مشاركة عبر

أمان الشبكة ل Azure Key Vault

  • مقالة

يغطي هذا المستند التكوينات المختلفة لجدار حماية Azure Key Vault بالتفصيل. لاتباع الإرشادات خطوة بخطوة حول كيفية تكوين هذه الإعدادات، راجع تكوين إعدادات شبكة Azure Key Vault.

للتعرف على المزيد من المعلومات، راجع نقاط النهاية لخدمة الشبكة الظاهرية في Azure Key Vault.

إعدادات جدار الحماية

يغطي هذا القسم الطرق المختلفة التي يمكن من خلالها تكوين جدار حماية Azure Key Vault.

جدار حماية المخزن الرئيس معطل (الافتراضي)

عند إنشاء مخزن رئيسي جديد، يتم تعطيل جدار حماية Azure Key Vault بشكل افتراضي. يمكن لجميع التطبيقات وخدمات Azure الوصول إلى المخزن الرئيسي وإرسال الطلبات إلى المخزن الرئيسي. لا يعني هذا التكوين أن أي مستخدم سيكون قادرا على تنفيذ العمليات على مخزن المفاتيح الخاص بك. لا يزال مخزن المفاتيح يقيد الوصول إلى الأسرار والمفاتيح والشهادات المخزنة في مخزن المفاتيح من خلال طلب مصادقة Microsoft Entra وأذونات نهج الوصول. لفهم مصادقة مخزن المفاتيح بمزيد من التفصيل، راجع المصادقة في Azure Key Vault. لمزيد من المعلومات، راجع الوصول إلى Azure Key Vault خلف جدار حماية.

تمكين جدار حماية المخزن الرئيسي (الخدمات الموثوق بها فقط)

عند تمكين جدار حماية Key Vault، يتم منحك خيار "السماح لخدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا." لا تضم قائمة الخدمات الموثوق بها جميع خدمات Azure. على سبيل المثال، Azure DevOps غير موجود في قائمة الخدمات الموثوق بها. وهذا لا يعني أن الخدمات التي لا تظهر في قائمة الخدمات الموثوق بها غير موثوق بها أو غير آمنة. تضم قائمة الخدمات الموثوق بها الخدمات التي تتحكم Microsoft فيها في جميع التعليمات البرمجية التي يتم تشغيلها على الخدمة. نظرًا إلى أن المستخدمين يمكنهم كتابة تعليمات برمجية مخصصة في خدمات Azure مثل Azure DevOps، لا توفر Microsoft الخيار لإنشاء موافقة مفتوحة لهذه الخدمة. علاوة على ذلك، إن ظهور خدمة ما في قائمة الخدمات الموثوق بها لا يعني أنه مسموح بها في جميع السيناريوهات.

لتحديد ما إذا كانت الخدمة التي تحاول استخدامها موجودة في قائمة الخدمة الموثوق بها، راجع نقاط نهاية خدمة الشبكة الظاهرية ل Azure Key Vault. للحصول على دليل إرشادي، اتبع الإرشادات هنا للمدخل وAzure CLI وPowerShell

تمكين جدار حماية المخزن الرئيسي (عناوين ونطاقات IPv4 - عناوين IP ثابتة)

إذا كنت ترغب في تخويل خدمة معينة للوصول إلى مخزن المفاتيح من خلال جدار حماية Key Vault، يمكنك إضافة عنوان IP الخاص به إلى قائمة السماح لجدار حماية مخزن المفاتيح. يعد هذا التكوين الأفضل للخدمات التي تستخدم عناوين IP ثابتة أو نطاقات معروفة. هناك حد مكون من 1000 من نطاقات CIDR لهذه الحالة.

للسماح لعنوان IP أو نطاق مورد Azure، مثل Web App أو Logic App، قم بتنفيذ الخطوات التالية.

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. حدد المورد (مثيل معين للخدمة).
  3. حدد جزء Properties ضمن Settings.
  4. ابحث عن حقل عنوان IP.
  5. انسخ هذه القيمة أو النطاق وأدخلها في قائمة السماح لجدار حماية مخزن المفاتيح.

للسماح لخدمة Azure بالكامل، من خلال جدار حماية المخزن الرئيسي، استخدم استخدام قائمة عناوين IP لمركز البيانات الموثقة بشكل عام في Azure من هنا. ابحث عن عناوين IP المقترنة بالخدمة التي تريدها في المنطقة التي تريدها وأضف عناوين IP هذه إلى جدار حماية مخزن المفاتيح.

