Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve diferentes configurações para um firewall HSM gerenciado do Azure Key Vault. Para obter instruções passo a passo sobre como definir essas configurações, consulte Como definir as configurações de rede do HSM gerenciado do Azure.
Configurações do firewall
Esta seção descreve diferentes maneiras de configurar um firewall HSM gerenciado do Azure Key Vault.
Firewall HSM gerenciado desativado (acesso público habilitado para todas as redes)
Por padrão, quando você cria um novo HSM gerenciado, o firewall do Azure Key Vault Managed HSM é desabilitado. Todos os aplicativos e serviços do Azure podem acessar o HSM gerenciado e enviar solicitações para o HSM gerenciado. Essa configuração não concede permissão ao usuário para executar operações no HSM gerenciado. O HSM gerenciado ainda restringe o acesso às chaves armazenadas no HSM gerenciado, exigindo autenticação e permissões de acesso do Microsoft Entra. Para obter mais informações sobre a autenticação HSM gerenciada, consulte Controle de acesso HSM gerenciado do Azure Key Vault.
Firewall HSM gerido ativado (Firewall de rede IP (em pré-visualização))
Se você quiser autorizar um serviço específico a acessar o HSM gerenciado por meio do Firewall do HSM gerenciado, adicione seu endereço IP à lista de permissões do firewall do HSM gerenciado usando o recurso Firewall de rede IP (visualização). Essa configuração funciona melhor para serviços que usam endereços IP estáticos ou intervalos conhecidos. Você pode adicionar até 10 intervalos CIDR para essa configuração.
Observação
O recurso Firewall de Rede IP (visualização) requer ativação de subscrição. Se você estiver interessado em usar esse recurso, crie um tíquete de suporte com informações de assinatura e região.
Para permitir um endereço IP ou intervalo de um recurso do Azure, como um Aplicativo Web ou Aplicativo Lógico, execute as seguintes etapas:
- Inicie sessão no portal do Azure.
- Selecione o recurso (instância específica do serviço).
- Selecione a folha Propriedades em Configurações.
- Procure o campo de Endereço IP.
- Copie esse valor ou intervalo e insira-o na lista de permissões do firewall HSM gerenciado.
Para permitir um serviço inteiro do Azure por meio do firewall HSM gerenciado, use a lista de endereços IP do data center documentados publicamente para o Azure. Encontre os endereços IP associados ao serviço desejado na região desejada e adicione esses endereços IP ao firewall HSM gerenciado.
Observação
Esteja ciente das seguintes limitações de configuração do Firewall de Rede IP (visualização):
- Você pode adicionar até 10 regras IPv4.
- As regras de rede IP só são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido na RFC 1918) não são permitidos nas regras de IP.
- Neste momento, só são suportados endereços IPv4.
Firewall HSM gerenciado habilitado (serviços confiáveis)
Ao habilitar o Firewall HSM Gerenciado, você pode selecionar a opção Permitir que Serviços Microsoft Confiáveis ignorem esse firewall. A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Esta limitação não implica que os serviços que não aparecem na lista de serviços fidedignos não sejam fidedignos ou inseguros. A lista de serviços confiáveis inclui serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado nos serviços do Azure, como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação geral para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, isso não significa que ele é permitido para todos os cenários.
Para determinar se um serviço que pretende usar está na lista de serviços de confiança, consulte os Pontos de extremidade do serviço de rede virtual para o Azure Key Vault. Para obter um guia de instruções, siga as instruções para Portal, CLI do Azure e PowerShell.
Firewall HSM gerenciado habilitado (link privado)
Para saber como configurar uma conexão de link privado em seu HSM gerenciado, consulte Integrar HSM gerenciado com o Azure Private Link.
Importante
Depois que as regras de firewall entrarem em vigor, os usuários só poderão executar operações de plano de dados HSM gerenciado quando suas solicitações forem originadas de intervalos de endereços IPv4 permitidos. Esta restrição também se aplica ao acesso ao HSM Gerenciado a partir do portal do Azure. Embora os usuários possam navegar para um HSM gerenciado no portal do Azure, talvez não consigam listar chaves se a máquina cliente não estiver na lista de permissões. Essa restrição também afeta o Seletor de HSM Gerenciado usado por outros serviços do Azure. Os usuários poderão ver uma lista de cofres de chaves, mas não chaves de lista, se as regras de firewall impedirem a máquina cliente.
Acesso público desativado (somente ponto de extremidade privado)
Para melhorar a segurança da rede, você pode configurar seu HSM gerenciado para desabilitar o acesso público. Esta configuração nega todo o acesso público e permite apenas ligações através de terminais privados.
Restrições e Considerações
- Definir Acesso à Rede Pública como Desativar ainda pode permitir serviços confiáveis.
- As regras de firewall do Azure Key Vault Managed HSM aplicam-se apenas a operações de plano de dados. As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
- Para acessar dados usando ferramentas como o portal do Azure, você deve estar em uma máquina dentro do limite confiável que você estabelece ao configurar regras de segurança de rede.
Próximos passos
- Como definir as configurações de rede do Azure Managed HSM
- Integrar o HSM gerenciado com o Azure Private Link
- Proteja sua implantação do Azure Managed HSM
- Controlo de acesso