Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento illustra in dettaglio le diverse configurazioni per un firewall di Azure Key Vault. Per seguire le istruzioni dettagliate su come configurare queste impostazioni, vedere Configurare le impostazioni di rete di Azure Key Vault.
Per altre informazioni, vedere Endpoint dei servizi di rete virtuale per Azure Key Vault.
Impostazioni del firewall
Questa sezione illustra i diversi modi in cui è possibile configurare un firewall di Azure Key Vault.
Firewall Key Vault disabilitato (impostazione predefinita)
Per impostazione predefinita, quando si crea un nuovo insieme di credenziali delle chiavi, il firewall di Azure Key Vault è disabilitato. Tutte le applicazioni e i servizi di Azure possono accedere al Key Vault e inviare richieste al Key Vault. Questa configurazione non significa che qualsiasi utente sarà in grado di eseguire operazioni nell'insieme di credenziali delle chiavi. La cassaforte delle chiavi continua a imporre restrizioni sull'accesso a segreti, chiavi e certificati archiviati al suo interno, richiedendo l'autenticazione di Microsoft Entra e le autorizzazioni dei criteri di accesso. Per capire più dettagliatamente l'autenticazione in Azure Key Vault, vedere Autenticazione in Azure Key Vault. Per altre informazioni, vedere Accedere ad Azure Key Vault protetto da firewall.
Firewall di Key Vault abilitato (solo servizi attendibili)
Quando si abilita il firewall del Key Vault, viene visualizzata l'opzione "Consenti ai servizi Microsoft attendibili di ignorare questo firewall". L'elenco dei servizi attendibili non copre ogni singolo servizio di Azure. Ad esempio, Azure DevOps non è presente nell'elenco dei servizi attendibili. Ciò non implica che i servizi non inclusi nell'elenco non siano considerati attendibili o sicuri. L'elenco di servizi attendibili include i servizi per cui Microsoft controlla tutto il codice eseguito al loro interno. Poiché gli utenti possono scrivere codice personalizzato nei servizi di Azure, ad esempio Azure DevOps, Microsoft non offre la possibilità di creare un'approvazione generale per il servizio. Inoltre, il semplice fatto che un servizio sia incluso nell'elenco di servizi attendibili non significa che sia consentito per tutti gli scenari.
Per determinare se un servizio che si sta tentando di usare è presente nell'elenco dei servizi fidati, vedere endpoint del servizio di rete virtuale per Azure Key Vault. Per una guida pratica, seguire le istruzioni riportate qui per il portale, l'interfaccia della riga di comando di Azure e PowerShell
Firewall di Key Vault abilitato (indirizzi e intervalli IPv4 - IP statici)
Per autorizzare un particolare servizio ad accedere al Key Vault attraverso il firewall di Key Vault, è possibile aggiungere l'indirizzo IP corrispondente all'elenco di indirizzi consentiti del firewall. Questa configurazione è ottimale per i servizi che usano indirizzi IP statici o intervalli noti. Per questo caso è previsto un limite di 1000 intervalli CIDR.
Per consentire un indirizzo IP o un intervallo di una risorsa di Azure, ad esempio un'app Web o Logic App, seguire i passaggi seguenti.
- Accedi al portale di Azure.
- Selezionare la risorsa (istanza specifica del servizio).
- Fare clic sul pannello Proprietà in Impostazioni.
- Cercare il campo Indirizzo IP.
- Copiare questo valore o intervallo e immetterlo nell'elenco elementi consentiti del firewall di Key Vault.
Per consentire un intero servizio di Azure attraverso il firewall di Key Vault, usare l'elenco di indirizzi IP di data center documentati pubblicamente per Azure disponibile qui. Trovare gli indirizzi IP associati al servizio desiderato nell'area scelta e aggiungerli al firewall di Key Vault.
