Aracılığıyla paylaş

Azure Key Vault için ağ güvenliği

  • Makale

Bu belge, Azure Key Vault güvenlik duvarı için farklı yapılandırmaları ayrıntılı olarak kapsar. Bu ayarları yapılandırmayla ilgili adım adım yönergeleri izlemek için bkz . Azure Key Vault ağ ayarlarını yapılandırma.

Daha fazla bilgi için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları.

Güvenlik Duvarı Ayarları

Bu bölüm, Azure Key Vault güvenlik duvarının yapılandırılabilmesinin farklı yollarını kapsar.

Key Vault Güvenlik Duvarı Devre Dışı (Varsayılan)

Varsayılan olarak, yeni bir anahtar kasası oluşturduğunuzda Azure Key Vault güvenlik duvarı devre dışı bırakılır. Tüm uygulamalar ve Azure hizmetleri anahtar kasasına erişebilir ve anahtar kasasına istek gönderebilir. Bu yapılandırma, herhangi bir kullanıcının anahtar kasanızda işlem gerçekleştirebileceği anlamına gelmez. Anahtar kasası yine de Microsoft Entra kimlik doğrulaması ve erişim ilkesi izinleri gerektirerek anahtar kasasında depolanan gizli dizilere, anahtarlara ve sertifikalara erişimi kısıtlar. Anahtar kasası kimlik doğrulamasını daha ayrıntılı olarak anlamak için bkz . Azure Key Vault'ta kimlik doğrulaması. Daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki Azure Key Vault'a erişme.

Key Vault Güvenlik Duvarı Etkin (Yalnızca Güvenilen Hizmetler)

Key Vault Güvenlik Duvarı'nı etkinleştirdiğinizde size 'Güvenilen Microsoft Hizmetleri'nin bu güvenlik duvarını atlamasına izin ver' seçeneği sunulur. Güvenilen hizmetler listesi her bir Azure hizmetini kapsamaz. Örneğin, Azure DevOps güvenilen hizmetler listesinde yer almaz. Bu, güvenilen hizmetler listesinde görünmeyen hizmetlerin güvenilir olmadığı veya güvenli olmadığı anlamına gelmez. Güvenilen hizmetler listesi, Microsoft'un hizmette çalışan tüm kodları denetlediği hizmetleri kapsar. Kullanıcılar Azure DevOps gibi Azure hizmetlerinde özel kod yazabildiğinden, Microsoft hizmet için paket onayı oluşturma seçeneği sunmaz. Ayrıca, bir hizmetin güvenilen hizmet listesinde görünmesi, tüm senaryolar için buna izin verildiği anlamına gelmez.

Kullanmaya çalıştığınız bir hizmetin güvenilen hizmet listesinde olup olmadığını belirlemek için bkz . Azure Key Vault için sanal ağ hizmet uç noktaları. Nasıl yapılır kılavuzu için portal, Azure CLI ve PowerShell yönergelerini izleyin

Key Vault Güvenlik Duvarı Etkin (IPv4 Adresleri ve Aralıkları - Statik IP'ler)

Belirli bir hizmete Key Vault Güvenlik Duvarı üzerinden anahtar kasasına erişme yetkisi vermek istiyorsanız, bu hizmetin IP Adresini anahtar kasası güvenlik duvarı izin verilenler listesine ekleyebilirsiniz. Bu yapılandırma, statik IP adresleri veya iyi bilinen aralıklar kullanan hizmetler için en iyisidir. Bu durum için 1000 CIDR aralığı sınırı vardır.

Web Uygulaması veya Mantıksal Uygulama gibi bir Azure kaynağının IP Adresine veya aralığına izin vermek için aşağıdaki adımları gerçekleştirin.

  1. Azure Portal’ında oturum açın.
  2. Kaynağı seçin (hizmetin belirli bir örneği).
  3. Ayarlar'ın altındaki Özellikler dikey penceresini seçin.
  4. IP Adresi alanını arayın.
  5. Bu değeri veya aralığı kopyalayın ve anahtar kasası güvenlik duvarı izin listesine girin.

Azure hizmetinin tamamına izin vermek için Key Vault güvenlik duvarı aracılığıyla burada Azure için genel olarak belgelenen veri merkezi IP adreslerinin listesini kullanın. İstediğiniz bölgede istediğiniz hizmetle ilişkili IP adreslerini bulun ve bu IP adreslerini anahtar kasası güvenlik duvarına ekleyin.