تمكين جدار حماية المخزن الرئيسي (الشبكات الظاهرية - عناوين IP الديناميكية)

إذا كنت تحاول السماح لمورد Azure مثل جهاز ظاهري من خلال المخزن الرئيسي، قد لا تتمكن من استخدام عناوين IP ثابتة، وربما لا تريد السماح لجميع عناوين IP لأجهزة Azure الظاهرية بالوصول إلى المخزن الرئيسي.

في هذه الحالة، يجب إنشاء المورد داخل شبكة ظاهرية، ثم السماح لحركة البيانات من الشبكة الظاهرية المحددة والشبكة الفرعية للوصول إلى المخزن الرئيسي.

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. حدد key vault الذي ترغب في تكوينه.
  3. حدد جزء "Networking".
  4. حدد '+ إضافة شبكة ظاهرية موجودة'.
  5. تحديد الشبكة الظاهرية والشبكة الفرعية التي تريد السماح لها من خلال جدار حماية المخزن الرئيسي.

لفهم كيفية تكوين اتصال ارتباط خاص على مخزن المفاتيح، راجع المستند هنا.

هام

بعد أن تسري قواعد جدار الحماية، يمكن للمستخدمين فقط تنفيذ عمليات مستوى بيانات المخزن الرئيسي عندما تنشأ طلباتهم من الشبكات الظاهرية أو نطاقات عناوين IPv4 المسموح لها. ينطبق هذا أيضًا على الوصول إلى المخزن الرئيسي من مدخل Azure. في حين أنه بإمكان المستخدمين التصفح للوصول إلى المخزن الرئيسي من مدخل Azure، إلا أنه قد لا يمكنهم إدراج المفاتيح أو الأسرار أو الشهادات إذا لم يكن جهاز العميل الخاص بهم في القائمة المسموح لها. يؤثر هذا أيضا على منتقي Key Vault الذي تستخدمه خدمات Azure الأخرى. قد يتمكن المستخدمون من رؤية قائمة بخزائن المفاتيح، ولكن ليس سرد المفاتيح، إذا كانت قواعد جدار الحماية تمنع جهاز العميل الخاص بهم.

إشعار

يجب أن تكون ملمًا بقيود التكوين التالية:

  • لا يُسمح بأكثر من 200 قاعدة للشبكة الظاهرية و1000 من قواعد IPv4.
  • يُسمح فقط بقواعد شبكة IP لعناوين IP العامة. غير مسموح لنطاقات عناوين IP المحجوزة للشبكات الخاصة (كما هو محدد في RFC 1918) في قواعد IP. تشمل الشبكات الخاصة العناوين التي تبدأ بـ 10.و172.16-31و192.168..
  • عناوين IPv4 هي المدعومة فقط في هذا الوقت.

تعطيل الوصول العام (نقطة النهاية الخاصة فقط)

لتحسين أمان الشبكة، يمكنك تكوين المخزن الخاص بك لتعطيل الوصول العام. هذا يرفض جميع التكوينات العامة ويسمح بالاتصالات فقط من خلال نقاط النهاية الخاصة.

محيط أمان الشبكة (معاينة)

يسمح محيط أمان الشبكة (معاينة) للمؤسسات بتحديد حدود عزل شبكة منطقية لموارد PaaS (على سبيل المثال، Azure Key Vault وتخزين Azure وقاعدة بيانات SQL) التي يتم نشرها خارج الشبكات الظاهرية لمؤسستك. فهو يقيد وصول الشبكة العامة إلى موارد PaaS خارج المحيط، ويمكن إعفاء الوصول باستخدام قواعد الوصول الصريحة للوارد العام والصادر.

حاليا، مراقب أمان الشبكة في المعاينة العامة لمجموعة فرعية من الموارد. راجع إلحاق موارد الارتباط الخاص وقيود محيط أمان الشبكة. لمزيد من المعلومات، راجع الانتقال إلى محيط أمان الشبكة.

هام

تعتبر حركة مرور نقطة النهاية الخاصة آمنة للغاية وبالتالي لا تخضع لقواعد محيط أمان الشبكة. ستخضع جميع نسبة استخدام الشبكة الأخرى، بما في ذلك الخدمات الموثوق بها، لقواعد محيط أمان الشبكة إذا كان مخزن المفاتيح مقترنا بمحيط.

