Azure Key Vault için ağ güvenliğini yapılandırma

Bu makale, Azure Key Vault için farklı ağ güvenlik yapılandırmalarını kapsar ve bunları yapılandırmak için adım adım yönergeler sağlar. En iyi güvenlik uygulamaları için bkz . Azure Key Vault'unuzun güvenliğini sağlama: Ağ güvenliği.

Sanal ağ hizmet uç noktaları hakkında daha fazla bilgi için bkz. Azure Key Vault için sanal ağ hizmet uç noktaları.

Güvenlik duvarı ayarları

Bu bölüm, Azure Key Vault güvenlik duvarının yapılandırılabilmesinin farklı yollarını kapsar.

Key Vault güvenlik duvarı devre dışı bırakıldı (varsayılan)

Varsayılan olarak, yeni bir anahtar kasası oluşturduğunuzda Azure Key Vault güvenlik duvarı devre dışı bırakılır. Tüm uygulamalar ve Azure hizmetleri anahtar kasasına erişebilir ve anahtar kasasına istek gönderebilir. Bu yapılandırma, herhangi bir kullanıcının anahtar kasanızda işlem gerçekleştirebileceği anlamına gelmez. Anahtar kasası yine de Microsoft Entra kimlik doğrulaması ve erişim ilkesi izinleri gerektirerek anahtar kasasında depolanan gizli dizilere, anahtarlara ve sertifikalara erişimi kısıtlar. Anahtar kasası kimlik doğrulamasını daha ayrıntılı olarak anlamak için bkz . Azure Key Vault'ta kimlik doğrulaması. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault'a erişme.

Key Vault güvenlik duvarı etkin (yalnızca güvenilen hizmetler)

Key Vault Güvenlik Duvarı'nı etkinleştirdiğinizde size 'Güvenilen Microsoft Hizmetleri'nin bu güvenlik duvarını atlamasına izin ver' seçeneği sunulur. Güvenilen hizmetler listesi her bir Azure hizmetini kapsamaz. Örneğin, Azure DevOps güvenilen hizmetler listesinde yer almaz. Bu, güvenilen hizmetler listesinde görünmeyen hizmetlerin güvenilir olmadığı veya güvenli olmadığı anlamına gelmez. Güvenilen hizmetler listesi, Microsoft'un hizmette çalışan tüm kodları denetlediği hizmetleri kapsar. Kullanıcılar Azure DevOps gibi Azure hizmetlerinde özel kod yazabildiğinden, Microsoft hizmet için paket onayı oluşturma seçeneği sunmaz. Ayrıca, bir hizmetin güvenilen hizmet listesinde görünmesi, tüm senaryolar için buna izin verildiği anlamına gelmez.

Kullanmaya çalıştığınız bir hizmetin güvenilen hizmet listesinde olup olmadığını belirlemek için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları.

Güvenilen hizmetlerin güvenlik duvarını atlamasına izin vermek için:

Portal

1. Azure portalında anahtar kasanıza göz atın.
2. Soldaki menüden Ağ'ı seçin.
3. Güvenlik duvarları ve sanal ağlar sekmesindeki Özel Durum'un altında Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver'i seçin.
4. Kaydetseçeneğini seçin.

Azure CLI

Güvenilen hizmetlerin güvenlik duvarını atlamasına izin vermek için Azure CLI az keyvault update komutunu kullanın.

az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices

PowerShell

Güvenilen hizmetlerin güvenlik duvarını atlamasına izin vermek için Azure PowerShell Update-AzKeyVaultNetworkRuleSet cmdlet'ini kullanın.

Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices

Key Vault güvenlik duvarı etkin (IPv4 adresleri ve aralıkları - statik IP'ler)

Belirli bir hizmeti Key Vault Güvenlik Duvarı üzerinden anahtar kasasına erişim yetkisi vermek istiyorsanız, anahtar kasası güvenlik duvarı izin verme listesine ip adresini ekleyebilirsiniz. Bu yapılandırma, statik IP adresleri veya iyi bilinen aralıklar kullanan hizmetler için en iyisidir. Bu durum için 1000 CIDR aralığı sınırı vardır.

