Configurar firewalls e redes virtuais do Azure Key Vault

Este documento abordará as diferentes configurações de um firewall do Azure Key Vault em detalhes. Para seguir as instruções passo a passo sobre como definir essas configurações, consulte Definir configurações de rede do Azure Key Vault.

Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual para o Cofre de Chaves do Azure.

Definições de Firewall

Esta seção abordará as diferentes maneiras pelas quais um firewall do Cofre de Chaves do Azure pode ser configurado.

Firewall do Cofre da Chave desativado (padrão)

Por padrão, quando você cria um novo cofre de chaves, o firewall do Cofre de Chaves do Azure é desabilitado. Todos os aplicativos e serviços do Azure podem acessar o cofre de chaves e enviar solicitações para o cofre de chaves. Esta configuração não significa que qualquer utilizador poderá realizar operações no seu cofre de chaves. O cofre de chaves ainda restringe o acesso a segredos, chaves e certificados armazenados no cofre de chaves, exigindo autenticação do Microsoft Entra e permissões de política de acesso. Para entender a autenticação do cofre de chaves com mais detalhes, consulte Autenticação no Cofre de Chaves do Azure. Para obter mais informações, consulte Access Azure Key Vault behind a firewall.

Firewall do Cofre da Chave Ativado (somente Serviços Confiáveis)

Quando ativar a Firewall do Cofre da Chave, ser-lhe-á dada a opção "Permitir que os Serviços Microsoft Fidedignos ignorem esta firewall". A lista de serviços confiáveis não abrange todos os serviços do Azure. Por exemplo, o Azure DevOps não está na lista de serviços confiáveis. Isso não implica que os serviços que não aparecem na lista de serviços confiáveis não sejam confiáveis ou sejam inseguros. A lista de serviços confiáveis engloba serviços em que a Microsoft controla todo o código executado no serviço. Como os usuários podem escrever código personalizado em serviços do Azure, como o Azure DevOps, a Microsoft não fornece a opção de criar uma aprovação geral para o serviço. Além disso, só porque um serviço aparece na lista de serviços confiáveis, não significa que ele é permitido para todos os cenários.

Para determinar se um serviço que você está tentando usar está na lista de serviços confiáveis, consulte Pontos de extremidade de serviço de rede virtual para o Cofre de Chaves do Azure. Para obter um guia de instruções, siga as instruções aqui para Portal, CLI do Azure e PowerShell

Firewall do Cofre de Chaves Ativado (Endereços IPv4 e Intervalos - IPs estáticos)

Se pretender autorizar um determinado serviço a aceder ao cofre de chaves através da Firewall do Cofre de Chaves, pode adicionar o respetivo Endereço IP à lista de permissões da firewall do cofre de chaves. Essa configuração é melhor para serviços que usam endereços IP estáticos ou intervalos conhecidos. Existe um limite de 1000 intervalos CIDR para este caso.

Para permitir um Endereço IP ou intervalo de um recurso do Azure, como um Aplicativo Web ou Aplicativo Lógico, execute as etapas a seguir.

  1. Inicie sessão no portal do Azure.
  2. Selecione o recurso (instância específica do serviço).
  3. Selecione a folha Propriedades em Configurações.
  4. Procure o campo Endereço IP .
  5. Copie esse valor ou intervalo e insira-o na lista de permissões do firewall do cofre de chaves.

Para permitir um serviço inteiro do Azure, por meio do firewall do Cofre da Chave, use a lista de endereços IP do data center documentados publicamente para o Azure aqui. Encontre os endereços IP associados ao serviço desejado na região desejada e adicione esses endereços IP ao firewall do cofre de chaves.

Firewall do Cofre de Chaves Ativado (Redes Virtuais - IPs Dinâmicos)

Se estiver a tentar permitir um recurso do Azure, como uma máquina virtual, através do cofre de chaves, poderá não conseguir utilizar endereços IP estáticos e poderá não querer permitir que todos os endereços IP das Máquinas Virtuais do Azure acedam ao seu cofre de chaves.

Nesse caso, você deve criar o recurso dentro de uma rede virtual e, em seguida, permitir que o tráfego da rede virtual específica e da sub-rede acesse seu cofre de chaves.

  1. Inicie sessão no portal do Azure.
  2. Selecione o cofre de chaves que deseja configurar.
  3. Selecione a folha 'Rede'.
  4. Selecione '+ Adicionar rede virtual existente'.
  5. Selecione a rede virtual e a sub-rede que você gostaria de permitir através do firewall do cofre de chaves.

Para entender como configurar uma conexão de link privado em seu cofre de chaves, consulte o documento aqui.

Importante

Depois que as regras de firewall estiverem em vigor, os usuários só poderão executar operações de plano de dados do Cofre de Chaves quando suas solicitações forem originadas de redes virtuais permitidas ou intervalos de endereços IPv4. Isso também se aplica ao acesso ao Cofre da Chave a partir do portal do Azure. Embora os usuários possam navegar até um cofre de chaves no portal do Azure, talvez não consigam listar chaves, segredos ou certificados se a máquina cliente não estiver na lista de permissões. Isso também afeta o Key Vault Picker usado por outros serviços do Azure. Os usuários poderão ver uma lista de cofres de chaves, mas não chaves de lista, se as regras de firewall impedirem a máquina cliente.

Nota

Esteja ciente das seguintes limitações de configuração:

  • É permitido um máximo de 200 regras de rede virtual e 1000 regras IPv4.
  • As regras de rede IP só são permitidas para endereços IP públicos. Os intervalos de endereços IP reservados para redes privadas (conforme definido no RFC 1918) não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10., 172.16-31 e 192.168..
  • Neste momento, só são suportados endereços IPv4.

Acesso público desativado (somente ponto de extremidade privado)

Para melhorar a segurança da rede, você pode configurar seu cofre para desabilitar o acesso público. Isso negará todas as configurações públicas e permitirá apenas conexões por meio de pontos de extremidade privados.

Referências

Próximos passos