Key Vault Güvenlik Duvarı Etkin (Sanal Ağ s - Dinamik IP'ler)

Anahtar kasası aracılığıyla sanal makine gibi bir Azure kaynağına izin vermeye çalışıyorsanız, Statik IP adreslerini kullanamayabilirsiniz ve Azure Sanal Makineler için tüm IP adreslerinin anahtar kasanıza erişmesine izin vermek istemeyebilirsiniz.

Bu durumda, kaynağı bir sanal ağ içinde oluşturmanız ve ardından belirli bir sanal ağ ve alt ağdan gelen trafiğin anahtar kasanıza erişmesine izin vermelisiniz.

  1. Azure Portal’ında oturum açın.
  2. Yapılandırmak istediğiniz anahtar kasasını seçin.
  3. 'Ağ' dikey penceresini seçin.
  4. '+ Var olan sanal ağı ekle'yi seçin.
  5. Anahtar kasası güvenlik duvarı üzerinden izin vermek istediğiniz sanal ağı ve alt ağı seçin.

Anahtar kasanızda özel bağlantı bağlantısını yapılandırmayı anlamak için buradaki belgeye bakın.

Önemli

Güvenlik duvarı kuralları etkin olduktan sonra, kullanıcılar yalnızca istekleri izin verilen sanal ağlardan veya IPv4 adres aralıklarından geldiğinde Key Vault veri düzlemi işlemleri gerçekleştirebilir. Bu, Azure portalından Key Vault'a erişim için de geçerlidir. Kullanıcılar Azure portalından bir anahtar kasasına göz atabilse de, istemci makineleri izin verilenler listesinde değilse anahtarları, gizli dizileri veya sertifikaları listeleyemez. Bu, diğer Azure hizmetleri tarafından kullanılan Key Vault Seçiciyi de etkiler. Güvenlik duvarı kuralları istemci makinelerini engelliyorsa, kullanıcılar anahtar kasalarının listesini görebilir, ancak liste anahtarlarını göremez.

Not

Aşağıdaki yapılandırma sınırlamalarına dikkat edin:

  • En fazla 200 sanal ağ kuralına ve 1000 IPv4 kuralına izin verilir.
  • IP ağ kurallarına yalnızca genel IP adresleri için izin verilir. IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918’de tanımlandığı gibi) izin verilmez. Özel ağlar 10., 172.16-31 ve 192.168 ile başlayan adresleri içerir.
  • Şu anda yalnızca IPv4 adresleri desteklenmektedir.

Genel Erişim Devre Dışı (Yalnızca Özel Uç Nokta)

Ağ güvenliğini geliştirmek için kasanızı genel erişimi devre dışı bırakacak şekilde yapılandırabilirsiniz. Bu, tüm genel yapılandırmaları reddeder ve yalnızca özel uç noktalar üzerinden bağlantılara izin verir.

Ağ Güvenliği Çevresi (önizleme)

Ağ Güvenliği Çevresi (önizleme), kuruluşların kuruluşunuzun sanal ağları dışında dağıtılan PaaS kaynakları (örneğin, Azure Key Vault, Azure Depolama ve SQL Veritabanı) için bir mantıksal ağ yalıtım sınırı tanımlamasına olanak tanır. Çevre dışındaki PaaS kaynaklarına genel ağ erişimini kısıtlar, genel gelen ve giden için açık erişim kuralları kullanılarak erişim muaf tutulabilir.

Şu anda Ağ Güvenlik Çevresi, kaynakların bir alt kümesi için genel önizleme aşamasındadır. Bkz . Eklenen özel bağlantı kaynakları ve Ağ güvenlik çevresinin sınırlamaları. Daha fazla bilgi için bkz . Ağ Güvenlik Çevresine Geçiş.

Önemli

Özel uç nokta trafiği son derece güvenli olarak kabul edilir ve bu nedenle Ağ Güvenlik Çevresi kurallarına tabi değildir. Anahtar kasası bir çevreyle ilişkilendirilmişse, güvenilen hizmetler de dahil olmak üzere diğer tüm trafik Ağ Güvenlik Çevresi kurallarına tabi olacaktır.

Ağ güvenlik çevresi ile:

  • Çevre içindeki tüm kaynaklar, çevre içindeki diğer tüm kaynaklarla iletişim kurabilir.
  • Dış erişim aşağıdaki denetimlerle kullanılabilir:
    • Genel gelen erişim, istemcinin kaynak IP adresleri, abonelikler gibi Ağ ve Kimlik öznitelikleri kullanılarak onaylanabilir.
    • Genel giden, dış hedeflerin FQDN'leri (Tam Etki Alanı Adları) kullanılarak onaylanabilir.
  • Tanılama Günlükleri, Denetim ve Uyumluluk için çevre içindeki PaaS kaynakları için etkinleştirilir.

Kısıtlamalar ve Dikkat Edilmesi Gerekenler

  • Genel Ağ Erişimini Devre Dışı Bırak olarak ayarlamak yine de güvenilen hizmetlere izin verir. Genel Ağ Erişimini çevreyle güvenli hale getirmek, güvenilen hizmetlere izin verecek şekilde yapılandırılmış olsa bile güvenilen hizmetleri yasaklar.
  • Azure Key Vault güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.
  • Azure portalı gibi araçları kullanarak verilere erişmek için ağ güvenlik kurallarını yapılandırırken oluşturduğunuz güvenilen sınır içindeki bir makinede olmanız gerekir.
  • Azure Key Vault'un giden kuralları kavramı yoktur; yine de bir anahtar kasasını giden kurallarıyla bir çevreyle ilişkilendirebilirsiniz, ancak anahtar kasası bunları kullanmaz.

Ağ Güvenlik Çevresini anahtar kasasıyla ilişkilendirme - Azure PowerShell

Ağ Güvenlik Çevresini Azure PowerShell'deki bir anahtar kasasıyla ilişkilendirmek için bu yönergeleri izleyin.

Ağ Güvenlik Çevresini anahtar kasasıyla ilişkilendirme - Azure CLI

Ağ Güvenlik Çevresini Azure CLI'daki bir anahtar kasasıyla ilişkilendirmek için şu yönergeleri izleyin

Ağ güvenliği çevre erişim modları

Ağ güvenlik çevresi, ilişkili kaynaklar için iki farklı erişim modunu destekler:

Mod Açıklama
Öğrenme modu Varsayılan erişim modu. Öğrenme modunda ağ güvenlik çevresi, arama hizmetine gelen ve çevre zorlanmış moddaysa reddedilen tüm trafiği günlüğe kaydeder. Bu, ağ yöneticilerinin erişim kurallarını zorlamadan önce arama hizmetinin mevcut erişim desenlerini anlamasını sağlar.
Zorlanan mod Zorunlu modda, ağ güvenlik çevresi günlükleri ve erişim kuralları tarafından açıkça izin verilmeyen tüm trafiği reddeder.

Ağ güvenliği çevresi ve anahtar kasası ağ ayarları

Bu publicNetworkAccess ayar, anahtar kasasının bir ağ güvenlik çevresiyle ilişkisini belirler.

  • Öğrenme modunda, publicNetworkAccess ayar kaynağa genel erişimi denetler.

  • Zorunlu modda, publicNetworkAccess ayar ağ güvenlik çevre kuralları tarafından geçersiz kılındı. Örneğin, ayarına enabled sahip bir publicNetworkAccess arama hizmeti Zorunlu modda bir ağ güvenlik çevresiyle ilişkiliyse, arama hizmetine erişim ağ güvenlik çevresi erişim kuralları tarafından denetlenmeye devam eder.

Ağ güvenliği çevre erişim modunu değiştirme

  1. Portalda ağ güvenlik çevre kaynağınıza gidin.

  2. Sol taraftaki menüden Kaynaklar'ı seçin.

  3. Tabloda anahtar kasanızı bulun.

  4. Arama hizmeti satırının sağ ucundaki üç noktayı seçin. Açılan pencerede Erişim modunu değiştir'i seçin.

  5. İstediğiniz erişim modunu seçin ve Uygula'yı seçin.

Günlüğe kaydetme ağ erişimini etkinleştirme

Bkz. Ağ Güvenlik Çevresi için tanılama günlükleri.

Başvurular

Sonraki adımlar