Web Uygulaması veya Mantıksal Uygulama gibi bir Azure kaynağının IP Adresine veya aralığına izin vermek için aşağıdaki adımları gerçekleştirin.

1. Azure Portal’ında oturum açın.
2. Kaynağı seçin (hizmetin belirli bir örneği).
3. Ayarlar altında bulunan Özellikler dikey penceresini seçin.
4. IP Adresi alanını arayın.
5. Bu değeri veya aralığı kopyalayın ve anahtar kasası güvenlik duvarı izin listesine ekleyin.

Azure hizmetinin tamamına izin vermek için Key Vault güvenlik duvarı aracılığıyla Azure için genel olarak belgelenen veri merkezi IP adreslerinin listesini kullanın. İstediğiniz bölgede istediğiniz hizmetle ilişkili IP adreslerini bulun ve bu IP adreslerini anahtar kasası güvenlik duvarına ekleyin.

IP adresi kuralları eklemek için:

Portal

1. Anahtar kasanızda gezinin ve Ağ Ayarları seçin.
2. Güvenlik duvarları ve sanal ağlar sekmesindeki Güvenlik Duvarı'nın altında IPv4 adresleri veya CIDR aralıkları girin.
3. Kaydetseçeneğini seçin.

Azure CLI

IP adresi kuralı eklemek için Azure CLI az keyvault network-rule add komutunu kullanın.

az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

PowerShell

IP adresi kuralı eklemek için Azure PowerShell Add-AzKeyVaultNetworkRule cmdlet'ini kullanın.

Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Key Vault güvenlik duvarı etkin (sanal ağlar - dinamik IP'ler)

Anahtar kasası aracılığıyla sanal makine gibi bir Azure kaynağına izin vermeye çalışıyorsanız, Statik IP adreslerini kullanamayabilirsiniz ve Azure Sanal Makineler için tüm IP adreslerinin anahtar kasanıza erişmesine izin vermek istemeyebilirsiniz.

Bu durumda, kaynağı bir sanal ağ içinde oluşturmanız ve ardından belirli bir sanal ağ ve alt ağdan gelen trafiğin anahtar kasanıza erişmesine izin vermelisiniz.

Portal

1. Yapılandırmak istediğiniz anahtar kasasına göz atın.
2. Ağ'ı ve ardından Güvenlik duvarları ve sanal ağlar sekmesini seçin.
3. Erişime izin ver'in altında Belirli sanal ağlardan ve IP adreslerinden genel erişime izin ver'i seçin.
4. + Sanal ağ> ekleVar olan sanal ağları ekle'yi seçin.
5. Erişime izin vermek istediğiniz aboneliği, sanal ağları ve alt ağları seçin. Hizmet uç noktaları etkin değilse, istendiğinde Etkinleştir'i seçin. Geçerlilik kazanması 15 dakika kadar sürebilir.
6. Ekle'yi ve ardından Kaydet'i seçin.

Yeni bir sanal ağ eklemek için + Sanal ağ ekle>Yeni sanal ağ ekle'yi seçin ve talimatları izleyin.

Azure CLI

Hizmet uç noktasını etkinleştirmek için Azure CLI az network vnet subnet update komutunu kullanın. Alt ağ kimliğini almak için az network vnet subnet show komutunu kullanın, ardından az keyvault network-rule add komutunu kullanarak sanal ağ kuralını ekleyin.

1. Mevcut bir sanal ağda ve alt ağda Key Vault için hizmet uç noktasını etkinleştirin:

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

2. Sanal ağ ve alt ağ için bir ağ kuralı ekleyin:

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --subnet $subnetid
   

3. Varsayılan eylemi reddetmek üzere ayarlamak için az keyvault update komutunu kullanın:

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --default-action Deny
   

PowerShell

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Sanal ağı almak için Azure PowerShell Get-AzVirtualNetwork cmdlet'ini, hizmet uç noktasını etkinleştirmek için Set-AzVirtualNetworkSubnetConfig ve değişiklikleri kaydetmek için Set-AzVirtualNetwork cmdlet'ini kullanın. Ardından Add-AzKeyVaultNetworkRule kullanarak sanal ağ kuralını ekleyin.

