Поделиться через

Настройка сетевой безопасности для Azure Key Vault

В этой статье рассматриваются различные конфигурации безопасности сети для Azure Key Vault и пошаговые инструкции по их настройке. Рекомендации по обеспечению безопасности см. в статье "Защита Azure Key Vault: безопасность сети".

Дополнительные сведения о конечных точках службы виртуальной сети см. в статье "Конечные точки службы виртуальной сети" для Azure Key Vault.

Параметры брандмауэра

В этом разделе рассматриваются различные способы настройки брандмауэра Azure Key Vault.

Брандмауэр Key Vault отключен (по умолчанию)

По умолчанию при создании нового хранилища ключей брандмауэр Azure Key Vault отключен. Все приложения и службы Azure имеют доступ к хранилищу ключей и отправляют запросы в хранилище ключей. Эта конфигурация не означает, что любой пользователь сможет выполнять операции в хранилище ключей. Хранилище ключей по-прежнему ограничивает доступ к секретам, ключам и сертификатам, хранящимся в хранилище ключей, требуя проверки подлинности Microsoft Entra и разрешений политики доступа. Дополнительные сведения о проверке подлинности хранилища ключей см. в статье "Проверка подлинности в Azure Key Vault". Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.

Брандмауэр Key Vault включен (только доверенные службы)

При включении брандмауэра Key Vault вы можете разрешить доверенным службам Майкрософт обойти этот брандмауэр. Список доверенных служб содержит не все службы Azure. Например, Azure DevOps не содержится в списке доверенных служб. Это не означает, что службы, которые не отображаются в списке доверенных служб, не являются доверенными или небезопасны. Список доверенных служб содержит службы, в которых Майкрософт контролирует весь код, выполняемый в службе. Так как пользователи могут писать пользовательский код в таких службах Azure, как Azure DevOps, корпорация Майкрософт не предоставляет возможность создать утверждение параметров для этой службы. Более того, только то, что служба отображается в списке доверенных служб, не означает, что она разрешена для всех сценариев.

Чтобы определить, находится ли служба, используемая в списке доверенных служб, см . сведения о конечных точках службы виртуальной сети для Azure Key Vault.

Чтобы разрешить доверенным службам обойти брандмауэр:

  1. Перейдите к хранилищу ключей на портале Azure.
  2. Выберите "Сеть" в меню слева.
  3. На вкладке "Брандмауэры и виртуальные сети " в разделе "Исключение" выберите разрешить доверенным службам Майкрософт обойти этот брандмауэр.
  4. Нажмите кнопку "Сохранить".

Брандмауэр Key Vault включен (IPv4-адреса и диапазоны — статические IP-адреса)

Если вы хотите авторизовать определенную службу для доступа к хранилищу ключей через брандмауэр Key Vault, можно добавить ЕГО IP-адрес в список разрешений брандмауэра хранилища ключей. Эта конфигурация лучше подходит для служб, использующих статические IP-адреса или известные диапазоны. Для этого случая существует ограничение в 1000 диапазонов CIDR.

Чтобы разрешить IP-адрес или диапазон адресов для ресурса Azure, например веб-приложению или приложению логики, выполните следующие действия.

  1. Войдите на портал Azure.
  2. Выберите ресурс (конкретный экземпляр службы).
  3. Выберите колонку "Свойства" в разделе "Параметры".
  4. Найдите поле IP-адреса.
  5. Скопируйте это значение или диапазон и введите его в список разрешений брандмауэра хранилища ключей.

Чтобы разрешить весь сервис Azure через брандмауэр сервиса Key Vault, используйте список общедоступных IP-адресов центров обработки данных для Azure. Найдите IP-адреса, связанные со службой, которую вы хотите найти в нужном регионе, и добавьте эти IP-адреса в брандмауэр хранилища ключей.

Чтобы добавить правила IP-адресов, выполните следующие действия.

  1. Перейдите к хранилищу ключей и выберите "Сеть".
  2. На вкладке "Брандмауэры и виртуальные сети " в разделе "Брандмауэр" введите адреса IPv4 или диапазоны CIDR.
  3. Нажмите кнопку "Сохранить".

