statycznych adresów IP lub dobrze znanych zakresów. W tym przypadku istnieje limit 1000 zakresów CIDR.

Aby zezwolić na użycie adresu IP lub zakresu zasobu platformy Azure, takiego jak aplikacja internetowa lub aplikacja logiki, wykonaj następujące kroki.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz zasób (określone wystąpienie usługi).
  3. Wybierz blok Właściwości w obszarze Ustawienia.
  4. Znajdź pole Adres IP.
  5. Skopiuj tę wartość lub zakres i wprowadź ją na liście dozwolonych zapory magazynu kluczy.

Aby zezwolić na dostęp do całej usługi Azure przez zaporę Key Vault, użyj listy publicznie udokumentowanych adresów IP centrów danych dla Azure tutaj. Znajdź adresy IP skojarzone z usługą, którą chcesz znaleźć w żądanym regionie, i dodaj te adresy IP do zapory magazynu kluczy.

Włączono zaporę usługi Key Vault (sieci wirtualne — dynamiczne adresy IP)

Jeśli próbujesz zezwolić na dostęp do zasobu platformy Azure, takiego jak maszyna wirtualna, przez magazyn kluczy, możesz nie móc używać statycznych adresów IP i możesz nie chcieć zezwalać na dostęp do magazynu kluczy wszystkim adresom IP maszyn wirtualnych w Azure.

W tym przypadku należy utworzyć zasób w sieci wirtualnej, a następnie zezwolić na dostęp do magazynu kluczy dla ruchu z określonej sieci wirtualnej i podsieci.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy, który chcesz skonfigurować.
  3. Wybierz blok "Sieć".
  4. Wybierz pozycję "+ Dodaj istniejącą sieć wirtualną".
  5. Wybierz sieć wirtualną i podsieć, które chcesz dodać do reguł zapory magazynu kluczy.

Aby się dowiedzieć, jak skonfigurować prywatne połączenie w skrytce kluczy, zobacz dokument tutaj.

Ważne

Po wprowadzeniu reguł zapory użytkownicy mogą wykonywać operacje płaszczyzny danych usługi Key Vault tylko wtedy, gdy ich żądania pochodzą z dozwolonych sieci wirtualnych lub zakresów adresów IPv4. Dotyczy to również uzyskiwania dostępu do usługi Key Vault z witryny Azure Portal. Mimo że użytkownicy mogą uzyskać dostęp do magazynu kluczy z portalu Azure, mogą nie być w stanie wyświetlić listy kluczy, tajemnic lub certyfikatów, jeśli ich komputer klienta nie znajduje się na liście dozwolonych. Ma to również wpływ na selektor usługi Key Vault używany przez inne usługi platformy Azure. Użytkownicy mogą móc wyświetlać listę magazynów kluczy, ale nie mogą wyświetlić listy kluczy, ponieważ reguły zapory uniemożliwiają działanie maszyny klienckiej.

Uwaga

Należy pamiętać o następujących ograniczeniach konfiguracji:

  • Dozwolone są maksymalnie 200 reguł sieci wirtualnej i 1000 reguł IPv4.
  • Reguły sieci IP są dozwolone tylko dla publicznych adresów IP. Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10., 172.16-31 i 192.168..
  • Obecnie obsługiwane są tylko adresy IPv4.

Dostęp publiczny jest wyłączony (tylko prywatny punkt końcowy)

Aby zwiększyć bezpieczeństwo sieci, możesz skonfigurować magazyn tak, aby wyłączył dostęp publiczny. Spowoduje to odmowę wszystkich konfiguracji publicznych i zezwala na połączenia tylko za pośrednictwem prywatnych punktów końcowych.

Obwód zabezpieczeń sieci (wersja zapoznawcza)

Obwód zabezpieczeń sieci (wersja zapoznawcza) umożliwia organizacjom zdefiniowanie granicy izolacji sieci logicznej dla zasobów PaaS (na przykład usługi Azure Key Vault, usługi Azure Storage i usługi SQL Database), które są wdrażane poza sieciami wirtualnymi organizacji. Ogranicza ona dostęp do sieci publicznej do zasobów PaaS poza obwodem. Dostęp można wykluczyć przy użyciu jawnych reguł dostępu dla publicznego ruchu przychodzącego i wychodzącego.

Obecnie Perimeter Bezpieczeństwa Sieci jest w publicznej wersji zapoznawczej dla podzestawu zasobów. Zobacz Zasoby łącza prywatnego po włączeniu do systemu i ograniczenia dla strefy bezpieczeństwa sieci. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci.

Ważne

Ruch prywatnego punktu końcowego jest uważany za wysoce bezpieczny i dlatego nie podlega regułom obwodowym zabezpieczeń sieci. Cały inny ruch sieciowy, w tym zaufane usługi, będzie podlegać regułom obwodu zabezpieczeń sieci, jeśli magazyn kluczy jest skojarzony z perymetrem.

