Konfigurasikan firewall dan jaringan virtual Azure Key Vault

  • Artikel

Dokumen ini akan mencakup berbagai konfigurasi untuk firewall Azure Key Vault secara rinci. Untuk mengikuti instruksi langkah demi langkah tentang cara mengonfigurasi pengaturan ini, lihat Mengonfigurasi pengaturan jaringan Azure Key Vault.

Untuk perincian lengkapnya, lihat Titik akhir layanan jaringan virtual untuk Azure Key Vault.

Pengaturan Firewall

Bagian ini akan membahas berbagai cara agar firewall Azure Key Vault dapat dikonfigurasi.

Firewall Azure Key Vault Dinon-fungsikan (default)

Secara default, saat Anda membuat brankas kunci baru, firewall Azure Key Vault dinonaktifkan. Semua aplikasi dan layanan Azure dapat mengakses brankas kunci dan mengirim permintaan ke brankas kunci. Konfigurasi ini tidak berarti bahwa setiap pengguna akan dapat melakukan operasi pada brankas kunci Anda. Brankas kunci masih membatasi akses ke rahasia, kunci, dan sertifikat yang disimpan di brankas kunci dengan memerlukan izin autentikasi dan kebijakan akses Microsoft Entra. Untuk memahami autentikasi brankas kunci secara lebih rinci, lihat Autentikasi di Azure Key Vault. Untuk informasi selengkapnya, lihat Mengakses Azure Key Vault di belakang firewall.

Firewall Azure Key Vault Diaktifkan (Hanya Layanan Tepercaya)

Saat mengaktifkan Firewall Key Vault, Anda akan diberi opsi untuk 'Izinkan Layanan Microsoft Tepercaya melewati firewall ini.' Daftar layanan tepercaya tidak mencakup setiap layanan Azure. Misalnya, Azure DevOps tidak ada dalam daftar layanan tepercaya. Ini tidak menyiratkan bahwa layanan yang tidak muncul di daftar layanan tepercaya tidak tepercaya atau tidak aman. Daftar layanan tepercaya mencakup layanan di mana Microsoft mengontrol semua kode yang berjalan pada layanan. Karena pengguna dapat menulis kode kustom di layanan Azure seperti Azure DevOps, Microsoft tidak menyediakan opsi untuk membuat persetujuan selimut untuk layanan tersebut. Selain itu, hanya karena layanan muncul di daftar layanan tepercaya, tidak berarti diizinkan untuk semua skenario.

Untuk menentukan apakah layanan yang coba Anda gunakan ada di daftar layanan tepercaya, lihat Titik akhir layanan jaringan virtual untuk Azure Key Vault. Untuk panduan cara penggunaan, ikuti instruksi di sini untuk Portal, Azure CLI, dan PowerShell

Firewall Azure Key Vault Diaktifkan (Alamat dan Rentang IPv4 - IP Statis)

Jika Anda ingin mengotorisasi layanan tertentu untuk mengakses brankas kunci melalui Key Vault Firewall, Anda dapat menambahkan Alamat IP-nya ke daftar izin firewall brankas kunci. Konfigurasi ini paling baik untuk layanan yang menggunakan alamat IP statis atau rentang terkenal. Ada batas 1000 rentang CIDR untuk kasus ini.

Untuk memperbolehkan Alamat IP atau rentang sumber daya Azure, seperti Web App atau Aplikasi Logika, lakukan langkah-langkah berikut.

  1. Masuk ke portal Azure.
  2. Pilih sumber daya (instans layanan tertentu).
  3. Pilih bilah Properti di bawah Pengaturan.
  4. Cari bidang Alamat IP.
  5. Salin nilai atau rentang ini dan masukkan ke dalam daftar izin firewall brankas kunci.

Untuk mengizinkan seluruh layanan Azure, melalui firewall Vault Kunci, gunakan daftar alamat IP pusat data yang didokumentasikan secara publik untuk Azure di sini. Temukan alamat IP yang terkait dengan layanan yang Anda inginkan di wilayah yang Anda inginkan dan tambahkan alamat IP tersebut ke firewall brankas kunci.

Firewall Vault Kunci Diaktifkan (Jaringan Virtual - IP Dinamis)

Jika Anda mencoba mengizinkan sumber daya Azure seperti Komputer virtual melalui brankas kunci, Anda mungkin tidak dapat menggunakan alamat IP Statis, dan Anda mungkin tidak ingin mengizinkan semua alamat IP untuk Azure Virtual Machines untuk mengakses brankas kunci Anda.

Dalam hal ini, Anda harus membuat sumber daya dalam jaringan virtual, dan kemudian mengizinkan lalu lintas dari jaringan virtual dan subnet tertentu untuk mengakses brankas kunci Anda.

  1. Masuk ke portal Azure.
  2. Pilih brankas kunci yang ingin Anda konfigurasi.
  3. Pilih bilah 'Jaringan'.
  4. Pilih '+ Tambahkan jaringan virtual yang ada'.
  5. Pilih jaringan virtual dan subnet yang ingin Anda izinkan melalui tembok api brankas kunci.

Untuk memahami cara mengonfigurasi koneksi tautan pribadi pada brankas kunci Anda, silakan lihat dokumen di sini.

Penting

Setelah aturan firewall berlaku, pengguna hanya dapat melakukan operasi bidang data Vault Kunci ketika permintaan mereka berasal dari jaringan virtual yang diizinkan atau rentang alamat IPv4. Ini juga berlaku untuk mengakses Azure Key Vault dari portal Microsoft Azure. Meskipun pengguna dapat menelusuri ke brankas kunci dari portal Microsoft Azure, mereka mungkin tidak dapat mencantumkan kunci, rahasia, atau sertifikat jika komputer klien mereka tidak ada dalam daftar yang diizinkan. Ini juga memengaruhi Pemilih Key Vault yang digunakan oleh layanan Azure lainnya. Pengguna mungkin dapat melihat daftar brankas kunci, tetapi tidak mencantumkan kunci, jika aturan firewall mencegah komputer klien mereka.

Catatan

Ketahui batasan konfigurasi berikut:

  • Maksimum 200 aturan jaringan virtual dan aturan 1000 IPv4 diizinkan.
  • Aturan jaringan IP hanya diperbolehkan untuk alamat IP publik. Rentang alamat IP yang disediakan untuk jaringan privat (sebagaimana didefinisikan dalam RFC 1918) tidak diperbolehkan dalam aturan IP. Jaringan pribadi mencakup alamat yang dimulai dengan 10., 172.16-31, dan 192.168..
  • Hanya alamat IPv4 yang didukung saat ini.

Akses Publik Dinonaktifkan (Hanya Titik Akhir Privat)

Untuk meningkatkan keamanan jaringan, Anda dapat mengonfigurasi vault untuk menonaktifkan akses publik. Ini akan menolak semua konfigurasi publik dan hanya mengizinkan koneksi melalui titik akhir privat.

Referensi

Langkah berikutnya