我在Azure云中进行了以下设置,其中 Web 应用程序从中获取秘密,Key Vault如下所示。托管身份和访问策略已启用
但是,我们的安全团队推荐我们Restrict Network Access To Azure Key Vault Using Firewalls & Vnets。
我可以创建 VNET 并限制访问。然而,这个 VNET 究竟要做什么,因为它是一个孤儿院。(如下所示)。我错过了什么吗?
AskOverflow.Dev
我也有同样的问题,也有同样的担忧。对您的问题的简短回答“这个 VNET 到底要做什么,因为它是一个孤儿院。“ 没什么
@Ken W MSFT 的详细回答详细、有价值且完美。你已经知道了。
您的安全团队受到以下事实的推动:Microsoft 内置策略、Azure 密钥保管库的安全基线和 Azure 安全基准都建议您永远不要从公共 Internet 访问 AKV,因此只能通过私有链接或服务端点访问它,如中所述上面的详细信息,但所有这些都假设你有一个 VNET 和 VM IaaS,这不是你的情况。
它确实需要一个有更广阔视野的人,而不是盲目地遵循建议而不理解它们的含义。
我说,虽然我愿意犯错和挑战,但我看到了这样的困境,因为我在两个世界中工作和生活,作为云解决方案架构师和云安全架构师。
因此,为了满足您的安全要求,您可以执行以下两个选项之一:
将您的 PaaS 应用程序更改为 IaaS,在 VNET 的子网中拥有一个 VM,并按照上述说明进行属性配置。
将托管计划提升为隔离,并将您的应用服务与 VNET 集成并让 VNET 访问 AKV 其他资源
如这个链接所示
以下是您的安全团队推荐的安全指南。但它比您的解决方案更昂贵。
指导:在隔离定价层中使用应用服务时,也称为应用服务环境 (ASE),您可以直接部署到 Azure 虚拟网络中的子网中。使用网络安全组通过阻止虚拟网络中资源的入站和出站流量来保护 Azure 应用服务环境,或者限制对应用服务环境中应用的访问。默认情况下,网络安全组包含最低优先级的隐式拒绝规则,并要求您添加显式允许规则。根据最低权限的网络方法为您的网络安全组添加允许规则。用于托管应用服务环境的基础虚拟机无法直接访问,因为它们位于 Microsoft 管理的订阅中。通过启用 Web 应用程序防火墙 (WAF) 的 Azure 应用程序网关路由流量来保护应用服务环境。将服务端点与应用程序网关结合使用,以保护您的应用程序的入站发布流量。
通过将 Key Vault 添加到 VNET,您可以应用 NSG 规则。这将使您能够有效地阻止对 Internet 的访问。正如我们所知,网络安全采用分层方法,这是另一层。默认情况下,Key Vault 确实具有访问策略,但这些策略未打开,它们仅阻止身份级别的访问。我不知道您的安全要求是什么,但我与受监管行业的客户打交道,并且在网络级别阻止访问非常常见。
有两种方法可以将 PaaS 服务注入 Azure 中的 Vnet。
服务端点
虚拟网络 (VNet) 服务终结点通过 Azure 主干网络上的优化路由提供与 Azure 服务的安全和直接连接。终结点允许您将关键的 Azure 服务资源仅保护到您的虚拟网络。服务终结点使 VNet 中的专用 IP 地址能够访问 Azure 服务的终结点,而无需 VNet 上的公共 IP 地址。
私人链接
Azure Private Link 使你能够通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有/合作伙伴服务。
您的虚拟网络和服务之间的流量通过 Microsoft 主干网络传输。不再需要将您的服务暴露在公共互联网上。您可以在虚拟网络中创建自己的专用链接服务并将其交付给您的客户。使用 Azure 专用链接的设置和使用在 Azure PaaS、客户拥有的和共享的合作伙伴服务中是一致的。