Azure Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma

Bu belge, Azure Key Vault güvenlik duvarının farklı yapılandırmalarını ayrıntılı olarak ele alacaktır. Bu ayarları yapılandırmayla ilgili adım adım yönergeleri izlemek için bkz . Azure Key Vault ağ ayarlarını yapılandırma.

Daha fazla bilgi için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları.

Güvenlik Duvarı Ayarları

Bu bölümde, Azure Key Vault güvenlik duvarının yapılandırılabildiği farklı yöntemler ele alınacaktır.

Key Vault Güvenlik Duvarı Devre Dışı (Varsayılan)

Varsayılan olarak, yeni bir anahtar kasası oluşturduğunuzda Azure Key Vault güvenlik duvarı devre dışı bırakılır. Tüm uygulamalar ve Azure hizmetleri anahtar kasasına erişebilir ve anahtar kasasına istek gönderebilir. Bu yapılandırma, herhangi bir kullanıcının anahtar kasanızda işlem gerçekleştirebileceği anlamına gelmez. Anahtar kasası yine de Microsoft Entra kimlik doğrulaması ve erişim ilkesi izinleri gerektirerek anahtar kasasında depolanan gizli dizilere, anahtarlara ve sertifikalara erişimi kısıtlar. Anahtar kasası kimlik doğrulamasını daha ayrıntılı olarak anlamak için bkz . Azure Key Vault'ta kimlik doğrulaması. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault'a erişme.

Key Vault Güvenlik Duvarı Etkin (Yalnızca Güvenilen Hizmetler)

Key Vault Güvenlik Duvarı'nı etkinleştirdiğinizde size 'Güvenilen Microsoft Hizmetleri'nin bu güvenlik duvarını atlamasına izin ver' seçeneği sunulur. Güvenilen hizmetler listesi her bir Azure hizmetini kapsamaz. Örneğin, Azure DevOps güvenilen hizmetler listesinde yer almaz. Bu, güvenilen hizmetler listesinde görünmeyen hizmetlerin güvenilir olmadığı veya güvenli olmadığı anlamına gelmez. Güvenilen hizmetler listesi, Microsoft'un hizmette çalışan tüm kodları denetlediği hizmetleri kapsar. Kullanıcılar Azure DevOps gibi Azure hizmetlerinde özel kod yazabildiğinden, Microsoft hizmet için paket onayı oluşturma seçeneği sunmaz. Ayrıca, bir hizmetin güvenilen hizmet listesinde görünmesi, tüm senaryolar için buna izin verildiği anlamına gelmez.

Kullanmaya çalıştığınız bir hizmetin güvenilen hizmet listesinde olup olmadığını belirlemek için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları. Nasıl yapılır kılavuzu için portal, Azure CLI ve PowerShell yönergelerini izleyin

Key Vault Güvenlik Duvarı Etkin (IPv4 Adresleri ve Aralıkları - Statik IP'ler)

Belirli bir hizmete Key Vault Güvenlik Duvarı üzerinden anahtar kasasına erişme yetkisi vermek istiyorsanız, bu hizmetin IP Adresini anahtar kasası güvenlik duvarı izin verilenler listesine ekleyebilirsiniz. Bu yapılandırma, statik IP adresleri veya iyi bilinen aralıklar kullanan hizmetler için en iyisidir. Bu durum için 1000 CIDR aralığı sınırı vardır.

Web Uygulaması veya Mantıksal Uygulama gibi bir Azure kaynağının IP Adresine veya aralığına izin vermek için aşağıdaki adımları gerçekleştirin.

1. Azure Portal oturum açın.
2. Kaynağı seçin (hizmetin belirli bir örneği).
3. Ayarlar altındaki Özellikler dikey penceresini seçin.
4. IP Adresi alanını arayın.
5. Bu değeri veya aralığı kopyalayın ve anahtar kasası güvenlik duvarı izin listesine girin.

Azure hizmetinin tamamına izin vermek için Key Vault güvenlik duvarı aracılığıyla burada Azure için genel olarak belgelenen veri merkezi IP adreslerinin listesini kullanın. İstediğiniz bölgede istediğiniz hizmetle ilişkili IP adreslerini bulun ve bu IP adreslerini anahtar kasası güvenlik duvarına ekleyin.

Key Vault Güvenlik Duvarı Etkin (Sanal Ağ s - Dinamik IP'ler)

Anahtar kasası aracılığıyla sanal makine gibi bir Azure kaynağına izin vermeye çalışıyorsanız, Statik IP adreslerini kullanamayabilirsiniz ve Azure Sanal Makineler için tüm IP adreslerinin anahtar kasanıza erişmesine izin vermek istemeyebilirsiniz.

Bu durumda, kaynağı bir sanal ağ içinde oluşturmanız ve ardından belirli bir sanal ağ ve alt ağdan gelen trafiğin anahtar kasanıza erişmesine izin vermelisiniz.

1. Azure Portal oturum açın.
2. Yapılandırmak istediğiniz anahtar kasasını seçin.
3. 'Ağ' dikey penceresini seçin.
4. '+ Var olan sanal ağı ekle'yi seçin.
5. Anahtar kasası güvenlik duvarı üzerinden izin vermek istediğiniz sanal ağı ve alt ağı seçin.

Key Vault Güvenlik Duvarı Etkin (Özel Bağlantı)

Anahtar kasanızda özel bağlantı bağlantısını yapılandırmayı anlamak için lütfen buradaki belgeye bakın.

Önemli

Güvenlik duvarı kuralları etkin olduktan sonra, kullanıcılar yalnızca istekleri izin verilen sanal ağlardan veya IPv4 adres aralıklarından geldiğinde Key Vault veri düzlemi işlemleri gerçekleştirebilir. Bu, Azure portalından Key Vault'a erişim için de geçerlidir. Kullanıcılar Azure portalından bir anahtar kasasına göz atabilse de, istemci makineleri izin verilenler listesinde değilse anahtarları, gizli dizileri veya sertifikaları listeleyemez. Bu, diğer Azure hizmetleri tarafından kullanılan Key Vault Seçiciyi de etkiler. Güvenlik duvarı kuralları istemci makinelerini engelliyorsa, kullanıcılar anahtar kasalarının listesini görebilir, ancak liste anahtarlarını göremez.

Dekont

Aşağıdaki yapılandırma sınırlamalarına dikkat edin:

• En fazla 200 sanal ağ kuralına ve 1000 IPv4 kuralına izin verilir.
• IP ağ kurallarına yalnızca genel IP adresleri için izin verilir. IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918’de tanımlandığı gibi) izin verilmez. Özel ağlar 10., 172.16-31 ve 192.168 ile başlayan adresleri içerir.
• Şu anda yalnızca IPv4 adresleri desteklenmektedir.

Genel Erişim Devre Dışı (Yalnızca Özel Uç Nokta)

Ağ güvenliğini geliştirmek için kasanızı genel erişimi devre dışı bırakacak şekilde yapılandırabilirsiniz. Bu, tüm genel yapılandırmaları reddeder ve yalnızca özel uç noktalar üzerinden bağlantılara izin verir.

Başvurular

• ARM Şablonu Başvurusu: Azure Key Vault ARM Şablon Başvurusu
• Azure CLI komutları: az keyvault network-rule
• Azure PowerShell cmdlet'leri: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Sonraki adımlar

• Key Vault için sanal ağ hizmet uç noktaları
• Azure Key Vault güvenliğine genel bakış