1. Mevcut bir sanal ağda ve alt ağda Key Vault için hizmet uç noktasını etkinleştirin:

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

2. Alt ağı almak için Get-AzVirtualNetworkSubnetConfig komutunu kullanın ve ardından bir ağ kuralı ekleyin:

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

3. Varsayılan eylemi reddedecek şekilde ayarlamak için Update-AzKeyVaultNetworkRuleSet cmdlet'ini kullanın:

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Key Vault güvenlik duvarı etkin (özel bağlantı)

Anahtar kasanızda özel bağlantı bağlantısını yapılandırmayı anlamak için bkz. Key Vault'ı Azure Özel Bağlantı ile tümleştirme.

Ağ kurallarını listeleme

Anahtar kasanız için yapılandırılmış geçerli ağ kurallarını görüntülemek için:

Portal

1. Anahtar kasanıza gidin ve Ağ'ı seçin.
2. Güvenlik duvarları ve sanal ağlar sekmesinde yapılandırılan sanal ağları ve IP adreslerini gözden geçirin.

Azure CLI

Ağ kurallarını listelemek için Azure CLI az keyvault network-rule list komutunu kullanın.

az keyvault network-rule list --resource-group "myresourcegroup" --name "mykeyvault"

PowerShell

Ağ ACL'lerini almak için Azure PowerShell Get-AzKeyVault cmdlet'ini kullanın.

(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls

Ağ kurallarını kaldırma

Portal

1. Anahtar kasanıza gidin ve Ağ'ı seçin.
2. Güvenlik duvarları ve sanal ağlar sekmesinde, kaldırmak istediğiniz kuralın yanındaki sil simgesini seçin.
3. Kaydetseçeneğini seçin.

Azure CLI

Azure CLI az keyvault network-rule remove komutunu kullanın.

Sanal ağ kuralını kaldırmak için:

subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule remove --resource-group "myresourcegroup" --name "mykeyvault" --subnet $subnetid

IP adresi kuralını kaldırmak için:

az keyvault network-rule remove --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

PowerShell

Azure PowerShell Remove-AzKeyVaultNetworkRule cmdlet'ini kullanın.

Sanal ağ kuralını kaldırmak için:

$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Remove-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id

IP adresi kuralını kaldırmak için:

Remove-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Önemli

Güvenlik duvarı kuralları etkin olduktan sonra, kullanıcılar yalnızca istekleri izin verilen sanal ağlardan veya IPv4 adres aralıklarından geldiğinde Key Vault veri düzlemi işlemleri gerçekleştirebilir. Bu, Azure portalından Key Vault'a erişim için de geçerlidir. Kullanıcılar Azure portalından bir anahtar kasasına göz atabilse de, istemci makineleri izin verilenler listesinde değilse anahtarları, gizli dizileri veya sertifikaları listeleyemez. Bu, diğer Azure hizmetleri tarafından kullanılan Key Vault Seçiciyi de etkiler. Güvenlik duvarı kuralları istemci makinelerini engelliyorsa, kullanıcılar anahtar kasalarının listesini görebilir, ancak liste anahtarlarını göremez.

Not

Aşağıdaki yapılandırma sınırlamalarına dikkat edin:

• En fazla 200 sanal ağ kuralına ve 1000 IPv4 kuralına izin verilir.
• IP ağ kurallarına yalnızca genel IP adresleri için izin verilir. IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918’de tanımlandığı gibi) izin verilmez. Özel ağlar 10., 172.16-31 ve 192.168 ile başlayan adresleri içerir.
• Şu anda yalnızca IPv4 adresleri desteklenmektedir.