Брандмауэр Key Vault включен (виртуальные сети — динамические IP-адреса)

Если вы пытаетесь разрешить ресурс Azure, например виртуальную машину, в хранилище ключей, возможно, вы не сможете использовать статические IP-адреса и не хотите разрешать всем IP-адресам виртуальных машин Azure доступ к хранилищу ключей.

В этом случае необходимо создать ресурс в виртуальной сети, а затем разрешить трафик из конкретной виртуальной сети и подсети для доступа к хранилищу ключей.

  1. Перейдите в хранилище ключей, которое вы хотите настроить.
  2. Щелкните Сеть и выберите вкладку Брандмауэры и виртуальные сети.
  3. В разделе Разрешить доступ из выберите Разрешить общий доступ из определенных виртуальных сетей и с IP-адресов.
  4. Выберите +Добавить виртуальную сеть>, чтобы добавить существующие виртуальные сети.
  5. Выберите подписку, виртуальные сети и подсети, для которых вы хотите разрешить доступ. Если конечные точки службы не включены, нажмите кнопку "Включить " при появлении запроса. Эта настройка вступит в силу в течение 15 минут.
  6. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

Чтобы добавить новую виртуальную сеть, нажмите кнопку "Добавить виртуальную сеть>" и следуйте инструкциям.

Сведения о настройке подключения приватного канала в хранилище ключей см. в статье "Интеграция Key Vault с Приватным каналом Azure".

Перечисление сетевых правил

Чтобы просмотреть текущие сетевые правила, настроенные для хранилища ключей, выполните следующие действия.

  1. Перейдите к хранилищу ключей и выберите "Сеть".
  2. Просмотрите настроенные виртуальные сети и IP-адреса на вкладке "Брандмауэры и виртуальные сети ".

Удаление сетевых правил

  1. Перейдите к хранилищу ключей и выберите "Сеть".
  2. На вкладке "Брандмауэры и виртуальные сети " щелкните значок удаления рядом с правилом, которое нужно удалить.
  3. Нажмите кнопку "Сохранить".

Внимание

Когда правила брандмауэра начнут действовать, пользователи смогут выполнять запросы на операции плоскости данных в Key Vault только из разрешенных виртуальных сетей или диапазонов IPv4-адресов. Это относится и к получению доступа к Key Vault с портала Azure. Пользователь сможет перейти в хранилище ключей с портала Azure, но не сможет получить список ключей, секретов и сертификатов, если клиентский компьютер не включен в список разрешенных. Это также влияет на средство выбора Key Vault, используемое другими службами Azure. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют их клиентскому компьютеру.

Примечание.

Следует учитывать следующие ограничения конфигурации:

  • Допускается не более 200 правил виртуальной сети и 1000 правил IPv4.
  • Правила IP-сети можно применять только в общедоступных IP-адресах. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. К частным сетям относятся адреса, начинающиеся с 10., 172.16-31 и 192.168.
  • Сейчас поддерживаются только IPV4-адреса.

Общедоступный доступ отключен (только частная конечная точка)

Чтобы повысить безопасность сети, вы можете настроить хранилище для отключения общедоступного доступа. Это запрещает все общедоступные конфигурации и разрешает подключения только через частные конечные точки.

Полные инструкции по настройке приватного канала см. в статье "Интеграция Key Vault с Приватным каналом Azure".

Чтобы отключить общедоступный доступ после настройки приватного канала:

  1. Перейдите к хранилищу ключей на портале Azure.
  2. Выберите "Сеть" в меню слева.
  3. Перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
  4. В разделе "Разрешить доступ" выберите "Отключить общедоступный доступ".
  5. Нажмите кнопку "Сохранить".

Внимание

После отключения общедоступного доступа хранилище ключей доступно только через частные конечные точки. Убедитесь, что конфигурация частной конечной точки завершена перед отключением общедоступного доступа.

Периметр безопасности сети

Периметр безопасности сети позволяет организациям определять границу логической сетевой изоляции для ресурсов PaaS (например, Azure Key Vault, хранилища Azure и базы данных SQL), развернутых за пределами виртуальных сетей вашей организации. Он ограничивает доступ к ресурсам PaaS за пределами периметра, доступ можно исключить с помощью явных правил доступа для общедоступного входящего и исходящего трафика.

Периметр безопасности сети теперь общедоступен для поддерживаемых ресурсов. См. сведения о подключенных ресурсах приватного канала и ограничениях периметра безопасности сети. Дополнительные сведения см. в разделе "Переход на периметр безопасности сети".