Mając na uwadze perymetr bezpieczeństwa sieci:

  • Wszystkie zasoby wewnątrz obwodu mogą komunikować się z dowolnym innym zasobem w obrębie obwodu.
  • Dostęp zewnętrzny jest dostępny z następującymi mechanizmami kontroli:
    • Publiczny dostęp przychodzący można zatwierdzić przy użyciu atrybutów sieci i tożsamości klienta, takich jak źródłowe adresy IP, subskrypcje.
    • Publiczny ruch wychodzący można zatwierdzić przy użyciu nazw FQDN (w pełni kwalifikowanych nazw domen) zewnętrznych miejsc docelowych.
  • Dzienniki diagnostyczne są włączone dla zasobów PaaS w obrębie obwodu dla inspekcji i zgodności.

Ograniczenia i limity

  • Ustawienie opcji Dostęp do sieci publicznej na wartość Wyłącz nadal zezwala na zaufane usługi. Przełączanie dostępu do sieci publicznej na bezpieczny w trybie perymetralnym, potem blokuje zaufane usługi, nawet jeśli są skonfigurowane, by na nie zezwalać.
  • Zasady zapory usługi Azure Key Vault dotyczą tylko operacji na płaszczyźnie danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
  • Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
  • Usługa Azure Key Vault nie obsługuje reguł ruchu wychodzącego. Nadal można skojarzyć magazyn kluczy z perymetrem posiadającym reguły ruchu wychodzącego, ale magazyn kluczy nie będzie ich używać.
  • Dzienniki dostępu do obwodu zabezpieczeń sieci dla usługi Azure Key Vault mogą nie zawierać pól "count" lub "timeGeneratedEndTime".

Kojarzenie obwodu zabezpieczeń sieci z magazynem kluczy — Azure PowerShell

Aby skojarzyć obwód zabezpieczeń sieci z magazynem kluczy w programie Azure PowerShell, postępuj zgodnie z tymi instrukcjami.

Skojarz granicę bezpieczeństwa sieci z magazynem kluczy — Azure CLI

Aby skojarzyć obwód zabezpieczeń sieci z magazynem kluczy w interfejsie wiersza polecenia platformy Azure, postępuj zgodnie z tymi instrukcjami

Tryby dostępu do perymetru zabezpieczeń sieciowych

Obwód zabezpieczeń sieci obsługuje dwa różne tryby dostępu dla skojarzonych zasobów:

Tryb Opis
Tryb przejścia (dawniej "Tryb uczenia") Domyślny tryb dostępu. W trybie przejściowym obwód zabezpieczeń sieci rejestruje cały ruch kierowany do usługi wyszukiwania, który byłby odrzucony, gdyby obwód był w trybie wymuszonym. Dzięki temu administratorzy sieci mogą zrozumieć istniejące wzorce dostępu usługi wyszukiwania przed zaimplementowaniem wymuszania reguł dostępu.
Tryb wymuszony W trybie Enforced system zabezpieczeń perymetru sieci rejestruje i odrzuca cały ruch, który nie jest wyraźnie dozwolony przez reguły dostępu.

Ustawienia sieciowe obwodu zabezpieczeń sieci i sieciowe ustawienia magazynu kluczy

Ustawienie publicNetworkAccess określa skojarzenie magazynu kluczy z obwodem zabezpieczeń sieci.

  • W trybie przełączania ustawienie publicNetworkAccess kontroluje publiczny dostęp do zasobu.

  • W trybie wymuszonym ustawienie publicNetworkAccess jest zastępowane przez reguły perymetru zabezpieczeń sieci. Jeśli na przykład usługa wyszukiwania z ustawieniem publicNetworkAccessenabled jest skojarzona z obwodem zabezpieczeń sieci w trybie wymuszonym, dostęp do usługi wyszukiwania jest nadal kontrolowany przez reguły dostępu obwodowego zabezpieczeń sieci.

Zmienianie trybu dostępu obwodowego zabezpieczeń sieci

  1. Przejdź do zasobu perymetra bezpieczeństwa sieci w portalu.

  2. Wybierz pozycję Zasoby w menu po lewej stronie.

  3. Znajdź magazyn kluczy w tabeli.

  4. Wybierz trzy kropki po prawej stronie wiersza usługi wyszukiwania. Wybierz Zmień tryb dostępu w okienku.

  5. Wybierz żądany tryb dostępu i wybierz pozycję Zastosuj.

Włączanie rejestrowania dostępu do sieci

Zobacz Dzienniki diagnostyczne dotyczące obwodu zabezpieczeń sieci.

Bibliografia

Następne kroki