Genel erişim devre dışı bırakıldı (yalnızca özel uç nokta)

Ağ güvenliğini artırmak için deponuzu genel erişimi devre dışı bırakacak şekilde yapılandırabilirsiniz. Bu, tüm genel yapılandırmaları reddeder ve yalnızca özel uç noktalar üzerinden bağlantılara izin verir.

Tam Özel Bağlantı kurulum yönergeleri için bkz. Key Vault'u Azure Özel Bağlantı ile tümleştirme.

Özel Bağlantı yapılandırıldıktan sonra genel erişimi devre dışı bırakmak için:

Portal

1. Azure portalında anahtar kasanıza göz atın.
2. Soldaki menüden Ağ'ı seçin.
3. Güvenlik duvarları ve sanal ağlar sekmesini seçin.
4. Erişim izinleri altındaGenel erişimi devre dışı bırak seçeneğini seçin.
5. Kaydetseçeneğini seçin.

Azure CLI

Genel ağ erişimini devre dışı bırakmak için Azure CLI az keyvault update komutunu kullanın.

az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --public-network-access Disabled

PowerShell

Genel ağ erişimini devre dışı bırakmak için Azure PowerShell Update-AzKeyVault cmdlet'ini kullanın.

Update-AzKeyVault -ResourceGroupName "myresourcegroup" -VaultName "mykeyvault" -PublicNetworkAccess "Disabled"

Önemli

Genel erişimi devre dışı bırakdıktan sonra anahtar kasasına yalnızca özel uç noktalar üzerinden erişilebilir. Genel erişimi devre dışı bırakmadan önce özel uç nokta yapılandırmanızın tamamlandığından emin olun.

Ağ güvenlik sınırı

Ağ Güvenliği Çevresi , kuruluşların kuruluşunuzun sanal ağları dışında dağıtılan PaaS kaynakları (örneğin, Azure Key Vault, Azure Depolama ve SQL Veritabanı) için bir mantıksal ağ yalıtım sınırı tanımlamasına olanak tanır. Çevre güvenlik duvarının dışında kalan PaaS kaynaklarına olan genel ağ erişimini kısıtlar, genel gelen ve giden bağlantılar için açık erişim kuralları kullanılarak erişime istisna tanımlanabilir.

Ağ Güvenlik Çevresi artık desteklenen kaynaklar için genel kullanıma sunuldu. Bkz. Ağına alınan özel bağlantı kaynakları ve Ağ güvenlik çevresinin sınırlamaları. Daha fazla bilgi için bkz . Ağ Güvenlik Çevresine Geçiş.

Önemli

Özel uç nokta trafiği son derece güvenli olarak kabul edilir ve bu nedenle Ağ Güvenlik Çevresi kurallarına tabi değildir. Anahtar kasası bir çevreyle ilişkilendirilmişse, güvenilir hizmetler de dahil olmak üzere diğer tüm trafik, Ağ Güvenlik Çevresi kurallarına tabi olacaktır.

Ağ güvenlik çevresi ile:

• Çevre içindeki tüm kaynaklar, çevre içindeki diğer tüm kaynaklarla iletişim kurabilir.
• Dış erişim aşağıdaki denetimlerle kullanılabilir:
  • Genel gelen erişim, istemcinin kaynak IP adresleri, abonelikler gibi Ağ ve Kimlik öznitelikleri kullanılarak onaylanabilir.
  • Genel giden trafik, dış hedeflerin FQDN'leri (Tam Etki Alanı Adları) kullanılarak izin verilebilir.
• Tanılama Günlükleri, Denetim ve Uyumluluk için çevre içindeki PaaS kaynakları için etkinleştirilir.

