Private endpoints will secure network traffic from Azure Key Vault to the resources requesting secrets and keys.

Por que Isso é Importante

Sem endpoints privados, o tráfego de rede entre o Azure Key Vault e os recursos que solicitam segredos e chaves trafega por endpoints públicos. Isso expõe seus dados confidenciais a possíveis interceptações ou monitoramento por outros recursos na mesma rede. Para ambientes de alta segurança, como repositórios de chaves e certificados, isso representa um risco significativo de conformidade que pode levar ao acesso não autorizado.

O que o Aether365 Verifica

O Aether365 verifica se as instâncias do Azure Key Vault usam endpoints privados para restringir o tráfego de rede a recursos aprovados. Essa verificação aparece em seu painel do Aether365 na categoria de verificações azure-azure-keyvault e faz parte do CIS Microsoft Azure Foundations Benchmark.

Como Corrigir

1. Navegue até seu recurso Azure Key Vault no Azure portal.
2. Em Networking, selecione a guia Private endpoint connections e clique em + Private endpoint.
3. Configure o endpoint privado: especifique um nome, selecione a mesma região do seu Key Vault e escolha uma rede virtual e sub-rede onde o endpoint será implantado.
4. Em Resource, selecione sua instância do Key Vault e escolha o sub-recurso como vault (ou secret para endpoints baseados em segredos).
5. Configure a integração de DNS: selecione Integrate with private DNS zone para criar automaticamente um registro DNS privado, ou gerencie configurações de DNS personalizadas, se necessário.
6. Revise e crie o endpoint privado. Em seguida, atualize todas as strings de conexão do aplicativo para usar a URL do endpoint privado em vez da URL pública do cofre.

Conformidade

• CIS Microsoft Azure Foundations 3.0.0 3.3.7 (Nível 2)
• CIS Controls v8: Proteção de Dados (IP4)
• Microsoft Cloud Security Benchmark (MCSB): DP-8 Garantir a segurança do repositório de chaves e certificados

Recursos Relacionados

• Azure Private Endpoint Overview
• Storage Private Endpoints Documentation
• Azure Private Link Pricing
• Configure Azure Key Vault Private Link
• Quickstart: Create Virtual Network
• Private Endpoint for Storage Tutorial
• Azure Bastion Overview
• Private DNS Zone CLI Guide

Microsoft references

• Private endpoint overview
• Storage private endpoints
• Private link
• Private link service
• Quick create portal
• Tutorial private endpoint storage portal
• Bastion overview
• Private dns getstarted cli
• Mcsb data protection