Configurar redes virtuais e firewalls do Azure Key Vault

Este documento trata das diferentes configurações de um firewall do Azure Key Vault em detalhes. Para seguir as instruções passo a passo sobre como definir essas configurações, consulte Definir configurações de rede do Azure Key Vault.

Para obter mais informações, confira Pontos de extremidade de serviço de rede virtual para o Azure Key Vault.

Configurações do Firewall

Esta seção aborda as diferentes maneiras como um firewall do Azure Key Vault pode ser configurado.

Firewall do Key Vault desabilitado (padrão)

Por padrão, quando você cria um cofre de chaves, o firewall do Azure Key Vault está desabilitado. Todos os aplicativos e serviços do Azure podem acessar o cofre de chaves e enviar solicitações para ele. Essa configuração não significa que qualquer usuário poderá executar operações em seu cofre de chaves. O cofre de chaves ainda restringe acesso aos segredos, chaves e certificados armazenados nele exigindo as permissões de autenticação e de política de acesso do Microsoft Entra. Para entender mais profundamente a autenticação do cofre de chaves, consulte Autenticação no Azure Key Vault. Para obter mais informações, confira Acessar o Azure Key Vault por trás de um firewall.

Firewall do Key Vault habilitado (somente serviços confiáveis)

Quando habilitar o Firewall do Key Vault, você terá a opção de "Permitir que Serviços Confiáveis da Microsoft ignorem este firewall". A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Isso não significa que os serviços que não aparecem na lista de serviços confiáveis não sejam confiáveis ou seguros. A lista de serviços confiáveis abrange os serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado em serviços do Azure como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação ampla para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, não significa que ele seja permitido em todos os cenários.

Para determinar se um serviço que você está tentando usar está na lista de serviços confiáveis, confira Pontos de extremidade de serviço de rede virtual para o Azure Key Vault. Para ver um guia de instruções, siga as instruções aqui para o Portal, a CLI do Azure e o PowerShell

Firewall do Key Vault habilitado (intervalos e endereços IPv4 – IPs estáticos)

Se desejar autorizar um serviço específico a acessar o cofre de chaves por meio do Firewall do Key Vault, você pode adicionar o endereço IP dele à lista de permissões do firewall do cofre de chaves. Essa configuração é melhor para serviços que usam endereços IP estáticos ou intervalos bem conhecidos. Há um limite de 1000 intervalos de CIDR para esse caso.

Para permitir um intervalo ou um endereço IP de um recurso do Azure, como um Aplicativo Web ou Aplicativo Lógico, execute as etapas a seguir.

  1. Entre no portal do Azure.
  2. Selecione o recurso (instância específica do serviço).
  3. Selecione a folha Propriedades em Configurações.
  4. Procure o campo Endereço IP.
  5. Copie esse valor ou intervalo e insira na lista de permissões do firewall do cofre de chaves.

Para permitir que todo um serviço do Azure passe pelo firewall do Key Vault, use a lista de endereços IP de data centers documentados publicamente para o Azure aqui. Localize os endereços IP associados ao serviço que deseja na região que deseja e adicione-os ao firewall do cofre de chaves.

Firewall do Key Vault habilitado (redes virtuais – IPs dinâmicos)

Se estiver tentando permitir que um recurso do Azure, como uma máquina virtual, passe pelo cofre de chaves, você não poderá usar endereços IP estáticos e talvez não queira permitir que todos os endereços IP das Máquinas Virtuais do Azure acessem o cofre de chaves.

Nesse caso, você deve criar o recurso em uma rede virtual e permitir que o tráfego da rede virtual específica e da sub-rede acesse o cofre de chaves.

  1. Entre no portal do Azure.
  2. Selecione o cofre de chaves que deseja configurar.
  3. Selecione a folha "Rede".
  4. Selecione "+ Adicionar rede virtual existente".
  5. Selecione a rede virtual e a sub-rede que deseja permitir que passem pelo firewall do cofre de chaves.

Para saber como configurar uma conexão de link privado em seu cofre de chaves, confira o documento aqui.

Importante

Depois que as regras de firewall estiverem ativas, os usuários podem realizar apenas operações de plano de dados do Key Vault quando as solicitações deles originarem-se de redes virtuais ou intervalos de endereços IPv4 permitidos. Isso também aplica-se ao acessar o Key Vault a partir do portal do Azure. Embora os usuários possam navegar em um cofre de chaves a partir do portal do Azure, eles talvez não consigam listar chaves, segredos ou certificados se o computador cliente deles não estiver na lista permitida. Isso também afeta o Seletor do Key Vault usado por outros serviços do Azure. Os usuários poderão ver a lista de cofres de chaves, mas não listar chaves, se as regras de firewall impedirem o computador cliente.

Observação

Esteja ciente das seguintes limitações de configuração:

  • Um máximo de 200 regras da rede virtual e 1.000 regras de IPv4 são permitidas.
  • Regras de rede IP somente são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido na RFC 1918) não são permitidos em regras de IP. Redes privadas incluem endereços que começam com 10. , 172.16-31 e 192.168. .
  • Atualmente, somente há suporte para endereços IPv4.

Acesso público desabilitado (somente ponto de extremidade privado)

Para aprimorar a segurança de rede, você pode configurar seu cofre para desabilitar o acesso público. Isso negará todas as configurações públicas e permitirá apenas conexões por meio de pontos de extremidade privados.

Referências

Próximas etapas