Внимание

Трафик частной конечной точки считается высокозащищенным и поэтому не подлежит правилам периметра безопасности сети. Все остальные трафик, включая доверенные службы, будут подвергаться правилам периметра безопасности сети, если хранилище ключей связано с периметром.

С периметром безопасности сети:

  • Все ресурсы внутри периметра могут взаимодействовать с любым другим ресурсом в периметре.
  • Внешний доступ доступен со следующими элементами управления:
    • Общедоступный входящий доступ можно утвердить с помощью атрибутов сети и удостоверений клиента, таких как исходные IP-адреса, подписки.
    • Общедоступный исходящий трафик можно утвердить с помощью полных доменных имен (полных доменных имен) внешних назначений.
  • Журналы диагностики включены для ресурсов PaaS в периметре для аудита и соответствия требованиям.

Ограничения и границы

  • Настройка доступа к общедоступной сети для отключения по-прежнему разрешает доверенные службы. Переключение общедоступного сетевого доступа на безопасный по периметру, то запрещает доверенные службы, даже если настроено разрешить доверенные службы.
  • Правила брандмауэра Azure Key Vault применяются только к операциям плоскости данных. Операции плоскости управления не применяются к ограничениям, указанным в правилах брандмауэра. Это включает развертывание секретов или ключей с помощью шаблонов ARM, которые используют конечную точку уровня управления Azure Resource Manager (management.azure.com), а не конечную точку уровня данных Key Vault (<vault-name>.vault.azure.net). Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети для Azure Key Vault.
  • Чтобы получить доступ к данным с помощью таких средств, как портал Azure, необходимо находиться на компьютере в пределах доверенной границы, устанавливаемой при настройке правил безопасности сети.
  • Azure Key Vault не имеет понятия о правилах исходящего трафика, вы по-прежнему можете связать хранилище ключей с периметром с правилами исходящего трафика, но хранилище ключей не будет использовать их.
  • Журналы доступа к периметру безопасности сети для Azure Key Vault могут не иметь полей count или timeGeneratedEndTime.

Связывание периметра безопасности сети с хранилищем ключей — Azure PowerShell

Чтобы связать периметр безопасности сети с хранилищем ключей в Azure PowerShell, следуйте этим инструкциям.

Связывание периметра безопасности сети с хранилищем ключей — Azure CLI

Чтобы связать периметр безопасности сети с хранилищем ключей в Azure CLI, следуйте этим инструкциям.

Режимы доступа периметра безопасности сети

Периметр безопасности сети поддерживает два разных режима доступа для связанных ресурсов:

Режим Описание
Режим перехода (прежнее название — режим обучения) Режим доступа по умолчанию. В режиме Transition периметр безопасности сети регистрирует весь трафик в службу поиска, который был бы отклонен, если периметр был в принудительном режиме. Это позволяет администраторам сети понять существующие шаблоны доступа службы поиска перед реализацией правил доступа.
Принудительный режим В принудительном режиме журналы периметра безопасности сети и запрещает весь трафик, который явно не разрешен правилами доступа.

Параметры сети периметра безопасности сети и хранилища ключей

Параметр publicNetworkAccess определяет связь хранилища ключей с периметром безопасности сети.

  • В режиме перехода publicNetworkAccess параметр управляет доступом к ресурсу.

  • В принудительном режиме publicNetworkAccess параметр переопределяется правилами периметра безопасности сети. Например, если служба поиска с publicNetworkAccess параметром enabled связана с периметром безопасности сети в принудительном режиме, доступ к службе поиска по-прежнему контролируется правилами доступа к периметру безопасности сети.

Изменение режима доступа к периметру безопасности сети

  1. Перейдите к ресурсу периметра безопасности сети на портале.

  2. Выберите ресурсы в меню слева.

  3. Найдите хранилище ключей в таблице.

  4. Выберите три точки в правой части строки службы поиска. Выберите "Изменить режим доступа" во всплывающем оккупе.

  5. Выберите нужный режим доступа и нажмите кнопку "Применить".

Включение доступа к сети ведения журнала

См . журналы диагностики для периметра безопасности сети.

Ссылки

Следующие шаги

  • Last updated on