Konfigurera Azure Key Vault-brandväggar och virtuella nätverk

Det här dokumentet beskriver de olika konfigurationerna för en Azure Key Vault-brandvägg i detalj. Om du vill följa de stegvisa anvisningarna för hur du konfigurerar de här inställningarna kan du läsa Konfigurera Nätverksinställningar för Azure Key Vault.

Mer information finns i Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault.

Brandväggsinställningar

Det här avsnittet beskriver de olika sätt som en Azure Key Vault-brandvägg kan konfigureras på.

Key Vault-brandväggen är inaktiverad (standard)

Som standard inaktiveras Azure Key Vault-brandväggen när du skapar ett nytt nyckelvalv. Alla program och Azure-tjänster kan komma åt nyckelvalvet och skicka begäranden till nyckelvalvet. Den här konfigurationen innebär inte att någon användare kommer att kunna utföra åtgärder i ditt nyckelvalv. Nyckelvalvet begränsar fortfarande åtkomsten till hemligheter, nycklar och certifikat som lagras i nyckelvalvet genom att kräva Behörigheter för Microsoft Entra-autentisering och åtkomstprincip. Mer information om key vault-autentisering finns i Autentisering i Azure Key Vault. Mer information finns i Åtkomst till Azure Key Vault bakom en brandvägg.

Key Vault-brandvägg aktiverad (endast betrodda tjänster)

När du aktiverar Key Vault-brandväggen får du alternativet "Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen". Listan över betrodda tjänster omfattar inte alla Azure-tjänster. Azure DevOps finns till exempel inte med i listan över betrodda tjänster. Detta innebär inte att tjänster som inte visas i listan över betrodda tjänster inte är betrodda eller osäkra. Listan över betrodda tjänster omfattar tjänster där Microsoft styr all kod som körs på tjänsten. Eftersom användare kan skriva anpassad kod i Azure-tjänster som Azure DevOps, ger Microsoft inte möjlighet att skapa ett generellt godkännande för tjänsten. Bara för att en tjänst visas i listan över betrodda tjänster betyder det inte att den är tillåten för alla scenarier.

Information om huruvida en tjänst som du försöker använda finns i listan över betrodda tjänster i Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault. Följ anvisningarna här för Portal, Azure CLI och PowerShell för en instruktionsguide

Key Vault-brandvägg aktiverad (IPv4-adresser och IPv4-intervall – statiska IP-adresser)

Om du vill auktorisera en viss tjänst för åtkomst till nyckelvalvet via Key Vault-brandväggen kan du lägga till dess IP-adress i listan över tillåtna nyckelvalvsbrandväggar. Den här konfigurationen passar bäst för tjänster som använder statiska IP-adresser eller välkända intervall. Det finns en gräns på 1 000 CIDR-intervall för det här fallet.

Utför följande steg för att tillåta en IP-adress eller ett intervall för en Azure-resurs, till exempel en webbapp eller logikapp.

1. Logga in på Azure-portalen.
2. Välj resursen (specifik instans av tjänsten).
3. Välj bladet Egenskaper under Inställningar.
4. Leta efter fältet IP-adress .
5. Kopiera det här värdet eller intervallet och ange det i listan över tillåtna nyckelvalvsbrandväggar.

Om du vill tillåta en hel Azure-tjänst, via Key Vault-brandväggen, använder du listan över offentligt dokumenterade IP-adresser för datacenter för Azure här. Hitta DE IP-adresser som är associerade med den tjänst som du vill ha i den region du vill ha och lägg till dessa IP-adresser i nyckelvalvsbrandväggen.

Key Vault-brandvägg aktiverad (virtuella nätverk – dynamiska IP-adresser)

Om du försöker tillåta en Azure-resurs, till exempel en virtuell dator via nyckelvalvet, kanske du inte kan använda statiska IP-adresser och du kanske inte vill tillåta att alla IP-adresser för Azure Virtual Machines får åtkomst till ditt nyckelvalv.

I det här fallet bör du skapa resursen i ett virtuellt nätverk och sedan tillåta trafik från det specifika virtuella nätverket och undernätet för att få åtkomst till ditt nyckelvalv.

1. Logga in på Azure-portalen.
2. Välj det nyckelvalv som du vill konfigurera.
3. Välj bladet Nätverk.
4. Välj + Lägg till befintligt virtuellt nätverk.
5. Välj det virtuella nätverk och undernät som du vill tillåta via nyckelvalvsbrandväggen.

Key Vault-brandvägg aktiverad (Private Link)

Information om hur du konfigurerar en privat länkanslutning i nyckelvalvet finns i dokumentet här.

Viktigt!

När brandväggsreglerna är i kraft kan användarna bara utföra key vault-dataplansåtgärder när deras begäranden kommer från tillåtna virtuella nätverk eller IPv4-adressintervall. Detta gäller även för åtkomst till Key Vault från Azure-portalen. Även om användarna kan bläddra till ett nyckelvalv från Azure-portalen kanske de inte kan visa nycklar, hemligheter eller certifikat om klientdatorn inte finns med i listan över tillåtna. Detta påverkar även key vault-väljaren som används av andra Azure-tjänster. Användare kanske kan se en lista över nyckelvalv, men inte listnycklar, om brandväggsregler förhindrar klientdatorn.

Kommentar

Tänk på följande konfigurationsbegränsningar:

• Högst 200 regler för virtuella nätverk och 1 000 IPv4-regler tillåts.
• IP-nätverksregler tillåts endast för offentliga IP-adresser. IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar med 10., 172.16-31 och 192.168..
• Endast IPv4-adresser stöds just nu.

Offentlig åtkomst inaktiverad (endast privat slutpunkt)

För att förbättra nätverkssäkerheten kan du konfigurera valvet för att inaktivera offentlig åtkomst. Detta nekar alla offentliga konfigurationer och tillåter endast anslutningar via privata slutpunkter.

Referenser

• ARM-mallreferens: ARM-mallreferens för Azure Key Vault
• Azure CLI-kommandon: az keyvault network-rule
• Azure PowerShell-cmdletar: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Nästa steg

• Tjänstslutpunkter för virtuellt nätverk för Key Vault
• Säkerhetsöversikt för Azure Key Vault