Kısıtlamalar ve sınırlamalar

• Genel Ağ Erişimini Devre Dışı Bırak olarak ayarlamak yine de güvenilen hizmetlere izin verir. Genel Ağ Erişimini çevreyle güvenli hale getirmek, güvenilen hizmetlere izin verecek şekilde yapılandırılmış olsa bile güvenilen hizmetleri yasaklar.
• Azure Key Vault güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir. Bu, Key Vault veri düzlemimanagement.azure.com uç noktası () yerine Azure Resource Manager denetim düzlemi uç noktasını (<vault-name>.vault.azure.net) kullanan ARM şablonları aracılığıyla gizli dizilerin veya anahtarların dağıtımını içerir. Daha fazla bilgi için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları.
• Azure portalı gibi araçları kullanarak verilere erişmek için ağ güvenlik kurallarını yapılandırırken oluşturduğunuz güvenilen sınır içindeki bir makinede olmanız gerekir.
• Azure Key Vault'un giden kuralları kavramı yoktur; yine de bir anahtar kasasını giden kurallar içeren bir çevreyle ilişkilendirebilirsiniz, ancak anahtar kasası bu kuralları kullanmaz.
• Azure Key Vault için ağ güvenlik çevre erişim günlükleri "count" veya "timeGeneratedEndTime" alanlarına sahip olmayabilir.

Ağ güvenlik çevresini anahtar kasasıyla ilişkilendirme - Azure PowerShell

Ağ Güvenlik Çevresini Azure PowerShell'deki bir anahtar kasasıyla ilişkilendirmek için bu yönergeleri izleyin.

Ağ güvenlik çevresini anahtar kasasıyla ilişkilendirme - Azure CLI

Ağ Güvenlik Çevresini Azure CLI'daki bir anahtar kasasıyla ilişkilendirmek için şu yönergeleri izleyin.

Ağ güvenliği çevre erişim modları

Ağ güvenlik çevresi, ilişkili kaynaklar için iki farklı erişim modunu destekler:

Mod	Açıklama
Geçiş modu (eski adıyla "Öğrenme modu")	Varsayılan erişim modu. Geçiş modunda ağ güvenlik çevresi, çevre zorlanmış moddaysa reddedilen arama hizmetine gelen tüm trafiği günlüğe kaydeder. Bu, ağ yöneticilerinin erişim kurallarını zorlamadan önce arama hizmetinin mevcut erişim desenlerini anlamasını sağlar.
Zorlanan mod	Zorunlu modda, ağ güvenlik çevresi, erişim kuralları tarafından açıkça izin verilmeyen tüm trafiği kaydeder ve reddeder.

Ağ güvenliği sınırı ve anahtar kasası ağı ayarları

Bu publicNetworkAccess ayar, anahtar kasasının bir ağ güvenlik çevresiyle ilişkisini belirler.

• Geçiş modunda, publicNetworkAccess ayar kaynağa genel erişimi denetler.

• Zorunlu modda, publicNetworkAccess ayar ağ güvenlik çevre kuralları tarafından geçersiz kılındı. Örneğin, ayarına publicNetworkAccess sahip bir enabled arama hizmeti Zorunlu modda bir ağ güvenlik çevresiyle ilişkiliyse, arama hizmetine erişim ağ güvenlik çevresi erişim kuralları tarafından denetlenmeye devam eder.

Ağ güvenliği çevre erişim modunu değiştirme

1. Portalda ağ güvenlik çevre kaynağınıza gidin.

2. Sol taraftaki menüden Kaynaklar'ı seçin.

3. Tablodaki anahtar kasanızı bulun.

4. Arama hizmeti satırının sağ ucundaki üç noktayı seçin. Açılan pencerede Erişim modunu değiştir'i seçin.

5. İstediğiniz erişim modunu seçin ve Uygula'yı seçin.

Ağ erişimi kayıtlarını etkinleştir

Bkz. Ağ Güvenlik Çevresi için tanılama günlükleri.

Kaynaklar

• ARM Şablonu Referansı: Azure Key Vault ARM Şablon Referansı
• Azure CLI komutları: az keyvault network-rule
• Azure PowerShell cmdlet'leri: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Sonraki adımlar

• Key Vault'un Azure Özel Bağlantı ile tümleştirilmesi
• Key Vault için sanal ağ hizmet uç noktaları
• Güvenlik duvarının arkasındaki Key Vault'a erişme
• Azure Key Vault'unuzun güvenliğini sağlama