Az Azure Key Vault hálózati biztonsága

Cikk
11/23/2024

Ez a dokumentum részletesen ismerteti az Azure Key Vault tűzfalának különböző konfigurációit. A beállítások konfigurálására vonatkozó részletes utasításokat az Azure Key Vault hálózati beállításainak konfigurálása című témakörben találja.

További információ: Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai.

Tűzfalbeállítások

Ez a szakasz az Azure Key Vault tűzfal konfigurálásának különböző módjait ismerteti.

A Key Vault tűzfala le van tiltva (alapértelmezett)

Ha új kulcstartót hoz létre, alapértelmezés szerint az Azure Key Vault tűzfala le van tiltva. Minden alkalmazás és Azure-szolgáltatás hozzáférhet a kulcstartóhoz, és kéréseket küldhet a kulcstartónak. Ez a konfiguráció nem jelenti azt, hogy bármely felhasználó végrehajthat műveleteket a kulcstartón. A kulcstartó továbbra is korlátozza a kulcstartóban tárolt titkos kulcsokhoz, kulcsokhoz és tanúsítványokhoz való hozzáférést a Microsoft Entra-hitelesítés és a hozzáférési szabályzat engedélyeinek megkövetelésével. A Key Vault-hitelesítés részletesebb megismeréséhez lásd : Hitelesítés az Azure Key Vaultban. További információ: Access Azure Key Vault tűzfal mögött.

Key Vault tűzfal engedélyezve (csak megbízható szolgáltatások esetén)

Amikor engedélyezi a Key Vault tűzfalat, a rendszer "Engedélyezi a megbízható Microsoft-szolgáltatások számára a tűzfal megkerülését". A megbízható szolgáltatások listája nem terjed ki minden azure-szolgáltatásra. Az Azure DevOps például nem szerepel a megbízható szolgáltatások listájában. Ez nem jelenti azt, hogy a megbízható szolgáltatások listájában nem szereplő szolgáltatások nem megbízhatók vagy nem biztonságosak. A megbízható szolgáltatások listája magában foglalja azokat a szolgáltatásokat, amelyekben a Microsoft vezérli a szolgáltatáson futó összes kódot. Mivel a felhasználók egyéni kódot írhatnak az Azure-szolgáltatásokban, például az Azure DevOpsban, a Microsoft nem biztosít általános jóváhagyást a szolgáltatáshoz. Ezenkívül csak azért, mert egy szolgáltatás megjelenik a megbízható szolgáltatáslistában, nem jelenti azt, hogy minden forgatókönyv esetében engedélyezve van.

Annak megállapításához, hogy a használni kívánt szolgáltatás szerepel-e a megbízható szolgáltatáslistában, tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait. Útmutatóért kövesse a Portál, az Azure CLI és a PowerShell útmutatóját

A Key Vault tűzfala engedélyezve van (IPv4-címek és -tartományok – Statikus IP-címek)

Ha engedélyezni szeretne egy adott szolgáltatást a Key Vault tűzfalon keresztüli hozzáféréshez, hozzáadhatja annak IP-címét a Key Vault tűzfal engedélyezési listájához. Ez a konfiguráció a statikus IP-címeket vagy jól ismert tartományokat használó szolgáltatások esetében a legjobb. Ebben az esetben 1000 CIDR-tartomány van korlátozva.

Egy Azure-erőforrás( például webalkalmazás vagy logikai alkalmazás) IP-címének vagy tartományának engedélyezéséhez hajtsa végre az alábbi lépéseket.

Jelentkezzen be az Azure Portalra.
Válassza ki az erőforrást (a szolgáltatás adott példányát).
Válassza a Tulajdonságok panelt a Beállítások területen.
Keresse meg az IP-cím mezőt.
Másolja ki ezt az értéket vagy tartományt, és írja be a key vault tűzfal engedélyezési listájába.

Ha egy teljes Azure-szolgáltatást szeretne engedélyezni a Key Vault tűzfalán keresztül, használja az Azure nyilvánosan dokumentált adatközponti IP-címeinek listáját. Keresse meg a kívánt szolgáltatáshoz társított IP-címeket a kívánt régióban, és adja hozzá ezeket az IP-címeket a key vault tűzfalához.

Key Vault tűzfal engedélyezve (virtuális hálózatok – dinamikus IP-címek)

Ha egy Azure-erőforrást, például egy virtuális gépet a kulcstartón keresztül próbál engedélyezni, előfordulhat, hogy nem tudja statikus IP-címeket használni, és nem szeretné engedélyezni az Azure-beli virtuális gépek összes IP-címét a kulcstartó eléréséhez.

Ebben az esetben létre kell hoznia az erőforrást egy virtuális hálózaton belül, majd engedélyeznie kell az adott virtuális hálózat és alhálózat forgalmának elérését a kulcstartóhoz.

Jelentkezzen be az Azure Portalra.
Válassza ki a konfigurálni kívánt kulcstartót.
Válassza a Hálózatkezelés panelt.
Válassza a "+ Meglévő virtuális hálózat hozzáadása" lehetőséget.
Válassza ki a key vault tűzfalán keresztül engedélyezni kívánt virtuális hálózatot és alhálózatot.

A Key Vault tűzfala engedélyezve van (privát kapcsolat)

Ha szeretné megtudni, hogyan konfigurálhat privát kapcsolatkapcsolatot a kulcstartón, tekintse meg a dokumentumot itt.

Fontos

A tűzfalszabályok életbe lépése után a felhasználók csak akkor hajthatnak végre Key Vault-adatsík-műveleteket, ha a kérések engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. Ez hatással van a más Azure-szolgáltatások által használt Key Vault-pickerre is. Előfordulhat, hogy a felhasználók megtekinthetik a kulcstartók listáját, de a kulcsokat nem, ha a tűzfalszabályok megakadályozzák az ügyfélgépüket.

Feljegyzés

Vegye figyelembe a következő konfigurációs korlátozásokat:

Legfeljebb 200 virtuális hálózati szabály és 1000 IPv4-szabály engedélyezett.
Az IP-hálózati szabályok csak nyilvános IP-címekre engedélyezettek. A magánhálózatok számára fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10., 172.16-31 és 192.168. címekkel kezdődő címeket.
Jelenleg csak az IPv4-címek támogatottak.

Nyilvános hozzáférés letiltva (csak privát végpont)

A hálózati biztonság javítása érdekében konfigurálhatja a tárolót úgy, hogy letiltsa a nyilvános hozzáférést. Ez letiltja az összes nyilvános konfigurációt, és csak privát végpontokon keresztül engedélyezi a kapcsolatokat.

Hálózati biztonsági szegély (előzetes verzió)

A Network Security Perimeter (előzetes verzió) lehetővé teszi a szervezetek számára, hogy logikai hálózatelkülönítési határt határozzanak meg a szervezet virtuális hálózatán kívül üzembe helyezett PaaS-erőforrásokhoz (például Azure Key Vaulthoz, Azure Storage-hoz és SQL Database-hez). Korlátozza a nyilvános hálózati hozzáférést a PaaS-erőforrásokhoz a peremhálózaton kívül, a hozzáférés a nyilvános bejövő és kimenő hozzáférésre vonatkozó explicit hozzáférési szabályokkal mentesíthető.

A Network Security Perimeter jelenleg nyilvános előzetes verzióban érhető el az erőforrások egy részhalmazához. Lásd a beépített privát kapcsolati erőforrásokat és a hálózati biztonsági szegély korlátait. További információ: Áttérés hálózati biztonsági szegélyre.

Fontos

A privát végpont forgalmát rendkívül biztonságosnak tekintik, ezért nem vonatkoznak a hálózati biztonsági szegélyszabályokra. Minden más forgalomra, beleértve a megbízható szolgáltatásokat is, a hálózati biztonsági szegélyszabályok vonatkoznak, ha a kulcstartó szegélyhez van társítva.

Hálózati biztonsági szegélyrel:

A szegélyhálózaton belüli összes erőforrás képes kommunikálni bármely más erőforrással a szegélyen belül.
A külső hozzáférés a következő vezérlőkkel érhető el:
- A nyilvános bejövő hozzáférés jóváhagyható az ügyfél hálózati és identitásattribútumával, például a forrás IP-címekkel, előfizetésekkel.
- A nyilvános kimenő forgalom a külső célhelyek teljes tartományneveinek (FQDN-jeinek) használatával hagyható jóvá.
A diagnosztikai naplók engedélyezve vannak a PaaS-erőforrások számára a naplózás és a megfelelőség peremhálózatán belül.

