Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются различные конфигурации безопасности сети для Azure Key Vault и пошаговые инструкции по их настройке. Рекомендации по обеспечению безопасности см. в статье "Защита Azure Key Vault: безопасность сети".
Дополнительные сведения о конечных точках службы виртуальной сети см. в статье "Конечные точки службы виртуальной сети" для Azure Key Vault.
Параметры брандмауэра
В этом разделе рассматриваются различные способы настройки брандмауэра Azure Key Vault.
Брандмауэр Key Vault отключен (по умолчанию)
По умолчанию при создании нового хранилища ключей брандмауэр Azure Key Vault отключен. Все приложения и службы Azure имеют доступ к хранилищу ключей и отправляют запросы в хранилище ключей. Эта конфигурация не означает, что любой пользователь сможет выполнять операции в хранилище ключей. Хранилище ключей по-прежнему ограничивает доступ к секретам, ключам и сертификатам, хранящимся в хранилище ключей, требуя проверки подлинности Microsoft Entra и разрешений политики доступа. Дополнительные сведения о проверке подлинности хранилища ключей см. в статье "Проверка подлинности в Azure Key Vault". Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
Брандмауэр Key Vault включен (только доверенные службы)
При включении брандмауэра Key Vault вы можете разрешить доверенным службам Майкрософт обойти этот брандмауэр. Список доверенных служб содержит не все службы Azure. Например, Azure DevOps не содержится в списке доверенных служб. Это не означает, что службы, которые не отображаются в списке доверенных служб, не являются доверенными или небезопасны. Список доверенных служб содержит службы, в которых Майкрософт контролирует весь код, выполняемый в службе. Поскольку пользователи могут писать собственный код в таких службах Azure, как Azure DevOps, Microsoft не предоставляет возможности для создания общего одобрения для этой службы. Более того, только то, что служба отображается в списке доверенных служб, не означает, что она разрешена для всех сценариев.
Чтобы определить, находится ли служба, которую вы пытаетесь использовать, в списке доверенных служб, см. Виртуальные сетевые конечные точки для Azure Key Vault. Службы, которые не находятся в этой таблице, блокируются брандмауэром независимо от того, включен ли параметр обхода.
Обход по-прежнему применяется к доверенным службам, если для publicNetworkAccess задано значение Disabled; этим службам не требуется частная конечная точка для доступа к хранилищу. Однако, если для общедоступного сетевого доступа установлено значение Secure by perimeter (посредством связывания с Network Security Perimeter), это исключение отменяется, и даже доверенные службы блокируются, если только явное правило доступа к периметру не допускает их.
Чтобы разрешить доверенным службам обойти брандмауэр:
- Перейдите к хранилищу ключей на портале Azure.
- Выберите "Сеть" в меню слева.
- На вкладке "Брандмауэры и виртуальные сети " в разделе "Исключение" выберите разрешить доверенным службам Майкрософт обойти этот брандмауэр.
- Нажмите кнопку "Сохранить".
Брандмауэр Key Vault включен (IPv4-адреса и диапазоны — статические IP-адреса)
Если вы хотите авторизовать определенную службу для доступа к хранилищу ключей через брандмауэр Key Vault, можно добавить ЕГО IP-адрес в список разрешений брандмауэра хранилища ключей. Эта конфигурация лучше подходит для служб, использующих статические IP-адреса или известные диапазоны. Для этого случая существует ограничение в 1000 диапазонов CIDR.
Чтобы разрешить IP-адрес или диапазон адресов для ресурса Azure, например веб-приложению или приложению логики, выполните следующие действия.
- Войдите на портал Azure.
- Выберите ресурс (конкретный экземпляр сервиса).
- Выберите колонку "Свойства" в разделе "Параметры".
- Найдите поле IP-адреса.
- Скопируйте это значение или диапазон и введите его в список разрешений брандмауэра хранилища ключей.
Чтобы разрешить весь сервис Azure через брандмауэр сервиса Key Vault, используйте список общедоступных IP-адресов центров обработки данных для Azure. Найдите IP-адреса, связанные со службой, которую вы хотите найти в нужном регионе, и добавьте эти IP-адреса в брандмауэр хранилища ключей.
Чтобы добавить правила IP-адресов, выполните следующие действия.
- Перейдите к хранилищу ключей и выберите "Сеть".
- На вкладке "Брандмауэры и виртуальные сети " в разделе "Брандмауэр" введите адреса IPv4 или диапазоны CIDR.
- Нажмите кнопку "Сохранить".
Брандмауэр Key Vault включен (виртуальные сети — динамические IP-адреса)
Если вы пытаетесь разрешить ресурс Azure, например виртуальную машину, в хранилище ключей, возможно, вы не сможете использовать статические IP-адреса и не хотите разрешать всем IP-адресам виртуальных машин Azure доступ к хранилищу ключей.
