Azure Key Vault-firewalls en virtuele netwerken configureren

  • Artikel

Dit document behandelt de verschillende configuraties voor een Azure Key Vault-firewall in detail. Zie Azure Key Vault-netwerkinstellingen configureren als u de stapsgewijze instructies wilt volgen voor het configureren van deze instellingen.

Zie Service-eindpunten voor een virtueel netwerk voor Azure Key Vault voor meer informatie.

Firewallinstellingen

In deze sectie worden de verschillende manieren besproken waarop een Azure Key Vault-firewall kan worden geconfigureerd.

Key Vault-firewall uitgeschakeld (standaard)

Wanneer u een nieuwe sleutel kluis maakt, wordt de Azure Key Vault-firewall standaard uitgeschakeld. Alle toepassingen en Azure-services hebben toegang tot de sleutelkluis en verzenden aanvragen naar de sleutelkluis. Deze configuratie betekent niet dat een gebruiker bewerkingen kan uitvoeren in uw sleutelkluis. De sleutelkluis beperkt nog steeds de toegang tot geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis door microsoft Entra-verificatie- en toegangsbeleidsmachtigingen te vereisen. Zie Verificatie in Azure Key Vault voor meer informatie over key vault-verificatie. Zie Toegang tot Azure Key Vault achter een firewall voor meer informatie.

Key Vault-firewall ingeschakeld (alleen vertrouwde services)

Wanneer u de Key Vault-firewall inschakelt, krijgt u de optie Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen. De lijst met vertrouwde services bevat niet elke Azure-service. Azure DevOps staat bijvoorbeeld niet in de lijst met vertrouwde services. Dit impliceert niet dat services die niet worden weergegeven in de lijst met vertrouwde services, niet worden vertrouwd of onveilig zijn. De lijst met vertrouwde services bevat services waarbij Microsoft alle code beheert die op de service wordt uitgevoerd. Omdat gebruikers aangepaste code kunnen schrijven in Azure-services zoals Azure DevOps, biedt Microsoft geen optie om een algemene goedkeuring voor de service te maken. Bovendien betekent het feit dat een service op de lijst met vertrouwde services staat, niet dat deze in alle scenario's is toegestaan.

Als u wilt bepalen of een service die u probeert te gebruiken zich in de lijst met vertrouwde services bevindt, raadpleegt u Service-eindpunten voor virtuele netwerken voor Azure Key Vault. Volg de instructies hier voor Portal, Azure CLI en PowerShell voor een instructiegids

Key Vault Firewall ingeschakeld (IPv4-adressen en -bereiken - vaste IP-adressen)

Als u een bepaalde service wilt autoriseren voor toegang tot de sleutelkluis via de Key Vault-firewall, kunt u het IP-adres toevoegen aan de acceptatielijst van de sleutelkluisfirewall. Deze configuratie is het meest geschikt voor services die gebruikmaken van vaste IP-adressen of bekende bereiken. Er geldt een limiet van 1000 CIDR-bereiken voor dit geval.

Als u een IP-adres of bereik van een Azure-resource, zoals een web-app of logische app, wilt toestaan, voert u de volgende stappen uit.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer de resource (specifiek exemplaar van de service).
  3. Selecteer de blade Eigenschappen onder Instellingen.
  4. Zoek het veld IP-adres .
  5. Kopieer deze waarde of het bereik en voer deze in de acceptatielijst voor de sleutelkluisfirewall in.

Als u een hele Azure-service wilt doorlaten door de Key Vault-firewall, gebruikt u deze lijst met openbaar gedocumenteerde IP-adressen voor Azure-datacenters. Zoek de IP-adressen die zijn gekoppeld aan de service die u wilt gebruiken in de gewenste regio en voeg deze IP-adressen toe aan de firewall van de sleutelkluis.

Key Vault Firewall ingeschakeld (virtuele netwerken - dynamische IP-adressen)

Als u een Azure-resource zoals een virtuele machine wilt toelaten via de sleutelkluis, kunt u mogelijk geen vaste IP-adressen gebruiken, en u wilt mogelijk niet alle IP-adressen voor Azure Virtual Machines toegang geven tot uw sleutelkluis.

In dit geval moet u de resource in een virtueel netwerk maken en vervolgens verkeer van het specifieke virtuele netwerk en subnet toestaan om toegang te krijgen tot uw sleutelkluis.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer de sleutelkluis die u wilt configureren.
  3. Selecteer de blade Netwerken.
  4. Selecteer + Bestaand virtueel netwerk toevoegen.
  5. Selecteer het virtuele netwerk en subnet dat u wilt toelaten door de firewall van de sleutelkluis.

Zie het document hierals u wilt weten hoe u een verbinding met een privékoppeling kunt configureren in uw sleutelkluis.

Belangrijk

Als de firewallregels van kracht zijn, kunnen gebruikers alleen Key Vault-gegevenslaagbewerkingen uitvoeren wanneer hun aanvragen afkomstig zijn van toegestane virtuele netwerken of IPv4-adresbereiken. Dit is tevens van toepassing voor toegang tot Key Vault vanuit Azure Portal. Hoewel gebruikers kunnen bladeren naar een sleutelkluis van Azure Portal, kunnen ze mogelijk geen sleutels, geheimen of certificaten weergeven als hun clientcomputer niet in de lijst met toegestane clients staat. Dit is ook van invloed op de Key Vault-kiezer die wordt gebruikt door andere Azure-services. Gebruikers kunnen mogelijk een lijst met sleutelkluizen zien, maar geen sleutels weergeven als firewallregels hun clientcomputer verhinderen.

Notitie

Houd rekening met de volgende configuratielimieten:

  • Maximaal 200 regels voor virtuele netwerken en 1000 IPv4-regels zijn toegestaan.
  • IP-netwerkregels zijn alleen toegestaan voor openbare IP-adressen. IP-adresbereiken die zijn gereserveerd voor privénetwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels. Privénetwerken omvatten adressen die beginnen met 10., 172.16-31, en 192.168..
  • Momenteel worden alleen IPv4-adressen ondersteund.

Openbare toegang uitgeschakeld (alleen privé-eindpunt)

Als u de netwerkbeveiliging wilt verbeteren, kunt u uw kluis zo configureren dat openbare toegang wordt uitgeschakeld. Hiermee worden alle openbare configuraties geweigerd en worden alleen verbindingen via privé-eindpunten toegestaan.

Verwijzingen

Volgende stappen