Configurer un périmètre de sécurité réseau Azure pour les ressources Azure

Cette page explique comment configurer le périmètre de sécurité du réseau Azure (NSP) pour contrôler l’accès du calcul sans serveur à vos ressources Azure à l’aide du portail Azure.

Vue d’ensemble du périmètre de sécurité réseau pour les ressources Azure

Azure périmètre de sécurité réseau (NSP) est une fonctionnalité intégrée Azure qui crée une limite d’isolation logique pour vos ressources PaaS. En associant des ressources telles que des comptes de stockage ou des bases de données à un fournisseur de services réseau, vous pouvez gérer de manière centralisée le trafic réseau à l’aide d’un ensemble de règles simplifié. NSP élimine la nécessité de gérer manuellement des listes complexes d’adresses IP individuelles ou d’ID de sous-réseau.

NSP prend en charge l’accès à partir d’entrepôts SQL serverless, de jobs, de notebooks, de pipelines déclaratifs Spark Lakeflow et de points de terminaison de service de modèles.

Principaux avantages

L’utilisation du périmètre de sécurité réseau (NSP) pour le trafic sortant sans serveur d'Azure Databricks améliore votre position de sécurité tout en réduisant considérablement la charge opérationnelle.

Avantage	Descriptif
Économies	Le trafic envoyé sur les points de terminaison de service reste sur le Azure principal et n’entraîne aucun frais de traitement des données.
Gestion simplifiée	Azure Databricks recommande d’utiliser une balise de service régionale pour limiter l’accès à une région spécifique, par exemple, `AzureDatabricksServerless.EastUS2`. La balise inclut à la fois les adresses IP de point de terminaison de service et les adresses IP NAT Azure Databricks, et toutes les communications sont routées sur le Azure principal. Si vous devez autoriser l’accès dans toutes les régions Azure Databricks, utilisez la balise globale `AzureDatabricksServerless` à la place. Pour obtenir la liste complète des régions Azure prises en charge, consultez Azure Databricks régions.
Gestion centralisée de la sécurité	Gérez les stratégies de sécurité sur plusieurs types de ressources, notamment le stockage, les coffres de clés et les bases de données, au sein d’un seul profil NSP.

Services de Azure pris en charge

La balise de service AzureDatabricksServerless est prise en charge pour une utilisation dans les règles d’accès entrant NSP pour les services Azure suivants :

stockage Azure (y compris ADLS Gen2)
Azure SQL Database
Azure Cosmos DB
Azure Key Vault

Spécifications

Vous devez être administrateur de compte Azure Databricks.
Vous devez disposer d’autorisations Contributeur ou Propriétaire sur la ressource Azure que vous souhaitez configurer.
Vous devez avoir l’autorisation de créer des ressources de périmètre de sécurité réseau dans votre abonnement Azure.
Votre espace de travail Azure Databricks et vos ressources Azure doivent se trouver dans la même région Azure pour optimiser les performances et éviter les frais de transfert de données inter-régions.

Étape 1 : Créer un périmètre de sécurité réseau et noter l’ID de profil

Connectez-vous au portail Azure.
Dans la zone de recherche située en haut, entrez les périmètres de sécurité réseau et sélectionnez-le dans les résultats.
Cliquez sur + Créer.
Sous l’onglet De base, entrez les informations suivantes :
- Subscription : sélectionnez votre abonnement Azure.
- Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un.
- Nom : entrez un nom pour votre fournisseur de services réseau (par exemple, databricks-nsp).
- Région : sélectionnez la région de votre fournisseur de services réseau. La région doit correspondre à votre région d’espace de travail Azure Databricks et à la région de vos ressources Azure.
- Nom du profil : entrez un nom de profil (par exemple, databricks-profile).
Cliquez sur Vérifier + créer, puis sur Créer.
Une fois le fournisseur de services réseau créé, accédez-y dans le portail Azure.
Dans la barre latérale gauche, accédez à Paramètres>Profils.
Créez ou sélectionnez votre profil (par exemple). databricks-profile
Copiez l’ID de ressource du profil. Vous avez besoin de cet ID pour associer des ressources par programmation.

Conseil / Astuce

Enregistrez l’ID de profil dans un emplacement sécurisé. Vous devez l’avoir disponible si vous souhaitez associer des ressources à l’aide de la Azure CLI ou de l’API au lieu du portail Azure.

Étape 2 : Associer votre ressource au fournisseur de services réseau en mode transition

Vous devez associer chaque ressource d’Azure à laquelle vous souhaitez accéder depuis le calcul sans serveur Azure Databricks à votre profil NSP. Cet exemple montre comment associer un compte stockage Azure, mais les mêmes étapes s’appliquent à d’autres ressources Azure.

Accédez à votre périmètre de sécurité réseau dans le portail Azure.
Dans la barre latérale gauche, accédez à Ressources sous Paramètres.
Cliquez sur + Ajouter des>ressources Associées à un profil existant.
Sélectionnez le profil que vous avez créé à l’étape 1 (par exemple). databricks-profile
Cliquez sur Associer.
Dans le volet de sélection de ressources, filtrez par type de ressource. Par exemple, pour associer un compte Azure Data Lake Storage Gen2, filtrez par Microsoft.Storage/storageAccounts.
Sélectionnez votre ou vos ressources dans la liste.
Cliquez sur Associer en bas du volet.

Vérifiez le mode de transition :

Dans le NSP, accédez à Paramètres>Ressources (ou Ressources associées).
Recherchez votre compte de stockage dans la liste.
Vérifiez que la colonne Mode d’accès affiche Transition. La transition est le mode par défaut.

Note

Le mode de transition évalue d’abord les règles NSP. Si aucune règle NSP ne correspond à la requête entrante, le système revient aux règles de pare-feu existantes de la ressource. Le mode transition vous permet de tester votre configuration NSP sans perturber les modèles de trafic existants.

Étape 3 : Ajouter une règle d'accès entrant pour les ressources de calcul serverless Azure Databricks

Vous devez créer une règle d'accès entrante dans votre profil NSP pour autoriser le trafic du calcul sans serveur d'Azure Databricks vers vos ressources Azure.

Accédez à votre périmètre de sécurité réseau dans le portail Azure.
Dans la barre latérale gauche, accédez à Paramètres>Profils.
Sélectionnez votre profil (par exemple, databricks-profile).
Sous Paramètres , cliquez sur Règles d’accès entrant.
Cliquez sur + Ajouter.
Configurez la règle :
- Nom de la règle : entrez un nom descriptif (par exemple, allow-databricks-serverless).
- Type de source : sélectionnez l’étiquette de service.
- Sources autorisées : Sélectionner AzureDatabricksServerless.[ your_workspace_region] (par exemple, AzureDatabricksServerless.EastUS2). L’utilisation d’une balise régionale limite l’accès aux adresses IP Azure Databricks dans la région de votre espace de travail, ce qui réduit l’exposition par rapport à la balise globale.
Cliquez sur Ajouter.

Conseil / Astuce

Databricks recommande d’utiliser une balise de service régionale (AzureDatabricksServerless.[your_workspace_region]) pour une sécurité plus étroite. Si vous devez autoriser l’accès à partir de toutes les régions Azure Databricks( par exemple, lorsque les espaces de travail s’étendent sur plusieurs régions), utilisez la balise globale AzureDatabricksServerless à la place. Les deux balises sont mises à jour automatiquement. Vous n’aurez donc pas besoin de gérer manuellement les adresses IP ou les règles de mise à jour lorsque Azure Databricks ajoute de nouvelles plages d’adresses IP.

Étape 4 : Vérifier la configuration

Après avoir configuré votre fournisseur de services réseau, vérifiez que le calcul sans serveur d'Azure Databricks peut accéder à votre ressource Azure et surveillez l’activité du fournisseur de services réseau.

Tester l’accès à partir d’un calcul sans serveur

Accédez à votre ressource Azure dans le portail Azure.
Accédez à Sécurité + Mise en réseau>.
Vérifiez que la ressource affiche une association avec votre périmètre de sécurité réseau.
Vérifiez que l’état affiche le mode Transition.
Affichez les règles de trafic entrant associées à votre profil pour vérifier que la AzureDatabricksServerless règle est répertoriée (régionale ou globale).
Dans votre espace de travail Azure Databricks, exécutez une requête de test pour vérifier que le calcul serverless peut accéder à votre ressource. Par exemple, pour tester l’accès à un compte de stockage ADLS Gen2 :
```
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;
```
Si la requête réussit, votre configuration NSP fonctionne correctement.

Surveiller l’activité NSP

Pour surveiller les tentatives de connexion autorisées ou refusées par les règles NSP :

Accédez à votre ressource Azure dans le portail Azure.
Accédez à Surveillance>paramètres de diagnostic.
Cliquez sur + Ajouter le paramètre de diagnostic.
Sélectionnez les catégories de logs que vous souhaitez surveiller. Pour stockage Azure comptes, sélectionnez :
- StorageRead
- StorageWrite
Sélectionnez une destination :
- espace de travail Log Analytics (recommandé pour l’interrogation et l’analyse)
- Compte de stockage (pour l’archivage à long terme)
- Event Hub (pour la diffusion en continu vers des systèmes externes)
Cliquez sur Enregistrer.

Conseil / Astuce

Les journaux de diagnostic indiquent les tentatives de connexion mises en correspondance par les règles NSP par rapport aux règles de pare-feu de ressources. Ces logs vous aident à valider votre configuration avant de passer en mode imposé. En mode transition, les journaux indiquent si chaque requête a été autorisée par une règle NSP ou est renvoyée au pare-feu de ressources.

Présentation des modes d’accès NSP

NSP prend en charge deux modes d’accès : le mode de transition et le mode appliqué. Azure Databricks recommande de rester en mode transition indéfiniment pour la plupart des cas d’usage.

Mode de transition (recommandé) :

Évalue d’abord les règles NSP, puis revient aux règles de pare-feu de ressources si aucune règle NSP ne correspond
Vous permet d’utiliser NSP en même temps que les configurations réseau existantes
Compatible avec les points de terminaison de service, les configurations de calcul classiques et les modèles de trafic réseau public

Mode forcé (non recommandé pour la plupart des clients)

Contourne les règles de pare-feu de ressources, bloquant tout le trafic qui ne correspond pas à une règle NSP. Le mode appliqué affecte non seulement Azure Databricks, mais également les autres services que vous avez autorisés via votre pare-feu de ressources. Ces services doivent avoir été intégrés au fournisseur de services réseau pour continuer à fonctionner.
Restez en mode transition si vous utilisez des points de terminaison de service pour vous connecter au stockage à partir de n’importe quel espace de travail Azure Databricks.

Avertissement

Restez en mode transition pour maintenir la compatibilité avec votre configuration réseau existante tout en bénéficiant de la gestion simplifiée des règles. Consultez les limitations du périmètre de sécurité réseau.

Étapes suivantes

Configurer des points de terminaison privés : pour une connectivité privée à des ressources Azure sans points de terminaison publics, consultez Configurer la connectivité privée aux ressources Azure.
Gérer les stratégies réseau : implémentez des stratégies réseau pour fournir des contrôles de sécurité et des restrictions d’accès supplémentaires pour vos environnements de calcul serverless. Consultez Qu’est-ce que le contrôle de sortie serverless ?.
Comprendre les coûts de transfert de données : découvrez les coûts associés au déplacement de données vers et hors des environnements serverless. Consultez Comprendre les coûts de mise en réseau sans serveur de Databricks.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-03