В этом случае необходимо создать ресурс в виртуальной сети, а затем разрешить трафик из конкретной виртуальной сети и подсети для доступа к хранилищу ключей.
- Перейдите в хранилище ключей, которое вы хотите настроить.
- Щелкните Сеть и выберите вкладку Брандмауэры и виртуальные сети.
- В разделе Разрешить доступ из выберите Разрешить общий доступ из определенных виртуальных сетей и с IP-адресов.
- Выберите +Добавить виртуальную сеть>, чтобы добавить существующие виртуальные сети.
- Выберите подписку, виртуальные сети и подсети, для которых вы хотите разрешить доступ. Если конечные точки службы не включены, нажмите кнопку "Включить " при появлении запроса. Эта настройка вступит в силу в течение 15 минут.
- Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.
Чтобы добавить новую виртуальную сеть, нажмите кнопку "Добавить виртуальную сеть>" и следуйте инструкциям.
Брандмауэр Key Vault включен (приватный канал)
Сведения о настройке подключения приватного канала в хранилище ключей см. в статье "Интеграция Key Vault с Приватным каналом Azure".
Перечисление сетевых правил
Чтобы просмотреть текущие сетевые правила, настроенные для хранилища ключей, выполните следующие действия.
- Перейдите к хранилищу ключей и выберите "Сеть".
- Просмотрите настроенные виртуальные сети и IP-адреса на вкладке "Брандмауэры и виртуальные сети ".
Удаление сетевых правил
- Перейдите к хранилищу ключей и выберите "Сеть".
- На вкладке "Брандмауэры и виртуальные сети " щелкните значок удаления рядом с правилом, которое нужно удалить.
- Нажмите кнопку "Сохранить".
Внимание
Когда правила брандмауэра начнут действовать, пользователи смогут выполнять операции с данными в Key Vault только из разрешенных виртуальных сетей или диапазонов IPv4-адресов. Это относится и к получению доступа к Key Vault с портала Azure. Пользователь сможет перейти в хранилище ключей с портала Azure, но не сможет получить список ключей, секретов и сертификатов, если клиентский компьютер не включен в список разрешенных. Это также влияет на средство выбора Key Vault, используемое другими службами Azure. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют их клиентскому компьютеру.
Примечание.
Следует учитывать следующие ограничения конфигурации:
- Допускается не более 200 правил виртуальной сети и 1000 правил IPv4.
- Правила IP-сети можно применять только в общедоступных IP-адресах. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. К частным сетям относятся адреса, начинающиеся с 10., 172.16-31 и 192.168.
- Сейчас поддерживаются только IPV4-адреса.
Общедоступный доступ отключен (только частная конечная точка)
Чтобы повысить безопасность сети, вы можете настроить хранилище для отключения общедоступного доступа. Это запрещает все общедоступные конфигурации и разрешает подключения только через частные конечные точки.
Отключение общедоступного доступа не отключает обход для доверенных служб: доверенные службы по-прежнему могут получать доступ к хранилищу и не требуют приватной конечной точки. службы Майкрософт, которые не находятся в списке доверенных служб (например, Azure DevOps), блокируются и должны подключаться через частную конечную точку.
Полные инструкции по настройке приватного канала см. в статье "Интеграция Key Vault с Приватным каналом Azure".
Примечание.
Что по-прежнему отображается публично после отключения общедоступного доступа. Полное доменное имя хранилища ключей (<vault-name>.vault.azure.net и его CNAME в privatelink.vaultcore.azure.net) продолжает разрешаться из общедоступных резолверов DNS. Это поведение выполняется путем разработки и требуется для модели наложения DNS Приватный канал, которую использует каждая Azure служба PaaS.
dig или nslookup из общедоступного Интернета возвращает региональный IP-адрес общего доступа для Key Vault, и этот вход отказывает в каждом запросе при отключении общего доступа. Разрешение публичных DNS не раскрывает, существует ли приватная конечная точка, частный IP-адрес конечной точки, сетевые правила хранилища или любое содержимое уровня данных. Дополнительные сведения см. в статье Общедоступная DNS видимость закрытого хранилища ключей и Настройка DNS для частной конечной точки Azure.
Чтобы отключить общедоступный доступ после настройки приватного канала:
- Перейдите к хранилищу ключей на портале Azure.
- Выберите "Сеть" в меню слева.
- Перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
- В разделе "Разрешить доступ" выберите "Отключить общедоступный доступ".
- Нажмите кнопку "Сохранить".
Внимание
После отключения общедоступного доступа хранилище ключей доступно только через частные конечные точки. Убедитесь, что конфигурация частной конечной точки завершена перед отключением общедоступного доступа. Отключение публичного доступа блокирует соединения уровня данных; это не удаляет публичные DNS-записи хранилища, которые остаются разрешаемыми по умолчанию.