مع محيط أمان الشبكة:

  • يمكن لجميع الموارد داخل المحيط الاتصال بأي مورد آخر داخل المحيط.
  • يتوفر الوصول الخارجي مع عناصر التحكم التالية:
    • يمكن الموافقة على الوصول العام الوارد باستخدام سمات الشبكة والهوية للعميل مثل عناوين IP المصدر والاشتراكات.
    • يمكن الموافقة على الصادر العام باستخدام FQDNs (أسماء المجالات المؤهلة بالكامل) للوجهات الخارجية.
  • يتم تمكين سجلات التشخيص لموارد PaaS داخل محيط التدقيق والامتثال.

القيود والاعتبارات

  • لا يزال تعيين الوصول إلى الشبكة العامة إلى Disable يسمح بالخدمات الموثوق بها. يؤدي تبديل الوصول إلى الشبكة العامة إلى آمن حسب المحيط، ثم يمنع الخدمات الموثوق بها حتى لو تم تكوينها للسماح بالخدمات الموثوق بها.
  • تنطبق قواعد جدار حماية Azure Key Vault فقط على عمليات مستوى البيانات. لا تخضع عمليات وحدة التحكم للقيود المحددة في قواعد جدار الحماية.
  • للوصول إلى البيانات باستخدام أدوات مثل مدخل Microsoft Azure، يجب أن تكون على جهاز ضمن الحدود الموثوق بها التي تقوم بإنشاءها عند تكوين قواعد أمان الشبكة.
  • لا يحتوي Azure Key Vault على مفهوم القواعد الصادرة، ولا يزال بإمكانك إقران مخزن مفاتيح بمحيط بالقواعد الصادرة ولكن لن يستخدمها مخزن المفاتيح.

إقران محيط أمان الشبكة بخزنة مفاتيح - Azure PowerShell

لربط Network Security Perimeter بخزنة مفاتيح في Azure PowerShell، اتبع هذه الإرشادات.

إقران محيط أمان الشبكة بخزنة مفاتيح - Azure CLI

لربط محيط أمان الشبكة بخزنة مفاتيح في Azure CLI، اتبع هذه الإرشادات

أوضاع الوصول إلى محيط أمان الشبكة

يدعم محيط أمان الشبكة وضعي وصول مختلفين للموارد المرتبطة:

طريقة الوصف
وضع التعلم وضع الوصول الافتراضي. في وضع التعلم ، يسجل محيط أمان الشبكة كل حركة المرور إلى خدمة البحث التي كان سيتم رفضها إذا كان المحيط في الوضع المفروض. يسمح هذا لمسؤولي الشبكة بفهم أنماط الوصول الحالية لخدمة البحث قبل تنفيذ فرض قواعد الوصول.
الوضع المفروض في الوضع المفروض ، يسجل محيط أمان الشبكة ويرفض كل نسبة استخدام الشبكة التي لا تسمح بها قواعد الوصول بشكل صريح.

محيط أمان الشبكة وإعدادات شبكة مخزن المفاتيح

publicNetworkAccess يحدد الإعداد اقتران مخزن المفاتيح بمحيط أمان الشبكة.

  • في وضع التعلم، يتحكم الإعداد في publicNetworkAccess الوصول العام إلى المورد.

  • في الوضع المفروض، publicNetworkAccess يتم تجاوز الإعداد بواسطة قواعد محيط أمان الشبكة. على سبيل المثال، إذا كانت خدمة البحث ذات publicNetworkAccess إعداد enabled مقترنة بمحيط أمان الشبكة في الوضع المفروض، فلا يزال الوصول إلى خدمة البحث خاضعا لقواعد الوصول إلى محيط أمان الشبكة.

تغيير وضع الوصول إلى محيط أمان الشبكة

  1. انتقل إلى مورد محيط أمان الشبكة في المدخل.

  2. حدد الموارد في القائمة اليسرى.

  3. ابحث عن key vault في الجدول.

  4. حدد النقاط الثلاث في أقصى يسار صف خدمة البحث. حدد تغيير وضع الوصول في النافذة المنبثقة.

  5. حدد وضع الوصول المطلوب وحدد تطبيق.

تمكين تسجيل الوصول إلى الشبكة

راجع سجلات التشخيص لمحيط أمان الشبكة.

المراجع

الخطوات التالية