Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Pourquoi c'est important

Sans points de terminaison privés, le trafic réseau entre Azure Key Vault et les ressources qui demandent des secrets et des clés transite par des points de terminaison publics. Cela expose vos données sensibles à une interception ou une surveillance potentielle par d'autres ressources sur le même réseau. Pour les environnements à haute sécurité comme les référentiels de clés et de certificats, cela représente un risque de conformité important pouvant entraîner un accès non autorisé.

Ce que vérifie Aether365

Aether365 vérifie que les instances Azure Key Vault utilisent des points de terminaison privés pour limiter le trafic réseau aux ressources approuvées. Cette vérification apparaît dans votre tableau de bord Aether365 sous la catégorie des vérifications azure-azure-keyvault et fait partie du CIS Microsoft Azure Foundations Benchmark.

Comment corriger

1. Accédez à votre ressource Azure Key Vault dans le portail Azure.
2. Sous Networking, sélectionnez l'onglet Private endpoint connections, puis cliquez sur + Private endpoint.
3. Configurez le point de terminaison privé : spécifiez un nom, sélectionnez la même région que votre Key Vault, et choisissez un réseau virtuel et un sous-réseau où le point de terminaison sera déployé.
4. Pour Resource, sélectionnez votre instance Key Vault et choisissez la sous-ressource vault (ou secret pour les points de terminaison basés sur les secrets).
5. Configurez l'intégration DNS : sélectionnez Integrate with private DNS zone pour créer automatiquement un enregistrement DNS privé, ou gérez des paramètres DNS personnalisés si nécessaire.
6. Passez en revue et créez le point de terminaison privé. Ensuite, mettez à jour les chaînes de connexion des applications pour utiliser l'URL du point de terminaison privé au lieu de l'URL publique du coffre.

Conformité

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Niveau 2)
• CIS Controls v8 : Protection des données (IP4)
• Microsoft Cloud Security Benchmark (MCSB) : DP-8 Assurer la sécurité du référentiel de clés et de certificats

Ressources associées

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection