Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Por Que Esto Importa

Sin puntos finales privados, el trafico de red entre Azure Key Vault y los recursos que solicitan secretos y claves viaja a traves de puntos finales publicos. Esto expone sus datos confidenciales a una posible interceptacion o monitoreo por parte de otros recursos en la misma red. Para entornos de alta seguridad, como repositorios de claves y certificados, esto representa un riesgo de cumplimiento significativo que puede derivar en accesos no autorizados.

Que Verifica Aether365

Aether365 verifica que las instancias de Azure Key Vault utilicen puntos finales privados para restringir el trafico de red a recursos aprobados. Esta verificacion aparece en el panel de Aether365 bajo la categoria de verificaciones azure-azure-keyvault y forma parte del CIS Microsoft Azure Foundations Benchmark.

Como Solucionarlo

1. Navegue hasta el recurso de Azure Key Vault en el Azure portal.
2. En Networking, seleccione la pestana Private endpoint connections y haga clic en + Private endpoint.
3. Configure el punto final privado: especifique un nombre, seleccione la misma region que su Key Vault y elija una red virtual y subred donde se implementara el punto final.
4. Para Resource, seleccione su instancia de Key Vault y elija el sub-recurso como vault (o secret para puntos finales basados en secretos).
5. Configure la integracion de DNS: seleccione Integrate with private DNS zone para crear automaticamente un registro DNS privado, o administre configuraciones DNS personalizadas si es necesario.
6. Revise y cree el punto final privado. Luego actualice las cadenas de conexion de cualquier aplicacion para que utilicen la URL del punto final privado en lugar de la URL publica del vault.

Cumplimiento

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Nivel 2)
• CIS Controls v8: Proteccion de Datos (IP4)
• Microsoft Cloud Security Benchmark (MCSB): DP-8 Asegurar la seguridad del repositorio de claves y certificados

Recursos Relacionados

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection