Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Γιατί Είναι Σημαντικό

Χωρίς ιδιωτικά τελικά σημεία (private endpoints), η κίνηση δικτύου μεταξύ του Azure Key Vault και των πόρων που ζητούν μυστικά και κλειδιά μεταδίδεται μέσω δημόσιων τελικών σημείων. Αυτό εκθέτει τα ευαίσθητα δεδομένα σας σε πιθανή υποκλοπή ή παρακολούθηση από άλλους πόρους στο ίδιο δίκτυο. Για περιβάλλοντα υψηλής ασφάλειας, όπως αποθετήρια κλειδιών και πιστοποιητικών, αυτό αποτελεί σημαντικό κίνδυνο συμμόρφωσης που μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση.

Τι Ελέγχει το Aether365

Το Aether365 επαληθεύει ότι οι παρουσίες του Azure Key Vault χρησιμοποιούν ιδιωτικά τελικά σημεία για να περιορίσουν την κυκλοφορία δικτύου σε εγκεκριμένους πόρους. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου σας στο Aether365 υπό την κατηγορία azure-azure-keyvault checks και αποτελεί μέρος του CIS Microsoft Azure Foundations Benchmark.

Πώς να το Διορθώσετε

1. Μεταβείτε στον πόρο Azure Key Vault στο Azure portal.
2. Στην ενότητα Networking, επιλέξτε την καρτέλα Private endpoint connections και κάντε κλικ στο + Private endpoint.
3. Διαμορφώστε το ιδιωτικό τελικό σημείο: ορίστε ένα όνομα, επιλέξτε την ίδια περιοχή με το Key Vault σας και επιλέξτε ένα εικονικό δίκτυο και ένα υποδίκτυο όπου θα αναπτυχθεί το τελικό σημείο.
4. Για το Resource, επιλέξτε την παρουσία του Key Vault σας και στο πεδίο sub-resource επιλέξτε vault (ή secret για τελικά σημεία που βασίζονται σε μυστικά).
5. Διαμορφώστε την ενσωμάτωση DNS: επιλέξτε Integrate with private DNS zone για αυτόματη δημιουργία εγγραφής ιδιωτικού DNS ή διαχειριστείτε προσαρμοσμένες ρυθμίσεις DNS αν χρειαστεί.
6. Ελέγξτε και δημιουργήστε το ιδιωτικό τελικό σημείο. Στη συνέχεια, ενημερώστε τυχόν συμβολοσειρές σύνδεσης εφαρμογών ώστε να χρησιμοποιούν το URL του ιδιωτικού τελικού σημείου αντί για το δημόσιο URL του vault.

Συμμόρφωση

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Επίπεδο 2)
• CIS Controls v8: Προστασία Δεδομένων (IP4)
• Microsoft Cloud Security Benchmark (MCSB): DP-8 Διασφάλιση της ασφάλειας του αποθετηρίου κλειδιών και πιστοποιητικών

Σχετικοί Πόροι

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection