Bagikan melalui

Keamanan jaringan untuk Azure Key Vault

  • Artikel

Dokumen ini mencakup berbagai konfigurasi untuk firewall Azure Key Vault secara rinci. Untuk mengikuti instruksi langkah demi langkah tentang cara mengonfigurasi pengaturan ini, lihat Mengonfigurasi pengaturan jaringan Azure Key Vault.

Untuk perincian lengkapnya, lihat Titik akhir layanan jaringan virtual untuk Azure Key Vault.

Pengaturan Firewall

Bagian ini mencakup berbagai cara agar firewall Azure Key Vault dapat dikonfigurasi.

Firewall Azure Key Vault Dinon-fungsikan (default)

Secara default, saat Anda membuat brankas kunci baru, firewall Azure Key Vault dinonaktifkan. Semua aplikasi dan layanan Azure dapat mengakses brankas kunci dan mengirim permintaan ke brankas kunci. Konfigurasi ini tidak berarti bahwa setiap pengguna akan dapat melakukan operasi pada brankas kunci Anda. Brankas kunci masih membatasi akses ke rahasia, kunci, dan sertifikat yang disimpan di brankas kunci dengan memerlukan izin autentikasi dan kebijakan akses Microsoft Entra. Untuk memahami autentikasi brankas kunci secara lebih rinci, lihat Autentikasi di Azure Key Vault. Untuk informasi selengkapnya, lihat Mengakses Azure Key Vault di belakang firewall.

Firewall Azure Key Vault Diaktifkan (Hanya Layanan Tepercaya)

Saat mengaktifkan Firewall Key Vault, Anda diberi opsi untuk 'Izinkan Layanan Microsoft Tepercaya melewati firewall ini.' Daftar layanan tepercaya tidak mencakup setiap layanan Azure. Misalnya, Azure DevOps tidak ada dalam daftar layanan tepercaya. Ini tidak menyiratkan bahwa layanan yang tidak muncul di daftar layanan tepercaya tidak tepercaya atau tidak aman. Daftar layanan tepercaya mencakup layanan di mana Microsoft mengontrol semua kode yang berjalan pada layanan. Karena pengguna dapat menulis kode kustom di layanan Azure seperti Azure DevOps, Microsoft tidak menyediakan opsi untuk membuat persetujuan selimut untuk layanan tersebut. Selain itu, hanya karena layanan muncul di daftar layanan tepercaya, tidak berarti diizinkan untuk semua skenario.

Untuk menentukan apakah layanan yang coba Anda gunakan ada di daftar layanan tepercaya, lihat Titik akhir layanan jaringan virtual untuk Azure Key Vault. Untuk panduan cara penggunaan, ikuti instruksi di sini untuk Portal, Azure CLI, dan PowerShell

Firewall Azure Key Vault Diaktifkan (Alamat dan Rentang IPv4 - IP Statis)

Jika Anda ingin mengotorisasi layanan tertentu untuk mengakses brankas kunci melalui Key Vault Firewall, Anda dapat menambahkan Alamat IP-nya ke daftar izin firewall brankas kunci. Konfigurasi ini paling baik untuk layanan yang menggunakan alamat IP statis atau rentang terkenal. Ada batas 1000 rentang CIDR untuk kasus ini.

Untuk memperbolehkan Alamat IP atau rentang sumber daya Azure, seperti Web App atau Aplikasi Logika, lakukan langkah-langkah berikut.

  1. Masuk ke portal Azure.
  2. Pilih sumber daya (instans layanan tertentu).
  3. Pilih bilah Properti di bawah Pengaturan.
  4. Cari bidang Alamat IP.
  5. Salin nilai atau rentang ini dan masukkan ke dalam daftar izin firewall brankas kunci.

Untuk mengizinkan seluruh layanan Azure, melalui firewall Vault Kunci, gunakan daftar alamat IP pusat data yang didokumentasikan secara publik untuk Azure di sini. Temukan alamat IP yang terkait dengan layanan yang Anda inginkan di wilayah yang Anda inginkan dan tambahkan alamat IP tersebut ke firewall brankas kunci.

Firewall Vault Kunci Diaktifkan (Jaringan Virtual - IP Dinamis)

Jika Anda mencoba mengizinkan sumber daya Azure seperti Komputer virtual melalui brankas kunci, Anda mungkin tidak dapat menggunakan alamat IP Statis, dan Anda mungkin tidak ingin mengizinkan semua alamat IP untuk Azure Virtual Machines untuk mengakses brankas kunci Anda.

Dalam hal ini, Anda harus membuat sumber daya dalam jaringan virtual, dan kemudian mengizinkan lalu lintas dari jaringan virtual dan subnet tertentu untuk mengakses brankas kunci Anda.

  1. Masuk ke portal Azure.
  2. Pilih brankas kunci yang ingin Anda konfigurasi.
  3. Pilih bilah 'Jaringan'.
  4. Pilih '+ Tambahkan jaringan virtual yang ada'.
  5. Pilih jaringan virtual dan subnet yang ingin Anda izinkan melalui tembok api brankas kunci.

Untuk memahami cara mengonfigurasi koneksi tautan privat di brankas kunci Anda, lihat dokumen di sini.

Penting

Setelah aturan firewall berlaku, pengguna hanya dapat melakukan operasi bidang data Vault Kunci ketika permintaan mereka berasal dari jaringan virtual yang diizinkan atau rentang alamat IPv4. Ini juga berlaku untuk mengakses Azure Key Vault dari portal Microsoft Azure. Meskipun pengguna dapat menelusuri ke brankas kunci dari portal Microsoft Azure, mereka mungkin tidak dapat mencantumkan kunci, rahasia, atau sertifikat jika komputer klien mereka tidak ada dalam daftar yang diizinkan. Ini juga memengaruhi Pemilih Key Vault yang digunakan oleh layanan Azure lainnya. Pengguna mungkin dapat melihat daftar brankas kunci, tetapi tidak mencantumkan kunci, jika aturan firewall mencegah komputer klien mereka.

Catatan

Ketahui batasan konfigurasi berikut:

  • Maksimum 200 aturan jaringan virtual dan aturan 1000 IPv4 diizinkan.
  • Aturan jaringan IP hanya diperbolehkan untuk alamat IP publik. Rentang alamat IP yang disediakan untuk jaringan privat (sebagaimana didefinisikan dalam RFC 1918) tidak diperbolehkan dalam aturan IP. Jaringan pribadi mencakup alamat yang dimulai dengan 10., 172.16-31, dan 192.168..
  • Hanya alamat IPv4 yang didukung saat ini.

Akses Publik Dinonaktifkan (Hanya Titik Akhir Privat)

Untuk meningkatkan keamanan jaringan, Anda dapat mengonfigurasi vault untuk menonaktifkan akses publik. Ini menolak semua konfigurasi publik dan hanya mengizinkan koneksi melalui titik akhir privat.

Perimeter Keamanan Jaringan (pratinjau)

Network Security Perimeter (pratinjau) memungkinkan organisasi untuk menentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, Azure Key Vault, Azure Storage, dan SQL Database) yang disebarkan di luar jaringan virtual organisasi Anda. Ini membatasi akses jaringan publik ke sumber daya PaaS di luar perimeter, akses dapat dikecualikan dengan menggunakan aturan akses eksplisit untuk masuk dan keluar publik.

Saat ini, Perimeter Keamanan Jaringan berada dalam pratinjau publik untuk subset sumber daya. Lihat Sumber daya tautan privat onboarding dan Batasan perimeter keamanan jaringan. Untuk informasi selengkapnya, lihat Transisi ke Perimeter Keamanan Jaringan.

Penting

Lalu lintas titik akhir privat dianggap sangat aman dan oleh karena itu tidak tunduk pada aturan Perimeter Keamanan Jaringan. Semua lalu lintas lainnya, termasuk layanan tepercaya, akan tunduk pada aturan Perimeter Keamanan Jaringan jika brankas kunci dikaitkan dengan perimeter.

Dengan perimeter keamanan jaringan:

  • Semua sumber daya di dalam perimeter dapat berkomunikasi dengan sumber daya lain dalam perimeter.
  • Akses eksternal tersedia dengan kontrol berikut:
    • Akses masuk publik dapat disetujui menggunakan atribut Jaringan dan Identitas klien seperti alamat IP sumber, langganan.
    • Keluar publik dapat disetujui menggunakan FQDN (Nama Domain yang Sepenuhnya Memenuhi Syarat) dari tujuan eksternal.
  • Log Diagnostik diaktifkan untuk sumber daya PaaS dalam perimeter untuk Audit dan Kepatuhan.

Pembatasan & Pertimbangan

  • Mengatur Akses Jaringan Publik ke Nonaktifkan masih mengizinkan layanan tepercaya. Mengalihkan Akses Jaringan Publik ke Aman dengan perimeter, lalu melarang layanan tepercaya meskipun dikonfigurasi untuk mengizinkan layanan tepercaya.
  • Aturan firewall Azure Key Vault hanya berlaku untuk operasi sarana data. Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
  • Untuk mengakses data dengan menggunakan alat seperti portal Azure, Anda harus berada di komputer dalam batas tepercaya yang Anda tetapkan saat mengonfigurasi aturan keamanan jaringan.
  • Azure Key Vault tidak memiliki konsep aturan keluar, Anda masih dapat mengaitkan brankas kunci ke perimeter dengan aturan keluar tetapi brankas kunci tidak akan menggunakannya.

Mengaitkan Perimeter Keamanan Jaringan dengan brankas kunci - Azure PowerShell

Untuk mengaitkan Perimeter Keamanan Jaringan dengan brankas kunci di Azure PowerShell, ikuti instruksi berikut.

Mengaitkan Perimeter Keamanan Jaringan dengan brankas kunci - Azure CLI

Untuk mengaitkan Perimeter Keamanan Jaringan dengan brankas kunci di Azure CLI, ikuti instruksi berikut

Mode akses perimeter keamanan jaringan

Perimeter keamanan jaringan mendukung dua mode akses yang berbeda untuk sumber daya terkait:

Mode Deskripsi
Mode pembelajaran Mode akses default. Dalam mode pembelajaran , perimeter keamanan jaringan mencatat semua lalu lintas ke layanan pencarian yang akan ditolak jika perimeter dalam mode diberlakukan. Ini memungkinkan administrator jaringan untuk memahami pola akses yang ada dari layanan pencarian sebelum menerapkan penegakan aturan akses.
Mode yang diberlakukan Dalam mode Diberlakukan , log perimeter keamanan jaringan dan menolak semua lalu lintas yang tidak diizinkan secara eksplisit oleh aturan akses.

Perimeter keamanan jaringan dan pengaturan jaringan brankas kunci

Pengaturan publicNetworkAccess menentukan asosiasi brankas kunci dengan perimeter keamanan jaringan.

  • Dalam mode Pembelajaran, publicNetworkAccess pengaturan mengontrol akses publik ke sumber daya.

  • Dalam mode Diberlakukan, publicNetworkAccess pengaturan ditimpa oleh aturan perimeter keamanan jaringan. Misalnya, jika layanan pencarian dengan publicNetworkAccess pengaturan enabled dikaitkan dengan perimeter keamanan jaringan dalam mode Diberlakukan, akses ke layanan pencarian masih dikendalikan oleh aturan akses perimeter keamanan jaringan.

Mengubah mode akses perimeter keamanan jaringan

  1. Navigasikan ke sumber daya perimeter keamanan jaringan Anda di portal.

  2. Pilih Sumber Daya di menu sebelah kiri.

  3. Temukan brankas kunci Anda di tabel.

  4. Pilih tiga titik di ujung kanan baris layanan pencarian. Pilih Ubah mode akses di popup.

  5. Pilih mode akses yang diinginkan dan pilih Terapkan.

Aktifkan akses jaringan pengelogan

Lihat Log diagnostik untuk Perimeter Keamanan Jaringan.

Referensi

Langkah berikutnya