Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Warum dies wichtig ist

Ohne private Endpunkte erfolgt der Netzwerkverkehr zwischen Azure Key Vault und den Ressourcen, die Geheimnisse und Schlüssel anfordern, über öffentliche Endpunkte. Dadurch werden Ihre sensiblen Daten potenziell abgefangen oder von anderen Ressourcen im selben Netzwerk überwacht. Für Umgebungen mit hohen Sicherheitsanforderungen wie Schlüssel- und Zertifikatsrepositorys stellt dies ein erhebliches Compliance-Risiko dar, das zu unbefugtem Zugriff führen kann.

Was Aether365 prüft

Aether365 überprüft, ob Azure Key Vault-Instanzen private Endpunkte verwenden, um den Netzwerkverkehr auf genehmigte Ressourcen zu beschränken. Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Kategorie azure-azure-keyvault-checks angezeigt und ist Teil des CIS Microsoft Azure Foundations Benchmark.

So beheben Sie das Problem

1. Navigieren Sie im Azure Portal zu Ihrer Azure Key Vault-Ressource.
2. Wählen Sie unter Networking die Registerkarte Private endpoint connections aus und klicken Sie auf + Private endpoint.
3. Konfigurieren Sie den privaten Endpunkt: Geben Sie einen Namen an, wählen Sie dieselbe Region wie Ihr Key Vault und legen Sie ein virtuelles Netzwerk sowie ein Subnetz fest, in dem der Endpunkt bereitgestellt wird.
4. Wählen Sie unter Resource Ihre Key Vault-Instanz aus und legen Sie als Sub-Ressource vault (oder secret für geheimnisbasierte Endpunkte) fest.
5. Konfigurieren Sie die DNS-Integration: Wählen Sie Integrate with private DNS zone, um automatisch einen privaten DNS-Eintrag zu erstellen, oder verwalten Sie bei Bedarf benutzerdefinierte DNS-Einstellungen.
6. Überprüfen Sie die Konfiguration und erstellen Sie den privaten Endpunkt. Aktualisieren Sie anschließend alle Anwendungsverbindungszeichenfolgen, sodass anstelle der öffentlichen Vault-URL die private Endpunkt-URL verwendet wird.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Level 2)
• CIS Controls v8: Data Protection (IP4)
• Microsoft Cloud Security Benchmark (MCSB): DP-8 Ensure security of key and certificate repository

Verwandte Ressourcen

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection