Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Dlaczego to ma znaczenie

Bez użycia prywatnych punktów końcowych ruch sieciowy między Azure Key Vault a zasobami żądającymi wpisów tajnych i kluczy odbywa się przez publiczne punkty końcowe. Narąża to poufne dane na ryzyko przechwycenia lub monitorowania przez inne zasoby w tej samej sieci. W środowiskach o wysokich wymaganiach bezpieczeństwa, takich jak repozytoria kluczy i certyfikatów, stanowi to istotne ryzyko zgodności z przepisami, mogące prowadzić do nieautoryzowanego dostępu.

Co sprawdza Aether365

Aether365 weryfikuje, czy wystąpienia Azure Key Vault używają prywatnych punktów końcowych w celu ograniczenia ruchu sieciowego do zatwierdzonych zasobów. To sprawdzenie pojawia się w panelu Aether365 w kategorii azure-azure-keyvault i jest częścią wzorca CIS Microsoft Azure Foundations Benchmark.

Jak naprawić

1. Przejdź do zasobu Azure Key Vault w witrynie Azure portal.
2. W obszarze Networking wybierz kartę Private endpoint connections i kliknij + Private endpoint.
3. Skonfiguruj prywatny punkt końcowy: podaj nazwę, wybierz ten sam region co dla Key Vault oraz wybierz sieć wirtualną i podsieć, w której zostanie wdrożony punkt końcowy.
4. W polu Resource wybierz wystąpienie Key Vault i jako podzasób wybierz vault (lub secret w przypadku punktów końcowych dla wpisów tajnych).
5. Skonfiguruj integrację DNS: wybierz Integrate with private DNS zone, aby automatycznie utworzyć prywatny rekord DNS, lub zarządzaj niestandardowymi ustawieniami DNS, jeśli to konieczne.
6. Przejrzyj i utwórz prywatny punkt końcowy. Następnie zaktualizuj wszystkie parametry połączenia aplikacji, aby zamiast publicznego adresu URL magazynu używać adresu URL prywatnego punktu końcowego.

Zgodność z przepisami

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Poziom 2)
• CIS Controls v8: Ochrona danych (IP4)
• Microsoft Cloud Security Benchmark (MCSB): DP-8 Zapewnienie bezpieczeństwa repozytorium kluczy i certyfikatów

Powiązane zasoby

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection