Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano różne konfiguracje zapory modułu HSM zarządzanego przez Azure Key Vault. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania tych ustawień, zobacz How to configure Azure Managed HSM networking settings (Jak skonfigurować ustawienia sieciowe zarządzanego modułu HSM platformy Azure).
Ustawienia zapory
W tej sekcji opisano różne sposoby konfigurowania zarządzanej zapory modułu HSM usługi Azure Key Vault.
Ponieważ wyłączono zaporę zarządzanego modułu HSM, włączono dostęp publiczny do wszystkich sieci.
Domyślnie podczas tworzenia nowego zarządzanego modułu HSM, zapora sieciowa usługi Azure Key Vault Managed HSM jest wyłączona. Wszystkie aplikacje i usługi platformy Azure mogą uzyskiwać dostęp do zarządzanego modułu HSM i wysyłać żądania do zarządzanego modułu HSM. Ta konfiguracja nie udziela żadnych uprawnień użytkownika do wykonywania operacji na zarządzanym module HSM. Zarządzany moduł HSM nadal ogranicza dostęp do kluczy przechowywanych w zarządzanym module HSM, wymagając uwierzytelniania Microsoft Entra i posiadania odpowiednich uprawnień dostępu. Aby uzyskać więcej informacji na temat uwierzytelniania zarządzanego modułu HSM, zobacz Azure Key Vault Managed HSM access control (Kontrola dostępu zarządzanego modułu HSM w usłudze Azure Key Vault).
Włączono zaporę zarządzanego modułu HSM (zapora sieci IP (wersja zapoznawcza))
Jeśli chcesz autoryzować określoną usługę do uzyskiwania dostępu do zarządzanego modułu HSM za pośrednictwem zarządzanej zapory HSM, dodaj jej adres IP do listy dozwolonych zapory zarządzanego modułu HSM przy użyciu funkcji Zapora sieci IP (wersja zapoznawcza). Ta konfiguracja działa najlepiej w przypadku usług korzystających ze statycznych adresów IP lub dobrze znanych zakresów. Dla tej konfiguracji można dodać maksymalnie 10 zakresów CIDR.
Uwaga / Notatka
Funkcja Zapora sieci IP (wersja zapoznawcza) wymaga włączenia subskrypcji. Jeśli interesuje Cię użycie tej funkcji, utwórz bilet pomocy technicznej z informacjami o subskrypcji i regionie.
Aby zezwolić na adres IP lub zakres zasobu platformy Azure, takiego jak aplikacja internetowa lub aplikacja logiki, wykonaj następujące kroki:
- Zaloguj się do witryny Azure Portal.
- Wybierz zasób (określone wystąpienie usługi).
- Wybierz blok Właściwości w obszarze Ustawienia.
- Wyszukaj pole Adres IP.
- Skopiuj tę wartość lub zakres i wprowadź ją na listę dozwolonych zapory zarządzanego modułu HSM.
Aby zezwolić na całą usługę platformy Azure za pośrednictwem zarządzanej zapory HSM, użyj listy publicznie udokumentowanych adresów IP centrum danych dla platformy Azure. Znajdź adresy IP skojarzone z usługą w żądanym regionie i dodaj te adresy IP do zarządzanej zapory modułu HSM.
Uwaga / Notatka
Należy pamiętać o następujących ograniczeniach konfiguracji zapory sieciowej IP (wersja zapoznawcza):
- Można dodać maksymalnie 10 reguł IPv4.
- Reguły sieci IP są dozwolone tylko dla publicznych adresów IP. Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP.
- Obecnie obsługiwane są tylko adresy IPv4.
Włączono zaporę zarządzanego modułu HSM (zaufane usługi)
Po włączeniu zarządzanej zapory HSM można wybrać opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory. Lista zaufanych usług nie obejmuje każdej pojedynczej usługi platformy Azure. Na przykład usługa Azure DevOps nie znajduje się na liście zaufanych usług. To ograniczenie nie oznacza, że usługi, które nie są wyświetlane na liście zaufanych usług, są niezaufane lub niezabezpieczone. Lista zaufanych usług zawiera usługi, w których firma Microsoft kontroluje cały kod uruchamiany w usłudze. Ponieważ użytkownicy mogą pisać kod niestandardowy w usługach platformy Azure, takich jak Azure DevOps, firma Microsoft nie udostępnia opcji tworzenia ogólnego zatwierdzenia dla usługi. Ponadto po prostu dlatego, że usługa jest wyświetlana na liście zaufanych usług, nie oznacza, że jest dozwolona dla wszystkich scenariuszy.
Aby określić, czy usługa, której próbujesz użyć, znajduje się na liście zaufanych usług, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault. Aby uzyskać instrukcje, postępuj zgodnie z instrukcjami dotyczącymi witryny Portal, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
Włączono zaporę zarządzanego modułu HSM (prywatne łącze)
Aby dowiedzieć się, jak skonfigurować połączenie łącza prywatnego w zarządzanym module HSM, zobacz Integrowanie zarządzanego modułu HSM z usługą Azure Private Link.
Ważne
Po wprowadzeniu reguł zapory użytkownicy mogą wykonywać operacje zarządzanej płaszczyzny danych modułu HSM tylko wtedy, gdy ich żądania pochodzą z dozwolonych zakresów adresów IPv4. To ograniczenie dotyczy również uzyskiwania dostępu do zarządzanego modułu HSM z witryny Azure Portal. Mimo że użytkownicy mogą przejść do zarządzanego modułu HSM z witryny Azure Portal, mogą nie być w stanie wyświetlić listy kluczy, jeśli ich maszyna kliencka nie znajduje się na liście dozwolonych. To ograniczenie dotyczy również selektora zarządzanego modułu HSM używanego przez inne usługi platformy Azure. Użytkownicy mogą móc wyświetlać listę magazynów kluczy, ale nie mogą wyświetlić listy kluczy, ponieważ reguły zapory uniemożliwiają działanie maszyny klienckiej.
Dostęp publiczny jest wyłączony (tylko prywatny punkt końcowy)
Aby zwiększyć bezpieczeństwo sieci, można skonfigurować zarządzany moduł HSM w celu wyłączenia dostępu publicznego. Ta konfiguracja blokuje cały dostęp publiczny i zezwala tylko na połączenia za pośrednictwem prywatnych punktów końcowych.
Ograniczenia i zagadnienia
- Ustawienie opcji Dostęp do sieci publicznej na Wartość Wyłącz może nadal zezwalać na zaufane usługi.
- Reguły zapory zarządzanego modułu HSM w usłudze Azure Key Vault dotyczą tylko operacji na płaszczyźnie danych. Operacje płaszczyzny sterowania nie podlegają ograniczeniom określonym w regułach zapory.
- Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak witryna Azure Portal, musisz znajdować się na maszynie w ramach zaufanej granicy ustanowionej podczas konfigurowania reguł zabezpieczeń sieci.
Dalsze kroki
- Jak skonfigurować ustawienia sieciowe zarządzanego modułu HSM platformy Azure
- Integrowanie zarządzanego modułu HSM z usługą Azure Private Link
- Zabezpieczanie wdrożenia zarządzanego modułu HSM platformy Azure
- Kontrola dostępu
References
- Dokumentacja szablonu usługi Azure Resource Manager dla zarządzanego modułu HSM usługi Azure Key Vault
- Polecenia Azure CLI: az keyvault network-rule
- Polecenia cmdlet programu Azure PowerShell: Add-AzKeyVaultManagedHsmNetworkRule, Remove-AzKeyVaultManagedHsmNetworkRule, Update-AzKeyVaultManagedHsmNetworkRuleSet