Периметр безопасности сети
Периметр безопасности сети позволяет организациям определять границу логической сетевой изоляции для ресурсов PaaS (например, Azure Key Vault, хранилища Azure и базы данных SQL), развернутых за пределами виртуальных сетей вашей организации. Он ограничивает доступ к ресурсам PaaS за пределами периметра, доступ можно исключить с помощью явных правил доступа для общедоступного входящего и исходящего трафика.
Периметр безопасности сети теперь общедоступен для поддерживаемых ресурсов. См. сведения о подключенных ресурсах приватного канала и ограничениях периметра безопасности сети. Дополнительные сведения см. в разделе "Переход на периметр безопасности сети".
Внимание
Трафик частной конечной точки считается высокозащищенным и поэтому не подлежит правилам периметра безопасности сети. Весь остальной трафик, включая доверенные службы, будет подчиняться правилам периметра сетевой безопасности, если хранилище ключей связано с периметром.
С периметром безопасности сети:
- Все ресурсы внутри периметра могут взаимодействовать с любым другим ресурсом в периметре.
- Внешний доступ доступен со следующими элементами управления:
- Общедоступный входящий доступ можно утвердить с помощью характеристик сети и идентификационных параметров клиента, например, исходных IP-адресов и подписок.
- Общедоступный исходящий трафик может быть утвержден с использованием полных доменных имен (FQDN) внешних адресов.
- Журналы диагностики включены для ресурсов PaaS в периметре для аудита и соответствия требованиям.
Ограничения и границы
- Отключение доступа к общедоступной сети по-прежнему разрешает доверенные службы. Переключение общедоступного сетевого доступа на безопасный по периметру запрещает доступ доверенных служб, даже если они настроены как разрешённые.
- Правила брандмауэра Azure Key Vault применяются только к операциям плоскости данных.
Операции контрольной плоскости не подлежат ограничениям, указанным в правилах брандмауэра. Это включает развертывание секретов или ключей с помощью шаблонов ARM, которые используют конечную точку уровня управления Azure Resource Manager (
management.azure.com), а не конечную точку уровня данных Key Vault (<vault-name>.vault.azure.net). Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети для Azure Key Vault. - Чтобы получить доступ к данным с помощью таких средств, как портал Azure, необходимо находиться на компьютере в пределах доверенной границы, устанавливаемой при настройке правил безопасности сети.
- Azure Key Vault не имеет понятия о правилах исходящего трафика, вы по-прежнему можете связать хранилище ключей с периметром в пределах правил исходящего трафика, но хранилище ключей пользоваться ими не будет.
- Журналы доступа к периметру безопасности сети для Azure Key Vault могут не иметь полей count или timeGeneratedEndTime.
Связывание периметра безопасности сети с хранилищем ключей — Azure PowerShell
Чтобы связать периметр безопасности сети с хранилищем ключей в Azure PowerShell, следуйте этим инструкциям.
Связывание периметра безопасности сети с хранилищем ключей — Azure CLI
Чтобы связать периметр безопасности сети с хранилищем ключей в Azure CLI, следуйте этим инструкциям.
Режимы доступа периметра безопасности сети
Периметр безопасности сети поддерживает два разных режима доступа для связанных ресурсов:
| Режим | Описание |
|---|---|
| Режим перехода (прежнее название — режим обучения) | Режим доступа по умолчанию. В режиме Transition периметр безопасности сети регистрирует весь трафик в службу поиска, который был бы отклонен, если периметр был в принудительном режиме. Это позволяет администраторам сети понять существующие шаблоны доступа службы поиска перед реализацией правил доступа. |
| Принудительный режим | В принудительном режиме система периметра безопасности сети ведет журналы и запрещает весь трафик, который явно не разрешен правилами доступа. |
Параметры сетевого периметра безопасности и сетевые настройки хранилища ключей
Параметр publicNetworkAccess определяет связь хранилища ключей с периметром безопасности сети.
В режиме перехода
publicNetworkAccessпараметр управляет доступом к ресурсу.В принудительном режиме параметр
publicNetworkAccessпереопределяется правилами периметра безопасности сети. Например, если служба поиска сpublicNetworkAccessпараметромenabledсвязана с периметром безопасности сети в принудительном режиме, доступ к службе поиска по-прежнему контролируется правилами доступа к периметру безопасности сети.
Изменение режима доступа к периметру безопасности сети
Перейдите к ресурсу периметра безопасности сети на портале.
Выберите ресурсы в меню слева.
Найдите хранилище ключей в таблице.
Выберите три точки в правой части строки службы поиска. Выберите Изменить режим доступа во всплывающем окне.
Выберите нужный режим доступа и нажмите кнопку "Применить".
Включить сетевой доступ для ведения журнала
Смотрите журналы диагностики для периметра сетевой безопасности.
Ссылки
- Справочник по шаблону ARM: Справочник по шаблону ARM Azure Key Vault
- Команда Azure CLI: az keyvault network-rule.
- Командлеты для Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet.