Compartilhar via

Segurança de rede para O HSM Gerenciado do Azure

Este artigo descreve configurações diferentes para um firewall de HSM gerenciado do Azure Key Vault. Para obter instruções passo a passo sobre como definir essas configurações, consulte Como definir as configurações de rede do HSM Gerenciado do Azure.

Configurações de firewall

Esta seção descreve diferentes maneiras de configurar um firewall de HSM gerenciado do Azure Key Vault.

Firewall de HSM gerenciado desabilitado (acesso público habilitado para todas as redes)

Por padrão, quando você cria um HSM gerenciado, o firewall do HSM Gerenciado do Azure Key Vault é desabilitado. Todos os aplicativos e serviços do Azure podem acessar o HSM gerenciado e enviar solicitações para o HSM gerenciado. Essa configuração não concede permissão de usuário para executar operações no HSM gerenciado. O HSM gerenciado ainda restringe o acesso a chaves armazenadas no HSM gerenciado, exigindo permissões de acesso e autenticação do Microsoft Entra. Para obter mais informações sobre a autenticação HSM gerenciada, consulte o controle de acesso HSM gerenciado do Azure Key Vault.

Firewall de HSM gerenciado habilitado (Firewall de Rede IP (versão prévia))

Se você quiser autorizar um serviço específico a acessar o HSM gerenciado por meio do Firewall de HSM Gerenciado, adicione seu endereço IP à lista de permissões de firewall do HSM gerenciado usando o recurso Firewall de Rede IP (versão prévia). Essa configuração funciona melhor para serviços que usam endereços IP estáticos ou intervalos conhecidos. Você pode adicionar até 10 intervalos CIDR para essa configuração.

Observação

O recurso Firewall de Rede IP (versão prévia) requer a habilitação da assinatura. Se você estiver interessado em usar esse recurso, crie um tíquete de suporte com informações de assinatura e região.

Para permitir um endereço IP ou intervalo de um recurso do Azure, como um aplicativo Web ou aplicativo lógico, execute as seguintes etapas:

  1. Entre no portal do Azure.
  2. Selecione o recurso (instância específica do serviço).
  3. Selecione a folha Propriedades em Configurações.
  4. Procure o campo de endereço IP.
  5. Copie esse valor ou intervalo e insira-o na lista de permissões de firewall do HSM gerenciado.

Para permitir todo um serviço do Azure por meio do firewall de HSM gerenciado, use a lista de endereços IP de data center documentados publicamente para o Azure. Localize os endereços IP associados ao serviço desejado na região desejada e adicione esses endereços IP ao firewall HSM gerenciado.

Observação

Esteja ciente das seguintes limitações de configuração do Firewall de Rede IP (versão prévia):

  • Você pode adicionar até 10 regras IPv4.
  • Regras de rede IP somente são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido no RFC 1918) não são permitidos nas regras de IP.
  • Atualmente, somente há suporte para endereços IPv4.

Firewall do HSM gerenciado habilitado (Serviços Confiáveis)

Ao habilitar o Firewall de HSM Gerenciado, você pode selecionar a opção para permitir que os Serviços Confiáveis da Microsoft ignorem esse firewall. A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Essa limitação não implica que os serviços que não aparecem na lista de serviços confiáveis sejam não confiáveis ou inseguros. A lista de serviços confiáveis inclui serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado em serviços do Azure, como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação geral para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, isso não significa que ele seja permitido para todos os cenários.

Para determinar se um serviço que você está tentando usar está na lista de serviços confiáveis, confira Pontos de extremidade de serviço de rede virtual para o Azure Key Vault. Para obter um guia de instruções, siga as instruções do Portal, da CLI do Azure e do PowerShell.

Para saber como configurar uma conexão de link privado em seu HSM gerenciado, consulte Integrar o HSM Gerenciado com o Link Privado do Azure.

Importante

Depois que as regras de firewall entrarem em vigor, os usuários só poderão executar operações do plano de dados HSM gerenciado quando suas solicitações forem originadas de intervalos de endereços IPv4 permitidos. Essa restrição também se aplica ao acesso ao HSM Gerenciado do portal do Azure. Embora os usuários possam procurar um HSM gerenciado no portal do Azure, talvez não consigam listar chaves se o computador cliente não estiver na lista de permissões. Essa restrição também afeta o Seletor de HSM Gerenciado usado por outros serviços do Azure. Os usuários poderão ver a lista de cofres de chaves, mas não listar chaves, se as regras de firewall impedirem o computador cliente.

Acesso público desabilitado (somente endpoint privado)

Para aprimorar a segurança de rede, você pode configurar o HSM gerenciado para desabilitar o acesso público. Essa configuração nega todo o acesso público e permite apenas conexões por meio de pontos de extremidade privados.

Restrições e considerações

  • A configuração do acesso à rede pública para desabilitar ainda pode permitir serviços confiáveis.
  • As regras de firewall do HSM Gerenciado do Azure Key Vault só se aplicam às operações do plano de dados. As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
  • Para acessar os dados usando ferramentas como o portal do Azure, você deve estar em um computador dentro do limite confiável estabelecido ao configurar as regras de segurança de rede.

Próximas etapas

Referências

  • Last updated on