Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются различные конфигурации для брандмауэра управляемого HSM в Azure Key Vault. Пошаговые инструкции по настройке этих параметров см. в руководстве по настройке параметров сети HSM в Azure.
Параметры брандмауэра
В этом разделе описаны различные способы настройки брандмауэра управляемого HSM в Azure Key Vault.
Управляемый брандмауэр HSM отключен (общедоступный доступ включен ко всем сетям)
По умолчанию при создании нового управляемого HSM брандмауэр управляемого HSM в Azure Key Vault отключен. Все приложения и службы Azure могут получить доступ к управляемому HSM и отправлять запросы в управляемый HSM. Эта конфигурация не предоставляет пользователю разрешение на выполнение операций с управляемым устройством HSM. Управляемый HSM по-прежнему ограничивает доступ к ключам, хранящимся в управляемом HSM, требуя проверки подлинности и доступа Microsoft Entra. Дополнительные сведения об управляемой проверке подлинности HSM см. в статье об управляемом управлении доступом HSM в Azure Key Vault.
Брандмауэр управляемой HSM включен (межсетевой экран IP-сети (предварительная версия))
Если вы хотите авторизовать определенную службу для доступа к управляемому HSM через брандмауэр управляемого HSM, добавьте его IP-адрес в список разрешений брандмауэра HSM с помощью функции брандмауэра IP-сети (предварительная версия). Эта конфигурация лучше всего подходит для служб, использующих статические IP-адреса или известные диапазоны. Для этой конфигурации можно добавить до 10 диапазонов CIDR.
Замечание
Для функции брандмауэра IP-сети (предварительная версия) требуется включение подписки. Если вы хотите использовать эту функцию, создайте запрос в службу поддержки с информацией о подписке и регионе.
Чтобы разрешить IP-адрес или диапазон для ресурса Azure, например веб-приложения или логического приложения, выполните следующие шаги.
- Войдите на портал Azure.
- Выберите ресурс (конкретный экземпляр службы).
- Выберите колонку "Свойства" в разделе "Параметры".
- Найдите поле IP-адреса.
- Скопируйте это значение или диапазон и введите его в список разрешений управляемого брандмауэра HSM.
Чтобы разрешить всю службу Azure через управляемый брандмауэр HSM, используйте список общедоступных задокументированных IP-адресов центра обработки данных для Azure. Найдите IP-адреса, связанные со службой, в нужном регионе, и добавьте эти IP-адреса в управляемый брандмауэр HSM.
Замечание
Помните о следующих ограничениях конфигурации брандмауэра IP-сети (предварительная версия):
- Можно добавить до 10 правил IPv4.
- Правила IP-сети можно применять только в общедоступных IP-адресах. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в RFC 1918), не допускаются в правилах IP-адресов.
- Сейчас поддерживаются только IPV4-адреса.
Управляемый межсетевой экран HSM (службы доверия)
При включении брандмауэра управляемого устройства HSM можно выбрать параметр разрешить доверенным службам Майкрософт обходить этот брандмауэр. Список доверенных служб не охватывает каждую службу Azure. Например, Azure DevOps не содержится в списке доверенных служб. Это ограничение не означает, что службы, которые не отображаются в списке доверенных служб, являются ненадежными или небезопасными. Список доверенных служб включает службы, где корпорация Майкрософт управляет всем кодом, который выполняется в службе. Поскольку пользователи могут писать пользовательский код в службах Azure, таких как Azure DevOps, Microsoft не предоставляет возможности создать глобальное утверждение для службы. Кроме того, так как служба отображается в списке доверенных служб, она не означает, что она разрешена для всех сценариев.
Чтобы определить, находится ли служба, которую вы пытаетесь использовать, в списке доверенных служб, ознакомьтесь с конечными точками службы виртуальной сети для Azure Key Vault. Для получения руководства, следуйте инструкциям для портала, Azure CLI и PowerShell.
Брандмауэр управляемой HSM включён (приватная ссылка)
Сведения о настройке подключения приватного канала на управляемом HSM см. в статье Интеграция управляемого HSM с Приватным каналом Azure.
Это важно
После того как правила брандмауэра вступят в силу, пользователи могут выполнять только операции с управляемым плоскостем данных HSM, когда их запросы исходят из разрешенных диапазонов адресов IPv4. Это ограничение также применяется к доступу к управляемому HSM на портале Azure. Хотя пользователи могут перейти к управляемому HSM на портале Azure, они могут не иметь возможности перечислять ключи, если их клиентский компьютер не указан в разрешенном списке. Это ограничение также влияет на управляемый селектор HSM, используемый другими службами Azure. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют их клиентскому компьютеру.
Общедоступный доступ отключен (только частная конечная точка)
Чтобы повысить безопасность сети, можно настроить управляемый HSM для отключения общедоступного доступа. Эта конфигурация запрещает общий доступ и разрешает только подключения через частные конечные точки.
Ограничения и рекомендации
- Настройка общедоступного сетевого доступа в состояние "Отключено" может по-прежнему разрешать доступ доверенным службам.
- Правила брандмауэра для Azure Key Vault Managed HSM применяются только к операциям плоскости передачи данных. Операции уровня управления не подчиняются ограничениям, указанным в правилах брандмауэра.
- Чтобы получить доступ к данным с помощью таких средств, как портал Azure, необходимо находиться на компьютере в пределах доверенной границы, устанавливаемой при настройке правил безопасности сети.
Дальнейшие шаги
- Настройка параметров сети управляемого устройства HSM в Azure
- Интеграция управляемого устройства HSM с приватным каналом Azure
- Обеспечение безопасности управляемого аппаратного модуля защиты (HSM) в Azure
- Управление доступом