Firewall di Key Vault abilitato (reti virtuali - IP dinamici)
Se si tenta di autorizzare una risorsa di Azure, come una macchina virtuale, tramite Azure Key Vault, potrebbe non essere possibile utilizzare indirizzi IP statici e potrebbe non essere desiderabile consentire a tutti gli indirizzi IP delle macchine virtuali di Azure di accedere all'Azure Key Vault.
In questo caso, è necessario creare la risorsa all'interno di una rete virtuale e quindi consentire l'accesso all'insieme di credenziali delle chiavi al traffico proveniente dalla rete virtuale e dalla subnet specifiche.
- Accedi al portale di Azure.
- Seleziona la cassaforte delle chiavi che desideri configurare.
- Selezionare il pannello 'Rete'.
- Selezionare '+ Aggiungi rete virtuale esistente'.
- Selezionare la rete virtuale e la subnet da autorizzare attraverso il firewall di Key Vault.
Firewall di Key Vault attivato (collegamento privato)
Per capire come configurare una connessione a un private link nel Key Vault, vedere il documento qui.
Importante
Quando le regole del firewall sono operative, gli utenti possono eseguire le operazioni del piano dati Key Vault solo se le loro richieste hanno origine da reti virtuali o intervalli di indirizzi IPv4 consentiti. Questo vale anche per l'accesso a Key Vault dal portale di Azure. Benché gli utenti possano accedere a un insieme di credenziali dal portale di Azure, potrebbero non riuscire a elencare chiavi, segreti o certificati se il loro computer client non è presente nell'elenco consentito. Ciò influisce anche sul selettore di Key Vault usato da altri servizi di Azure. Gli utenti potrebbero essere in grado di visualizzare un elenco di insiemi di credenziali delle chiavi, ma non di elencare le chiavi, se le regole del firewall impediscono il computer client.
Nota
Tenere presente le seguenti limitazioni di configurazione:
- Sono consentite al massimo 200 regole di rete virtuale e 1000 regole IPv4.
- Le regole di rete IP sono consentite solo per gli indirizzi IP pubblici. Gli intervalli di indirizzi IP riservati per le reti private (come da definizione in RFC 1918) non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10., 172.16-31. e 192.168..
- Attualmente sono supportati solo gli indirizzi IPv4.
Accesso pubblico disabilitato (solo endpoint privato)
Per migliorare la sicurezza di rete, è possibile configurare l'insieme di credenziali per disabilitare l'accesso pubblico. In questo modo vengono negate tutte le configurazioni pubbliche e sono consentite solo le connessioni tramite endpoint privati.
Perimetro di sicurezza di rete (anteprima)
Il perimetro di sicurezza di rete (anteprima) consente alle organizzazioni di definire un limite di isolamento della rete logica per le risorse PaaS (ad esempio, Azure Key Vault, Archiviazione di Azure e database SQL) distribuite all'esterno delle reti virtuali dell'organizzazione. Limita l'accesso alla rete pubblica alle risorse PaaS all'esterno del perimetro, l'accesso può essere esente usando regole di accesso esplicite per le risorse in ingresso e in uscita pubbliche.
Attualmente, il perimetro di sicurezza di rete è disponibile in anteprima pubblica per un subset di risorse. Vedi Risorse di collegamento privato di cui è stato effettuato l'onboarding e Limitazioni del perimetro di sicurezza di rete. Per altre informazioni, vedere Transizione a un perimetro di sicurezza di rete.
Importante
Il traffico degli endpoint privati è considerato altamente sicuro e pertanto non è soggetto alle regole del perimetro di sicurezza di rete. Tutto l'altro traffico, inclusi i servizi attendibili, sarà soggetto alle regole del perimetro di sicurezza di rete se l'insieme di credenziali delle chiavi è associato a un perimetro.
Con un perimetro di sicurezza di rete:
- Tutte le risorse all'interno del perimetro possono comunicare con qualsiasi altra risorsa all'interno del perimetro.
- L'accesso esterno è disponibile con i controlli seguenti:
- L'accesso in ingresso pubblico può essere approvato usando attributi di rete e identità del client, ad esempio indirizzi IP di origine, sottoscrizioni.
