Configuración de un perímetro de seguridad de red de Azure para los recursos de Azure

En esta página se describe cómo configurar el Perímetro de Seguridad de Red de Azure (NSP) para controlar el acceso desde la computación sin servidor a tus recursos de Azure a través del portal de Azure.

Información general sobre el perímetro de seguridad de red para los recursos de Azure

Azure perímetro de seguridad de red (NSP) es una característica nativa de Azure que crea un límite de aislamiento lógico para los recursos de PaaS. Al asociar recursos como cuentas de almacenamiento o bases de datos con un NSP, puede administrar de forma centralizada el acceso a la red mediante un conjunto de reglas simplificado. Esto reemplaza la necesidad de administrar manualmente listas complejas de direcciones IP individuales o identificadores de subred.

NSP admite el acceso desde almacenes de SQL sin servidor, trabajos, cuadernos, canalizaciones declarativas de Spark de Lakeflow y puntos de conexión de servicio de modelos.

Ventajas clave

El uso de NSP para el tráfico saliente sin servidor de Azure Databricks mejora su postura de seguridad y reduce significativamente la sobrecarga operativa.

Ventajas Description
Ahorro de costos El tráfico enviado a través de puntos de conexión de servicio permanece en la red troncal de Azure y no incurre en cargos de procesamiento de datos.
Administración simplificada La etiqueta de servicio /> AzureDatabricksServerless.EastUS2. Para obtener la lista completa de regiones de Azure admitidas, consulte Azure Databricks regions.
Control de acceso centralizado Administre las directivas de seguridad en varios tipos de recursos( incluidos el almacenamiento, los almacenes de claves y las bases de datos) dentro de un único perfil de NSP.

Servicios de Azure admitidos

La etiqueta de servicio AzureDatabricksServerless se admite para su uso en las reglas de acceso de entrada de NSP para los siguientes servicios de Azure:

  • Azure Storage (incluido ADLS Gen2)
  • Azure SQL Database
  • Azure Cosmos DB
  • Azure Key Vault

Requisitos

  • Debe ser administrador de la cuenta de Azure Databricks.
  • Debe tener permisos de colaborador o propietario en el recurso de Azure que desea configurar.
  • Debe tener permiso para crear recursos perimetrales de seguridad de red en la suscripción de Azure.
  • El área de trabajo de Azure Databricks y los recursos de Azure deben estar en la misma región Azure para obtener un rendimiento óptimo y evitar cargos de transferencia de datos entre regiones.

Paso 1: Crear un perímetro de seguridad de red y anotar el identificador de perfil

  1. Inicie sesión en el portal Azure.

  2. En el cuadro de búsqueda de la parte superior, escriba Perímetros de seguridad de red y selecciónelo en los resultados.

  3. Haga clic en + Crear.

  4. En la pestaña Aspectos básicos , escriba la siguiente información:

    • Subscription: seleccione la suscripción de Azure.
    • Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
    • Nombre: escriba un nombre para el NSP (por ejemplo, databricks-nsp).
    • Región: seleccione la región del NSP. Esto debe coincidir con la región del área de trabajo de Azure Databricks y la región de los recursos de Azure.
    • Nombre del perfil: escriba un nombre de perfil (por ejemplo, databricks-profile).

  5. Haga clic en Revisar y crear y, a continuación, en Crear.

  6. Una vez creado el NSP, vaya a él en el portal de Azure.

  7. En la barra lateral izquierda, vaya a Perfiles de configuración>.

  8. Cree o seleccione el perfil (por ejemplo, databricks-profile).

  9. Copie el identificador de recurso del perfil. Necesitará este identificador si planea asociar recursos mediante programación.

    Sugerencia

    Guarde el id. de perfil en una ubicación segura. Lo necesitará más adelante si desea asociar recursos mediante el Azure CLI o la API en lugar del Azure Portal.

Paso 2: Asociar su recurso con NSP en el modo de transición

Debe asociar cada recurso de Azure al que desea acceder desde Azure Databricks computación sin servidor con su perfil de NSP. En este ejemplo se muestra cómo asociar una cuenta de Azure Storage, pero se aplican los mismos pasos a otros recursos de Azure.

  1. Dirígete a tu perímetro de seguridad de la red en el portal de Azure.
  2. En la barra lateral izquierda, vaya a Recursos en Configuración.
  3. Haga clic en + Agregar>recursos asociados con un perfil existente.
  4. Seleccione el perfil que creó en el paso 1 (por ejemplo, databricks-profile).
  5. Haga clic en Asociar.
  6. En el panel de selección de recursos, filtre por tipo de recurso. Por ejemplo, para asociar una cuenta de Azure Data Lake Storage Gen2, filtre por Microsoft.Storage/storageAccounts.
  7. Seleccione los recursos de la lista.
  8. Haga clic en Asociar en la parte inferior del panel.

Comprobar el modo de transición:

  1. En el NSP, vaya a Recursos de configuración> (o Recursos asociados).
  2. Busque la cuenta de almacenamiento en la lista.
  3. Compruebe que la columna Modo de acceso muestra Transición. Este es el modo predeterminado.

Nota:

El modo de transición evalúa primero las reglas de NSP. Si ninguna regla de NSP coincide con la solicitud entrante, el sistema vuelve a las reglas de firewall existentes del recurso. Esto le permite probar la configuración de NSP sin interrumpir los patrones de acceso existentes.

Paso 3: Agregar una regla de acceso de entrada para el cómputo sin servidor de Azure Databricks

Debe crear una regla de acceso de entrada en su perfil de NSP para permitir el tráfico de cómputo sin servidor de Azure Databricks a sus recursos de Azure.

  1. Dirígete a tu perímetro de seguridad de la red en el portal de Azure.
  2. En la barra lateral izquierda, vaya a Perfiles de configuración>.
  3. Seleccione el perfil (por ejemplo, databricks-profile).
  4. En Configuración , haga clic en Reglas de acceso de entrada.
  5. Haga clic en + Agregar.
  6. Configure la regla:
    • Nombre de regla: escriba un nombre descriptivo (por ejemplo, allow-databricks-serverless).
    • Tipo de origen: seleccione Etiqueta de servicio.
    • Orígenes permitidos: seleccione AzureDatabricksServerless.
  7. Haga clic en Agregar.

Sugerencia

La etiqueta de servicio AzureDatabricksServerless cubre todas las direcciones IP de salida de Azure Databricks, incluidas las direcciones IP del punto de conexión de servicio y las direcciones IP NAT, y toda la comunicación se enruta a través de la red troncal de Azure. Dado que la etiqueta se actualiza automáticamente, no es necesario administrar manualmente las direcciones IP ni las reglas de actualización cuando Azure Databricks agrega nuevos intervalos IP.

Paso 4: Comprobar la configuración

Después de configurar el NSP, compruebe que la capacidad de computación sin servidor de Azure Databricks pueda acceder a su recurso de Azure y supervise la actividad del NSP.

Prueba de acceso desde cómputo sin servidor

  1. Vaya al recurso de Azure en el portal de Azure.

  2. Vaya a Seguridad + redes>Redes.

  3. Compruebe que el recurso muestra una asociación con el perímetro de seguridad de red.

  4. Compruebe que el estado muestra el modo de transición.

  5. Vea las reglas de entrada asociadas con su perfil para confirmar que la regla AzureDatabricksServerless aparece listada.

  6. En el área de trabajo de Azure Databricks, ejecute una consulta de prueba para confirmar que la computación sin servidor puede acceder a tu recurso. Por ejemplo, para probar el acceso a una cuenta de almacenamiento de ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Si la consulta se realiza correctamente, la configuración de NSP funciona correctamente.

Supervisión de la actividad de NSP

Para supervisar qué intentos de acceso se permiten o deniegan las reglas de NSP:

  1. Vaya al recurso de Azure en el portal de Azure.
  2. Vaya a Supervisión>Configuración de diagnóstico.
  3. Haga clic en + Agregar configuración de diagnóstico.
  4. Seleccione las categorías de registro que desea supervisar. Para Azure Storage cuentas, seleccione:
    • StorageRead
    • StorageWrite
  5. Elija un destino:
    • Log Analytics área de trabajo (recomendado para realizar consultas y análisis)
    • Cuenta de almacenamiento (para archivo a largo plazo)
    • Centro de eventos (para streaming a sistemas externos)
  6. Haz clic en Guardar.

Sugerencia

Los registros de diagnóstico muestran qué intentos de acceso coinciden con las reglas de NSP en comparación con las reglas del firewall de recursos. Esto le ayuda a validar su configuración antes de pasar al modo forzado. En el modo de transición, los registros indican si cada solicitud es permitida por una regla de NSP o, de lo contrario, depende del firewall de recursos.

Descripción de los modos de acceso de NSP

NSP admite dos modos de acceso: modo de transición y modo aplicado. Azure Databricks recomienda permanecer en modo de transición indefinidamente para la mayoría de los casos de uso.

Modo de transición (recomendado)::

  • Evalúa primero las reglas de NSP y, a continuación, recurre a las reglas de firewall de recursos si no coincide ninguna regla de NSP.
  • Permite usar NSP junto con las configuraciones de red existentes.
  • Compatible con los puntos de conexión de servicio, las configuraciones de proceso clásicas y los patrones de acceso público

Modo forzado (no recomendado para la mayoría de los clientes):

  • Omite las reglas de firewall de recursos, bloqueando todo el acceso que no coincide con una regla de NSP. Esto afecta no solo a Azure Databricks sino también a cualquier otro servicio que haya permitido a través del firewall de recursos; esos servicios deben haberse incorporado al NSP para seguir trabajando.
  • Permanezca en modo de transición si usa puntos de conexión de servicio para acceder al almacenamiento desde cualquier área de trabajo de Azure Databricks.

Advertencia

Permanezca en modo de transición para mantener la compatibilidad con la configuración de red existente mientras se beneficia de la administración simplificada de reglas. Consulte Limitaciones del perímetro de seguridad de red.

Pasos siguientes

  • Last updated on