Partilhar via

Segurança de rede para o Azure Key Vault

Este documento aborda as diferentes configurações para um firewall do Azure Key Vault em detalhes. Para seguir as instruções passo a passo sobre como definir essas configurações, consulte Definir configurações de rede do Azure Key Vault.

Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual para o Cofre de Chaves do Azure.

Configurações de firewall

Esta seção aborda as diferentes maneiras pelas quais um firewall do Cofre da Chave do Azure pode ser configurado.

Firewall do Cofre da Chave desativado (padrão)

Por padrão, quando você cria um novo cofre de chaves, o firewall do Cofre de Chaves do Azure é desabilitado. Todos os aplicativos e serviços do Azure podem acessar o cofre de chaves e enviar solicitações para o cofre de chaves. Esta configuração não significa que qualquer utilizador poderá realizar operações no seu cofre de chaves. O cofre de chaves ainda restringe o acesso a segredos, chaves e certificados armazenados no cofre de chaves, exigindo autenticação do Microsoft Entra e permissões de política de acesso. Para entender a autenticação do cofre de chaves com mais detalhes, consulte Autenticação no Cofre de Chaves do Azure. Para obter mais informações, consulte Access Azure Key Vault behind a firewall.

Firewall do Cofre da Chave ativado (somente serviços confiáveis)

Quando ativa a Firewall do Cofre da Chave, é-lhe dada a opção "Permitir que os Serviços Microsoft Fidedignos ignorem esta firewall". A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Isso não implica que os serviços que não aparecem na lista de serviços confiáveis não sejam confiáveis ou sejam inseguros. A lista de serviços confiáveis engloba serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado em serviços do Azure, como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação geral para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, não significa que ele é permitido para todos os cenários.

Para determinar se um serviço que está a tentar utilizar está na lista de serviços confiáveis, consulte Pontos de extremidade de serviço de rede virtual para o Cofre de Chaves do Azure. Para obter um guia de instruções, siga as instruções aqui para Portal, CLI do Azure e PowerShell

Firewall do Cofre de Chaves ativado (endereços IPv4 e intervalos - IPs estáticos)

Se pretender autorizar um determinado serviço a aceder ao cofre de chaves através da Firewall do Cofre de Chaves, pode adicionar o respetivo Endereço IP à lista de permissões da firewall do cofre de chaves. Essa configuração é melhor para serviços que usam endereços IP estáticos ou intervalos conhecidos. Existe um limite de 1000 intervalos CIDR para este caso.

Para permitir um Endereço IP ou intervalo de endereços de um recurso do Azure, como uma Aplicação Web ou Aplicação Lógica, siga os passos seguintes.

  1. Inicie sessão no portal do Azure.
  2. Selecione o recurso (instância específica do serviço).
  3. Selecione a folha Propriedades em Configurações.
  4. Procure o campo Endereço IP .
  5. Copie esse valor ou intervalo e insira-o na lista de permissões do firewall do cofre de chaves.

Para permitir um serviço inteiro do Azure, através do firewall do Azure Key Vault, use a lista de endereços IP dos data centers que estão documentados publicamente para o Azure aqui. Encontre os endereços IP associados ao serviço desejado na região desejada e adicione esses endereços IP ao firewall do cofre de chaves.

Firewall do Cofre de Chaves ativado (redes virtuais - IPs dinâmicos)

Se estiver a tentar permitir um recurso do Azure, como uma máquina virtual, através do cofre de chaves, poderá não conseguir utilizar endereços IP estáticos e poderá não querer permitir que todos os endereços IP das Máquinas Virtuais do Azure acedam ao seu cofre de chaves.

Nesse caso, você deve criar o recurso dentro de uma rede virtual e, em seguida, permitir que o tráfego da rede virtual específica e da sub-rede acesse seu cofre de chaves.

  1. Inicie sessão no portal do Azure.
  2. Selecione o cofre de chaves que deseja configurar.
  3. Selecione o painel 'Rede'.
  4. Selecione '+ Adicionar rede virtual existente'.
  5. Selecione a rede virtual e a sub-rede que você gostaria de permitir através do firewall do cofre de chaves.

Para entender como configurar uma conexão de link privado em seu cofre de chaves, consulte o documento aqui.

Importante

Depois que as regras de firewall entrarem em vigor, os utilizadores só poderão executar operações no plano de dados do Cofre de Chaves quando as suas solicitações forem originadas de redes virtuais permitidas ou intervalos de endereços IPv4. Isso também se aplica ao acesso ao Cofre da Chave a partir do portal do Azure. Embora os usuários possam navegar até um cofre de chaves no portal do Azure, talvez não consigam listar chaves, segredos ou certificados se a máquina cliente não estiver na lista de permissões. Isso também afeta o Key Vault Picker usado por outros serviços do Azure. Os usuários poderão ver uma lista de cofres de chaves, mas não chaves de lista, se as regras de firewall impedirem a máquina cliente.

Nota

Esteja ciente das seguintes limitações de configuração:

  • É permitido um máximo de 200 regras de rede virtual e 1000 regras IPv4.
  • As regras de rede IP só são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido no RFC 1918) não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10., 172.16-31 e 192.168..
  • Neste momento, só são suportados endereços IPv4.

Acesso público desativado (apenas endereço de ponto final privado)

Para melhorar a segurança da rede, você pode configurar seu cofre para desabilitar o acesso público. Isso nega todas as configurações públicas e permite apenas conexões por meio de pontos de extremidade privados.

Perímetro de segurança da rede

O Perímetro de Segurança de Rede permite que as organizações definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Azure Key Vault, Armazenamento do Azure e Banco de Dados SQL) implantados fora das redes virtuais da sua organização. Ele restringe o acesso à rede pública aos recursos de PaaS fora do perímetro, o acesso pode ser isento usando regras de acesso explícitas para entrada e saída públicas.

O Perímetro de Segurança de Rede está agora geralmente disponível para recursos suportados. Consulte Recursos de ligação privada embarcados e Limitações do perímetro de segurança da rede. Para obter mais informações, consulte Transição para um Perímetro de Segurança de Rede.

Importante

O tráfego de ponto final privado é considerado altamente seguro e, portanto, não está sujeito às regras do Perímetro de Segurança de Rede. Todo o outro tráfego, incluindo serviços fidedignos, estará sujeito às regras do Perímetro de Segurança de Rede se o cofre de chaves estiver associado a um perímetro.

Com um perímetro de segurança de rede:

  • Todos os recursos dentro do perímetro podem se comunicar com qualquer outro recurso dentro do perímetro.
  • O acesso externo está disponível com os seguintes controles:
    • O acesso de entrada público pode ser aprovado usando os atributos Rede e Identidade do cliente, como endereços IP de origem, assinaturas.
    • O tráfego público de saída pode ser aprovado usando FQDNs (Nomes de Domínio Totalmente Qualificados) dos destinos externos.
  • Os Logs de Diagnóstico são habilitados para recursos de PaaS dentro do perímetro para Auditoria e Conformidade.

Restrições e limitações

  • Definir Acesso à Rede Pública como Desativar ainda permite serviços confiáveis. Ao alterar o Acesso à Rede Pública para Segurança por perímetro, são proibidos os serviços fidedignos, mesmo que estejam configurados para os permitir.
  • As regras de firewall do Azure Key Vault só se aplicam a operações de plano de dados. As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
  • Para acessar dados usando ferramentas como o portal do Azure, você deve estar em uma máquina dentro do limite confiável que você estabelece ao configurar regras de segurança de rede.
  • O Azure Key Vault não tem nenhum conceito de regras de saída; ainda assim, pode-se associar um cofre de chaves a um perímetro com regras de saída, mas o cofre de chaves não as utilizará.
  • Os logs de acesso do perímetro de segurança de rede para o Azure Key Vault podem não incluir os campos "count" ou "timeGeneratedEndTime".

Associar um perímetro de segurança de rede a um cofre de chaves - Azure PowerShell

Para associar um Perímetro de Segurança de Rede a um cofre de chaves no Azure PowerShell, siga estas instruções.

Associar um perímetro de segurança de rede a um cofre de chaves - CLI do Azure

Para associar um Perímetro de Segurança de Rede a um cofre de chaves na CLI do Azure, siga estas instruções

Modos de acesso ao perímetro de segurança de rede

O perímetro de segurança de rede suporta dois modos de acesso diferentes para recursos associados:

Modo Descrição
Modo de transição (anteriormente "Modo de aprendizagem") O modo de acesso padrão. No modo de transição , o perímetro de segurança de rede registra todo o tráfego para o serviço de pesquisa que teria sido negado se o perímetro estivesse no modo imposto. Isso permite que os administradores de rede entendam os padrões de acesso existentes do serviço de pesquisa antes de implementar a imposição de regras de acesso.
Modo obrigatório No modo imposto, o perímetro de segurança da rede regista e nega todo o tráfego que não é explicitamente permitido pelas regras de acesso.

Configurações de rede do perímetro de segurança e do cofre de chaves

A configuração publicNetworkAccess determina a associação do cofre de chaves com um perímetro de segurança de rede.

  • No modo de transição, a configuração do publicNetworkAccess controla acesso público ao recurso.

  • No modo Imposto, a publicNetworkAccess configuração é anulada pelas regras de perímetro de segurança de rede. Por exemplo, se um serviço de pesquisa com uma configuração de publicNetworkAccess estiver associado a um enabled perímetro de segurança de rede no modo Imposto, o acesso ao serviço de pesquisa ainda será controlado por regras de acesso do perímetro de segurança da rede.

Alterar o modo de acesso ao perímetro de segurança de rede

  1. Aceda ao recurso do perímetro de segurança da rede no portal.

  2. Selecione Recursos no menu à esquerda.

  3. Encontre o seu cofre de chaves na tabela.

  4. Selecione os três pontos na extremidade direita da linha do serviço de pesquisa. Selecione Alterar modo de acesso no pop-up.

  5. Selecione o modo de acesso desejado e selecione Aplicar.

Habilitar o acesso à rede para registo

Consulte os logs de diagnóstico para o Perímetro de Segurança de Rede.

Referências

Próximos passos

  • Last updated on