- Le comunicazioni in uscita verso le destinazioni esterne possono essere approvate utilizzando i FQDN (nomi di dominio completamente qualificati).
- I log di diagnostica sono abilitati per le risorse PaaS all'interno del perimetro per Controllo e conformità.
Restrizioni e considerazioni
- L'impostazione dell'accesso alla rete pubblica su Disabilita consente comunque servizi attendibili. Se si passa all'accesso alla rete pubblica su Protetto per perimetro, i servizi attendibili vengono proibiti anche se configurati per consentire servizi attendibili.
- Le regole del firewall di Azure Key Vault si applicano solo alle operazioni del piano dati. Le operazioni del piano di controllo non sono soggette alle restrizioni specificate nelle regole del firewall.
- Per accedere ai dati usando strumenti come il portale di Azure, è necessario trovarsi in un computer entro il limite attendibile stabilito durante la configurazione delle regole di sicurezza di rete.
- Azure Key Vault non prevede regole in uscita, è comunque possibile associare un Key Vault a un perimetro con regole in uscita, ma il Key Vault non le userà.
Associare un perimetro di sicurezza di rete a un insieme di credenziali delle chiavi - Azure PowerShell
Per associare un perimetro di sicurezza di rete a un insieme di credenziali in Azure PowerShell, seguire queste istruzioni.
Associare un perimetro di sicurezza di rete a un Azure Key Vault - Azure CLI
Per associare un perimetro di sicurezza di rete a una Key Vault nell'interfaccia della riga di comando di Azure, seguire queste istruzioni
Modalità di accesso al perimetro di sicurezza della rete
Il perimetro di sicurezza di rete supporta due diverse modalità di accesso per le risorse associate:
| Modalità | Descrizione |
|---|---|
| Modalità di transizione (in precedenza "Modalità di apprendimento") | Modalità di accesso predefinita. In modalità transizione, il perimetro di sicurezza di rete registra tutto il traffico verso il servizio di ricerca che sarebbe stato negato se il perimetro fosse in modalità forzata. Ciò consente agli amministratori di rete di comprendere i modelli di accesso esistenti del servizio di ricerca prima di implementare l'applicazione delle regole di accesso. |
| Modalità forzata | In modalità Enforced, il perimetro di sicurezza di rete registra e nega tutto il traffico non esplicitamente consentito dalle regole di accesso. |
Impostazioni di rete per il perimetro di sicurezza di rete e l'insieme di credenziali delle chiavi
L'impostazione publicNetworkAccess determina l'associazione dell'insieme di credenziali delle chiavi a un perimetro di sicurezza di rete.
In modalità transizione, l'impostazione controlla l'accesso
publicNetworkAccesspubblico alla risorsa.In modalità forzata, l'impostazione
publicNetworkAccessviene sostituita dalle regole del perimetro di sicurezza di rete. Ad esempio, se un servizio di ricerca con un'impostazionepublicNetworkAccessdienabledè associato a un perimetro di sicurezza di rete in modalità applicata, l'accesso al servizio di ricerca è ancora controllato dalle regole di accesso perimetrale della sicurezza di rete.
Modificare la modalità di accesso al perimetro di sicurezza della rete
Accedi alla risorsa di sicurezza perimetrale della rete nel portale.
Selezionare Risorse nel menu a sinistra.
Trovare l'insieme di credenziali delle chiavi nella tabella.
Selezionare i tre puntini nell'estrema destra della riga del servizio di ricerca. Selezionare Cambia modalità di accesso nella finestra popup.
Selezionare la modalità di accesso desiderata e selezionare Applica.
Abilitare l'accesso alla rete di registrazione
Vedere Log di diagnostica per il perimetro di sicurezza di rete.
Riferimenti
- Informazioni di riferimento sui modelli di ARM: Informazioni di riferimento sui modelli di Azure Resource Manager per Azure Key Vault
- Comandi di Azure CLI: az keyvault network-rule
- Cmdlet di Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet