Общий доступ Azure Key Vault отключен, как получить к нему доступ через портал через Интернет
У меня есть несколько хранилищ ключей в моей учетной записи Azure, они были сохранены как «Разрешить публичный доступ из всех сетей», теперь его пришлось изменить на «Отключить публичный доступ», и я вместе с командой не могу перечислить ключи и секреты. Я изменил его на «Разрешить публичный доступ с определенных виртуальных сетей и IP-адресов», у меня это сработало, и теперь мне нужно добавить общедоступные IP-адреса всех остальных членов команды, как показано ниже.
Есть ли лучший способ подойти к этому?
Насколько плохо держать общедоступный доступ открытым, и влияние такое же на другие службы, такие как учетные записи хранения.
Была интеграция логических приложений с этим хранилищем ключей, но теперь оно также начало давать сбой.
Добавил мои общедоступные IP-адреса, и это сработало, но добавление всех IP-адресов не кажется продуктивным подходом.
Ответы 2
Чтобы ограничить доступ пользователей к хранилищу ключей Azure, вы можете внести их IP-адрес (публичный или Интернет) в белый список в настройках сетевого брандмауэра хранилища ключей.
Вам нужно будет добавить общедоступный IP-адрес каждого коллеги ИЛИ общедоступный IP-адрес офиса, нажав кнопку «плюс». См. ниже.
Да, это меняется, если только ваши коллеги не используют статический IP-адрес от интернет-провайдера. Брандмауэр хранилища ключей необходимо обновлять при каждом изменении общедоступного IP-адреса на стороне клиента.
На этот вопрос нет единственного правильного ответа. Это просто зависит от того, насколько далеко вы хотите зайти в системе безопасности и какие риски вы хотите снизить.
Включение общего доступа означает, что если кому-то удастся украсть учетные данные, имеющие права на это хранилище ключей, он сможет извлечь данные из этого хранилища. С другой стороны, это самый простой подход.
Ограничение доступа только к IP-адресам тех, кто/что нуждается в доступе, несколько снижает эту угрозу, поскольку для извлечения данных они также должны находиться в одном из этих разрешенных диапазонов. Настройка разрешенных адресов может занять время, особенно если адреса меняются. Эту проблему можно было бы облегчить, если бы ваша команда использовала VPN для сети, которая фактически имеет статический диапазон адресов.
Если пойти еще дальше, мы могли бы полностью отключить весь публичный доступ и использовать частные конечные точки. На этом этапе для извлечения данных злоумышленнику необходимо находиться внутри виртуальной сети. Мы также можем использовать группы безопасности сети, чтобы дополнительно заблокировать доступ только к определенным адресам/диапазонам внутри виртуальной сети. Теперь доступ к хранилищам для вашей команды станет сложнее, и для доступа к машине, находящейся внутри сети, потребуется использовать что-то вроде Azure Virtual Desktop или Bastion. Или с помощью VPN типа «точка-сеть» или «сеть-сеть».
Это больше похоже на то, что мне нужно добавить общедоступный IP-адрес каждого, кто будет иметь доступ к Key Vault.
Как это повлияет на другие ресурсы в Azure, например Key Vault, оно будет интегрировано со многими другими службами Azure, верно, одно из моих приложений логики вышло из строя после того, как я отключил общий доступ. Взимается ли за частную конечную точку какие-либо дополнительные расходы?
Да, поэтому вам нужно узнать адреса приложения Logic App и добавить их как разрешенные. Я не уверен, как обстоят дела с Logic Apps, но, например, в Службе приложений эти исходящие адреса обычно используются другими клиентами Azure, приложения которых развернуты в том же кластере серверов. Просто кое-что, что следует иметь в виду. Частные конечные точки требуют определенных затрат, поскольку сама конечная точка стоит небольшую сумму. Некоторые услуги необходимо обновить до уровня «Премиум» и т. д. для поддержки частной сети. Не уверен насчет Logic Apps.
В Logic Apps есть исходящий IP-адрес среды выполнения, IP-адрес конечной точки доступа и исходящий IP-адрес соединителя, и в этих категориях есть много IP-адресов. Если мне нужно добавить, нужно ли мне добавлять все IP-адреса?
Да, вам, скорее всего, придется добавить несколько адресов, поскольку эти кластеры серверов имеют набор адресов, которые они могут использовать (поскольку вы можете использовать только ограниченное количество временных портов для каждого адреса).
Не изменится ли общедоступный IP-адрес в зависимости от соединения?