Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken

Dieses Dokument enthält detaillierte Informationen zu den verschiedenen Konfigurationen der Azure Key Vault-Firewall. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Azure Key Vault Netzwerkeinstellungen.

Weitere Informationen finden Sie unter VNET-Dienstendpunkte für Azure Key Vault.

Firewalleinstellungen

In diesem Abschnitt werden die verschiedenen Konfigurationsmöglichkeiten einer Azure Key Vault-Firewall beschrieben.

Key Vault-Firewall deaktiviert (Standardeinstellung)

Wenn Sie einen neuen Schlüsseltresor erstellen, ist die Azure Key Vault-Firewall standardmäßig deaktiviert. Alle Anwendungen und Azure-Dienste können auf den Schlüsseltresor zugreifen und Anforderungen an den Schlüsseltresor senden. Diese Konfiguration bedeutet nicht, dass jeder beliebige Benutzer Vorgänge für Ihren Schlüsseltresor ausführen kann. Der Schlüsseltresor schränkt den Zugriff auf Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, weiterhin ein, indem er eine Microsoft Entra-Authentifizierung und Zugriffsrichtlinienberechtigungen erfordert. Ausführlichere Informationen zur Schlüsseltresorauthentifizierung finden Sie unter Authentifizierung in Azure Key Vault. Weitere Informationen finden Sie unter Zugreifen auf Azure Key Vault hinter einer Firewall.

Key Vault-Firewall aktiviert (nur vertrauenswürdige Dienste)

Wenn Sie die Key Vault-Firewall aktivieren, können Sie festlegen, dass vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlaubt werden soll. Die Liste der vertrauenswürdigen Dienste deckt nicht alle Azure-Dienste ab. Azure DevOps ist beispielsweise nicht in der Liste der vertrauenswürdigen Dienste enthalten. Das bedeutet nicht, dass Dienste, die nicht in der Liste der vertrauenswürdigen Dienste enthalten sind, nicht vertrauenswürdig oder unsicher sind. Die Liste der vertrauenswürdigen Dienste umfasst Dienste, bei denen der gesamte im Dienst ausgeführte Code von Microsoft kontrolliert wird. Da Benutzer in Azure-Diensten wie Azure DevOps benutzerdefinierten Code schreiben können, bietet Microsoft keine Option zur Erstellung einer Pauschalgenehmigung für den Dienst. Außerdem gilt: Die Tatsache, dass ein Dienst in der Liste vertrauenswürdiger Dienste enthalten ist, bedeutet nicht, dass er für alle Szenarien zulässig ist.

Wie Sie ermitteln, ob ein Dienst, den Sie verwenden möchten, in der Liste der vertrauenswürdigen Dienste enthalten ist, erfahren Sie unter VNET-Dienstendpunkte für Azure Key Vault. Eine Schrittanleitung für das Portal, die Azure CLI und PowerShell finden Sie hier.

Key Vault-Firewall aktiviert (IPv4-Adressen und -Bereiche – statische IP-Adressen)

Wenn Sie für einen bestimmten Dienst den Zugriff auf den Schlüsseltresor durch die Key Vault-Firewall autorisieren möchten, können Sie seine IP-Adresse der Positivliste der Key Vault-Firewall hinzufügen. Diese Konfiguration eignet sich am besten für Dienste mit statischen IP-Adressen oder bekannten Bereichen. Für diesen Fall gilt ein Grenzwert von 1.000 CIDR-Bereichen.

Gehen Sie wie folgt vor, wenn Sie eine IP-Adresse oder einen Bereich einer Azure-Ressource (beispielsweise eine Web- oder Logik-App) zulassen möchten:

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie die Ressource (spezifische Instanz des Diensts) aus.
3. Wählen Sie unter Einstellungen das Blatt Eigenschaften aus.
4. Suchen Sie nach dem Feld IP-Adresse.
5. Kopieren Sie den Wert oder Bereich, und fügen Sie ihn in die Positivliste der Schlüsseltresorfirewall ein.

Wenn Sie einem gesamten Azure-Dienst den Zugriff durch die Key Vault-Firewall gestatten möchten, verwenden Sie die Liste der öffentlich dokumentierten IP-Adressen von Azure-Rechenzentren. Suchen Sie die IP-Adressen, die dem gewünschten Dienst in der gewünschten Region zugeordnet sind, und fügen Sie sie der Key Vault-Firewall hinzu.

Key Vault-Firewall aktiviert (virtuelle Netzwerke – dynamische IP-Adressen)

Wenn Sie versuchen, eine Azure-Ressource (beispielsweise einen virtuellen Computer) über den Schlüsseltresor zuzulassen, kann es vorkommen, dass Sie keine statischen IP-Adressen verwenden können und ggf. nicht für alle IP-Adressen für Azure Virtual Machines den Zugriff auf Ihren Schlüsseltresor zulassen möchten.

Erstellen Sie in diesem Fall die Ressource in einem virtuellen Netzwerk, und lassen Sie dann für Datenverkehr aus dem spezifischen virtuellen Netzwerk und Subnetz den Zugriff auf Ihren Schlüsseltresor zu.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie den Schlüsseltresor aus, den Sie konfigurieren möchten.
3. Wählen Sie das Blatt „Netzwerk“ aus.
4. Wählen Sie „+ Vorhandenes virtuelles Netzwerk hinzufügen“ aus.
5. Wählen Sie das virtuelle Netzwerk und das Subnetz aus, für die Sie den Zugriff durch die Schlüsseltresorfirewall zulassen möchten.

Key Vault-Firewall aktiviert (Private Link)

Informationen zum Konfigurieren einer Private Link-Verbindung für Ihren Schlüsseltresor finden Sie hier.

Wichtig

Nachdem Firewallregeln in Kraft sind, können Benutzer nur Vorgänge auf Key Vault-Datenebene ausführen, wenn ihre Anforderungen aus zulässigen virtuellen Netzwerken oder IPv4-Adressbereichen stammen. Dies gilt auch für den Zugriff auf den Schlüsseltresor aus dem Azure-Portal. Obwohl Benutzer im Azure-Portal zu einem Schlüsseltresor navigieren können, können sie möglicherweise keine Schlüssel, Geheimnisse oder Zertifikate auflisten, wenn ihr Clientcomputer nicht in der Zulassungsliste enthalten ist. Dies wirkt sich auch auf die Key Vault-Auswahl aus, die von anderen Azure-Diensten verwendet wird. Benutzer können möglicherweise eine Liste von Schlüsseltresoren einsehen, aber keine Schlüssel auflisten, wenn Firewallregeln ihren Clientcomputer blockieren.

Hinweis

Bedenken Sie dabei folgende Konfigurationseinschränkungen:

• Maximal 200 VNET-Regeln und 1.000 IPv4-Regeln sind zulässig.
• IP-Netzwerkregeln sind nur für öffentliche IP-Adressen zulässig. Für private Netzwerke reservierte IP-Adressbereiche (gemäß RFC 1918) sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10. , 172.16-31 und 192.168. beginnen.
• Derzeit werden nur IPv4-Adressen unterstützt.

Öffentlicher Zugriff deaktiviert (nur privater Endpunkt)

Um die Netzwerksicherheit zu verbessern, können Sie Ihren Tresor so konfigurieren, dass der öffentliche Zugriff deaktiviert ist. Dadurch werden alle öffentlichen Konfigurationen verweigert und nur Verbindungen über private Endpunkte zugelassen.

References

• ARM-Vorlagenreferenz: Azure Key Vault: ARM-Vorlagenreferenz
• Azure CLI-Befehle: az keyvault network-rule
• Azure PowerShell-Cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Nächste Schritte

• VNET-Dienstendpunkte für Key Vault
• Azure Key Vault-Sicherheitsübersicht