Korlátozások és szempontok

A nyilvános hálózati hozzáférés letiltása továbbra is lehetővé teszi a megbízható szolgáltatásokat. A nyilvános hálózati hozzáférés biztonságossá váltása szegély szerint, majd tiltja a megbízható szolgáltatásokat még akkor is, ha a megbízható szolgáltatások engedélyezésére van konfigurálva.
Az Azure Key Vault tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
Az Azure Key Vault nem rendelkezik a kimenő szabályok fogalmával, a kulcstartót továbbra is társíthatja a peremhálózathoz kimenő szabályokkal, de a kulcstartó nem fogja használni őket.

Hálózati biztonsági szegély társítása kulcstartóval – Azure PowerShell

Ha egy hálózati biztonsági szegélyt egy kulcstartóhoz szeretne társítani az Azure PowerShellben, kövesse az alábbi utasításokat.

Hálózati biztonsági szegély társítása kulcstartóval – Azure CLI

Ha egy hálózati biztonsági szegélyt egy kulcstartóhoz szeretne társítani az Azure CLI-ben, kövesse az alábbi utasításokat

Hálózati biztonsági szegélyek hozzáférési módjai

A hálózati biztonsági szegély két különböző hozzáférési módot támogat a társított erőforrásokhoz:

Üzemmód	Leírás
Tanulási mód	Az alapértelmezett hozzáférési mód. Tanulási módban a hálózati biztonsági szegély naplózza a keresési szolgáltatás felé menő összes forgalmat, amelyet a rendszer megtagadott volna, ha a szegély kényszerített módban lett volna. Ez lehetővé teszi, hogy a hálózati rendszergazdák megismerhessék a keresési szolgáltatás meglévő hozzáférési mintáit a hozzáférési szabályok érvényesítése előtt.
Kényszerített mód	Kényszerített módban a hálózati biztonsági peremhálózat naplózza és tagadja az összes olyan forgalmat, amelyet a hozzáférési szabályok nem kifejezetten engedélyeznek.

Üzemmód

Leírás

Tanulási mód

Az alapértelmezett hozzáférési mód. Tanulási módban a hálózati biztonsági szegély naplózza a keresési szolgáltatás felé menő összes forgalmat, amelyet a rendszer megtagadott volna, ha a szegély kényszerített módban lett volna. Ez lehetővé teszi, hogy a hálózati rendszergazdák megismerhessék a keresési szolgáltatás meglévő hozzáférési mintáit a hozzáférési szabályok érvényesítése előtt.

Kényszerített mód

Kényszerített módban a hálózati biztonsági peremhálózat naplózza és tagadja az összes olyan forgalmat, amelyet a hozzáférési szabályok nem kifejezetten engedélyeznek.

Hálózati biztonsági szegély és kulcstartó hálózati beállításai

A publicNetworkAccess beállítás meghatározza, hogy a kulcstartó társítva van-e egy hálózati biztonsági szegélyrel.

Tanulási módban a beállítás szabályozza az publicNetworkAccess erőforráshoz való nyilvános hozzáférést.
Kényszerített módban a publicNetworkAccess beállítást felülírják a hálózati biztonsági szegélyszabályok. Ha például egy beállítással enabled rendelkező publicNetworkAccess keresési szolgáltatás egy hálózati biztonsági szegélyhez van társítva kényszerített módban, a keresési szolgáltatáshoz való hozzáférést továbbra is a hálózati biztonsági szegély hozzáférési szabályai vezérlik.

A hálózati biztonsági szegély hozzáférési módjának módosítása

Keresse meg a hálózati biztonsági szegélyerőforrást a portálon.
Válassza az Erőforrások lehetőséget a bal oldali menüben.
Keresse meg a kulcstartót a táblázatban.
Válassza ki a keresési szolgáltatás sorának jobb szélén található három elemet. Válassza a Hozzáférési mód módosítása lehetőséget az előugró ablakban.
Válassza ki a kívánt hozzáférési módot, és válassza az Alkalmaz lehetőséget.

Naplózási hálózati hozzáférés engedélyezése

Lásd a hálózati biztonsági szegély diagnosztikai naplóit.

Hivatkozások

ARM-sablonhivatkozás: Azure Key Vault ARM-sablonreferenciája
Azure CLI-parancsok: az keyvault network-rule
Azure PowerShell-parancsmagok: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Megosztás a következőn keresztül: