Freigeben über

Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken

  • Artikel

Dieses Dokument enthält detaillierte Informationen zu den verschiedenen Konfigurationen einer Azure Key Vault-Firewall. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Azure Key Vault Netzwerkeinstellungen.

Weitere Informationen finden Sie unter VNET-Dienstendpunkte für Azure Key Vault.

Firewalleinstellungen

In diesem Abschnitt werden die verschiedenen Konfigurationsmöglichkeiten einer Azure Key Vault-Firewall beschrieben.

Schlüsseltresor-Firewall Deaktiviert (Standard)

Wenn Sie einen neuen Schlüsseltresor erstellen, ist die Azure Key Vault-Firewall standardmäßig deaktiviert. Alle Anwendungen und Azure-Dienste können auf den Schlüsseltresor zugreifen und Anforderungen an den Schlüsseltresor senden. Diese Konfiguration bedeutet nicht, dass jeder beliebige Benutzer Vorgänge für Ihren Schlüsseltresor ausführen kann. Der Schlüsseltresor schränkt den Zugriff auf Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, weiterhin ein, indem er eine Microsoft Entra-Authentifizierung und Zugriffsrichtlinienberechtigungen erfordert. Ausführlichere Informationen zur Schlüsseltresorauthentifizierung finden Sie unter Authentifizierung in Azure Key Vault. Weitere Informationen finden Sie unter Zugreifen auf Azure Key Vault hinter einer Firewall.

Key Vault-Firewall aktiviert (nur vertrauenswürdige Dienste)

Wenn Sie die Key Vault-Firewall aktivieren, können Sie festlegen, dass vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlaubt werden soll. Die Liste der vertrauenswürdigen Dienste deckt nicht alle Azure-Dienste ab. Azure DevOps ist beispielsweise nicht in der Liste der vertrauenswürdigen Dienste enthalten. Das bedeutet nicht, dass Dienste, die nicht in der Liste der vertrauenswürdigen Dienste enthalten sind, nicht vertrauenswürdig oder unsicher sind. Die Liste der vertrauenswürdigen Dienste umfasst Dienste, bei denen der gesamte im Dienst ausgeführte Code von Microsoft kontrolliert wird. Da Benutzer in Azure-Diensten wie Azure DevOps benutzerdefinierten Code schreiben können, bietet Microsoft keine Option zur Erstellung einer Pauschalgenehmigung für den Dienst. Außerdem gilt: Die Tatsache, dass ein Dienst in der Liste vertrauenswürdiger Dienste enthalten ist, bedeutet nicht, dass er für alle Szenarien zulässig ist.

Wie Sie ermitteln, ob ein Dienst, den Sie verwenden möchten, in der Liste der vertrauenswürdigen Dienste enthalten ist, erfahren Sie unter VNET-Dienstendpunkte für Azure Key Vault. Eine Schrittanleitung für das Portal, die Azure CLI und PowerShell finden Sie hier.

Key Vault-Firewall aktiviert (IPv4-Adressen und -Bereiche – statische IP-Adressen)

Wenn Sie für einen bestimmten Dienst den Zugriff auf den Schlüsseltresor durch die Key Vault-Firewall autorisieren möchten, können Sie seine IP-Adresse der Positivliste der Key Vault-Firewall hinzufügen. Diese Konfiguration eignet sich am besten für Dienste mit statischen IP-Adressen oder bekannten Bereichen. Für diesen Fall gilt ein Grenzwert von 1.000 CIDR-Bereichen.

Gehen Sie wie folgt vor, wenn Sie eine IP-Adresse oder einen Bereich einer Azure-Ressource (beispielsweise eine Web- oder Logik-App) zulassen möchten:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie die Ressource (spezifische Instanz des Diensts) aus.
  3. Wählen Sie unter Einstellungen das Blatt Eigenschaften aus.
  4. Suchen Sie nach dem Feld IP-Adresse.
  5. Kopieren Sie den Wert oder Bereich, und fügen Sie ihn in die Positivliste der Schlüsseltresorfirewall ein.

Wenn Sie einem gesamten Azure-Dienst den Zugriff durch die Key Vault-Firewall gestatten möchten, verwenden Sie die Liste der öffentlich dokumentierten IP-Adressen von Azure-Rechenzentren. Suchen Sie die IP-Adressen, die dem gewünschten Dienst in der gewünschten Region zugeordnet sind, und fügen Sie sie der Key Vault-Firewall hinzu.

Key Vault-Firewall aktiviert (virtuelle Netzwerke – dynamische IP-Adressen)

Wenn Sie versuchen, eine Azure-Ressource (beispielsweise einen virtuellen Computer) über den Schlüsseltresor zuzulassen, kann es vorkommen, dass Sie keine statischen IP-Adressen verwenden können und ggf. nicht für alle IP-Adressen für Azure Virtual Machines den Zugriff auf Ihren Schlüsseltresor zulassen möchten.

Erstellen Sie in diesem Fall die Ressource in einem virtuellen Netzwerk, und lassen Sie dann für Datenverkehr aus dem spezifischen virtuellen Netzwerk und Subnetz den Zugriff auf Ihren Schlüsseltresor zu.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie den Schlüsseltresor aus, den Sie konfigurieren möchten.
  3. Wählen Sie das Blatt „Netzwerk“ aus.
  4. Wählen Sie „+ Vorhandenes virtuelles Netzwerk hinzufügen“ aus.
  5. Wählen Sie das virtuelle Netzwerk und das Subnetz aus, für die Sie den Zugriff durch die Schlüsseltresorfirewall zulassen möchten.

Informationen zum Konfigurieren einer Private Link-Verbindung für Ihren Schlüsseltresor finden Sie hier.

Wichtig

Nachdem Firewallregeln in Kraft sind, können Benutzer nur Vorgänge auf Key Vault-Datenebene ausführen, wenn ihre Anforderungen aus zulässigen virtuellen Netzwerken oder IPv4-Adressbereichen stammen. Dies gilt auch für den Zugriff auf den Schlüsseltresor aus dem Azure-Portal. Obwohl Benutzer im Azure-Portal zu einem Schlüsseltresor navigieren können, können sie möglicherweise keine Schlüssel, Geheimnisse oder Zertifikate auflisten, wenn ihr Clientcomputer nicht in der Zulassungsliste enthalten ist. Dies wirkt sich auch auf die Key Vault-Auswahl aus, die von anderen Azure-Diensten verwendet wird. Benutzer können möglicherweise eine Liste von Schlüsseltresoren einsehen, aber keine Schlüssel auflisten, wenn Firewallregeln ihren Clientcomputer blockieren.

Hinweis

Bedenken Sie dabei folgende Konfigurationseinschränkungen:

  • Maximal 200 VNET-Regeln und 1.000 IPv4-Regeln sind zulässig.
  • IP-Netzwerkregeln sind nur für öffentliche IP-Adressen zulässig. Für private Netzwerke reservierte IP-Adressbereiche (gemäß RFC 1918) sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10. , 172.16-31 und 192.168. beginnen.
  • Derzeit werden nur IPv4-Adressen unterstützt.

Öffentlicher Zugriff deaktiviert (nur privater Endpunkt)

Um die Netzwerksicherheit zu verbessern, können Sie Ihren Tresor so konfigurieren, dass der öffentliche Zugriff deaktiviert ist. Dadurch werden alle öffentlichen Konfigurationen verweigert und nur Verbindungen über private Endpunkte zugelassen.

Netzwerksicherheitsperimeter (Vorschau)

Ein Netzwerksicherheitsperimeter (Vorschau) ermöglicht Organisationen das Definieren einer logischen Netzwerkisolationsgrenze für PaaS-Ressourcen (z. B. Azure Key Vault, Azure Storage und SQL-Datenbank), die außerhalb der virtuellen Netzwerke Ihrer Organisation bereitgestellt werden. Er schränkt den Zugriff über öffentliche Netzwerke auf PaaS-Ressourcen außerhalb des Perimeters ein. Der Zugriff kann mit expliziten Zugriffsregeln für öffentliche eingehende und ausgehende Daten ausgenommen werden.

Derzeit befindet ist der Netzwerksicherheitsperimeter für eine Teilmenge von Ressourcen als öffentliche Vorschauversion verfügbar. Siehe Integrierte Private-Link-Ressourcen und Einschränkungen des Netzwerksicherheitsperimeters. Weitere Informationen finden Sie unter Übergang zu einem Netzwerksicherheitsperimeter.

Wichtig

Privater Endpunktdatenverkehr gilt als sehr sicher und unterliegt daher nicht den Netzwerksicherheitsperimeterregeln. Aller anderer Datenverkehr, einschließlich vertrauenswürdiger Dienste, unterliegen den Regeln des Netzwerksicherheitsperimeters, wenn der Schlüsseltresor einem Perimeter zugeordnet ist.

Bei Verwendung eines Netzwerksicherheitsperimeters gilt Folgendes:

  • Alle Ressourcen innerhalb des Perimeters können mit jeder anderen Ressource innerhalb des Perimeters kommunizieren.
  • Der externe Zugriff ist mit den folgenden Steuerungen verfügbar:
    • Der öffentliche eingehende Zugriff kann mithilfe von Netzwerk- und Identitätsattributen des Clients genehmigt werden, z. B. Quell-IP-Adressen, Abonnements.
    • Der öffentliche ausgehende Zugriff kann mithilfe von FQDNs (Fully Qualified Domain Names, vollqualifizierte Domänennamen) der externen Ziele genehmigt werden.
  • Für PaaS-Ressourcen innerhalb des Perimeters sind Diagnoseprotokolle für Überwachung und Compliance aktiviert.

Einschränkungen und Überlegungen

  • Wenn der Zugriff über öffentliche Netzwerke auf „Deaktivieren“ festgelegt wird, werden vertrauenswürdige Dienste dennoch zugelassen. Wenn Sie den Zugriff über öffentliche Netzwerke auf „Nach Perimeter sichern“ umstellen, werden vertrauenswürdige Dienste nicht zugelassen, auch wenn konfiguriert ist, dass sie zugelassen werden sollen.
  • Azure Key Vault-Firewallregeln gelten nur für Vorgänge auf Datenebene. Vorgänge auf Steuerungsebene unterliegen nicht den Einschränkungen, die in Firewallregeln festgelegt werden.
  • Um mithilfe von Tools wie dem Azure-Portal auf Daten zuzugreifen, müssen Sie einen Computer innerhalb der vertrauenswürdigen Grenze verwenden, die Sie beim Konfigurieren der Netzwerksicherheitsregeln festlegen.
  • In Azure Key Vault gibt es kein Konzept für Ausgangsregeln. Sie können einem Perimeter dennoch einen Schlüsseltresor mit Ausgangsregeln zuordnen, aber der Schlüsseltresor verwendet sie nicht.

Zuordnen eines Netzwerksicherheitsperimeters zu einem Schlüsseltresor: Azure PowerShell

Um einen Netzwerksicherheitsperimeter einem Schlüsseltresor in Azure PowerShell zuzuordnen, befolgen Sie diese Anweisungen.

Zuordnen eines Netzwerksicherheitsperimeters zu einem Schlüsseltresor: Azure CLI

Um einen Netzwerksicherheitsperimeter einem Schlüsseltresor in der Azure CLI zuzuordnen, befolgen Sie diese Anweisungen.

Zugriffsmodi im Netzwerksicherheitsperimeter

Netzwerksicherheitsperimeter unterstützen zwei verschiedene Zugriffsmodi für zugeordnete Ressourcen:

Mode Beschreibung
Lernmodus Der Standardzugriffsmodus. Im Lernmodus protokolliert der Netzwerksicherheitsperimeter den gesamten Datenverkehr zum Suchdienst, der verweigert werden würde, wenn der Perimeter im erzwungenen Modus ausgeführt wird. Dadurch kann das Netzwerkadministratorteam die vorhandenen Zugriffsmuster des Suchdiensts analysieren, bevor es die Erzwingung von Zugriffsregeln implementiert.
Erzwungener Modus Im erzwungenen Modus protokolliert und blockiert der Netzwerksicherheitsperimeter den gesamte Datenverkehr, der nicht explizit durch Zugriffsregeln erlaubt ist.

Netzwerkeinstellungen für Netzwerksicherheitsperimeter und Schlüsseltresor

Die publicNetworkAccess-Einstellung legt die Schlüsseltresorzuordnung mit einem Netzwerksicherheitsperimeter fest.

  • Im Lernmodus steuert die publicNetworkAccess-Einstellung den öffentlichen Zugriff auf die Ressource.

  • Im erzwungenen Modus wird die publicNetworkAccess-Einstellung durch die Regeln des Netzwerksicherheitsperimeters außer Kraft gesetzt. Wenn z. B. ein Suchdienst mit der publicNetworkAccess-Einstellung mit dem Wert enabled einem Netzwerksicherheitsperimeter im erzwungenen Modus zugeordnet ist, wird der Zugriff auf den Suchdienst weiterhin durch die Zugriffsregeln für den Netzwerksicherheitsperimeter gesteuert.

Ändern des Zugriffsmodus für Netzwerksicherheitsperimeter

  1. Navigieren Sie im Portal zu Ihrer Netzwerksicherheitsperimeterressource.

  2. Wählen Sie im Menü auf der linken Seite Ressourcen aus.

  3. Suchen Sie Ihren Schlüsseltresor in der Tabelle.

  4. Wählen Sie die drei Punkte ganz rechts in der Zeile des Suchdiensts aus. Wählen Sie im Popupmenü die Option Zugriffsmodus ändern aus.

  5. Wählen Sie den gewünschten Zugriffsmodus und dann Übernehmen aus.

Aktivieren der Protokollierung des Netzwerkzugriffs

Siehe Diagnoseprotokolle für Netzwerksicherheitsperimeter.

References

Nächste Schritte