Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare un perimetro di sicurezza di rete (NSP) per limitare l'accesso del piano dati alla risorsa Microsoft Foundry e raggrupparlo con altre risorse PaaS protette. Un NSP consente di:
- Applicare regole di accesso in ingresso e in uscita anziché un'ampia esposizione pubblica.
- Ridurre il rischio di esfiltrazione dei dati contenendo il traffico all'interno di un limite logico.
- Registrare centralmente le decisioni di accesso alla rete tra le risorse associate.
Questo articolo fornisce solo le indicazioni specifiche per Foundry. Tutti i dettagli procedurali per la creazione di perimetri, la definizione delle regole di accesso, l'abilitazione della registrazione e l'uso delle API si trovano nella documentazione di rete Azure esistente. Seguire i collegamenti in ogni sezione per i passaggi ufficiali.
Importante
Il supporto del perimetro di sicurezza di rete per Microsoft Foundry è in anteprima pubblica secondo i termini supplementari di utilizzo. Esaminare le limitazioni e le considerazioni prima di iniziare.
Il diagramma mostra una risorsa Foundry all'interno di un limite NSP. Le regole di accesso in ingresso filtrano il traffico da origini esterne e le regole di accesso in uscita controllano l'uscita ai servizi esterni al perimetro.
Prerequisiti
- Una sottoscrizione Azure in cui è possibile creare e gestire le risorse perimetrali della sicurezza di rete. Usare almeno un account con il ruolo Proprietario, Collaboratore o Collaboratore rete (o un ruolo personalizzato con autorizzazioni equivalenti).
- Risorsa Foundry.
- Un perimetro di sicurezza di rete (NSP) e un profilo.
- Se usi l'automazione di interfaccia della riga di comando di Azure, utilizza interfaccia della riga di comando di Azure 2.75.0 o una versione successiva.
- Per eseguire query sui log di accesso, utilizzare un'area di lavoro Log Analytics.
Per il set completo di azioni e autorizzazioni necessarie (profili, associazioni, regole di accesso, impostazioni di diagnostica), vedere Autorizzazioni Azure RBAC necessarie per il perimetro di sicurezza di rete.
Verificare la configurazione (interfaccia della riga di comando di Azure)
Eseguire questo comando per verificare che l'estensione nsp interfaccia della riga di comando di Azure sia disponibile e che sia possibile eseguire query sui metadati NSP.
az extension add --name nsp --upgrade
az network perimeter associable-resource-type list --output table
Il comando restituisce un elenco di tipi di risorse che è possibile associare a un NSP. Cercare Microsoft.CognitiveServices/accounts nell'output per verificare che le risorse Foundry supportino l'associazione NSP. Se viene visualizzato un errore di autenticazione, accedere usando az login e riprovare.
Riferimento: az network perimeter associable-resource-type list
Associare la risorsa Foundry
Associare nel portale
- Aprire il portale di Azure e passare alla risorsa perimetrale di sicurezza di rete.
- Selezionare Risorse associate (o Risorse a seconda dell'iterazione dell'interfaccia utente) >Aggiungi/Associa.
- Scegliere il profilo di destinazione, selezionare la risorsa Foundry, impostare la modalità di accesso (iniziare con Learning) e confermare.
Per gli screenshot del portale e una procedura dettagliata, vedere Assegnare un account OpenAI Azure a un perimetro di sicurezza di rete. Lo stesso flusso del portale si applica alle risorse Foundry.
Associa con interfaccia della riga di comando di Azure
az network perimeter association create \
--name MyAssociation \
--perimeter-name MyPerimeter \
--resource-group MyResourceGroup \
--access-mode Learning \
--private-link-resource "{id:<FOUNDRY_RESOURCE_ARM_ID>}" \
--profile "{id:<NSP_PROFILE_ARM_ID>}"
Questo comando associa la risorsa Foundry a un profilo in modalità Learning, in modo da poter esaminare i log di accesso prima di applicare le regole di accesso.
Riferimento: az network perimeter association create
Per CLI (per l'automazione dei processi) e i passaggi di creazione completi, vedere le guide introduttive NSP (CLI o PowerShell):
- Creare un perimetro di sicurezza di rete (interfaccia della riga di comando)
- Creare un perimetro di sicurezza di rete (PowerShell)
Verificare l'associazione eseguendo:
az network perimeter association show \
--name MyAssociation \
--perimeter-name MyPerimeter \
--resource-group MyResourceGroup
Verificare che l'output mostri la risorsa Foundry con la modalità di accesso prevista. Dopo l'associazione, la valutazione del traffico inizia in base alla modalità di accesso selezionata.
Scegliere una modalità di accesso
Avviare la modalità Learning per osservare potenziali negazioni. Passare alla modalità applicata dopo avere definito le necessarie regole in ingresso e in uscita. Per altri dettagli, vedere Modalità di accesso NSP.
Comprendere l'interazione publicNetworkAccess
- Modalità di apprendimento:
publicNetworkAccesscontinua a governare l'esposizione durante la valutazione dei log. - Modalità applicata: le regole NSP hanno la precedenza;
publicNetworkAccessviene sottoposto a override dalle regole in ingresso consentite.
Modificare la modalità di accesso
Nel portale individuare la voce di associazione per la risorsa Foundry e scegliere Cambia modalità di accesso. Per l'automazione, usare az network perimeter association update.
Riferimento: az network perimeter association update
Abilitare la registrazione
Configurare le impostazioni di diagnostica nella risorsa NSP per inviare allLogs a Log Analytics, Archiviazione o Event Hubs.
Per i passaggi dettagliati, vedere Log di diagnostica per perimetro di sicurezza di rete.
Importante
Quando la risorsa Foundry si trova all'interno di un perimetro di sicurezza di rete in Enforced modalità, i log di diagnostica alle destinazioni di proprietà del cliente (area di lavoro Log Analytics, account di archiviazione o hub eventi) vengono filtrati solo in base alle regole NSP quando la richiesta usa l'autenticazione Microsoft Entra ID (AAD). Le richieste autenticate con le chiavi API non contengono l'attestazione perimetrale NSP, quindi il traffico di log verso tali destinazioni non viene bloccato da NSP. Per garantire la piena conformità con NSP per i log diagnostici, utilizzare l'autenticazione Entra ID.
Interpretare i registri di log
Eseguire una query sulla tabella NspAccessLogs nell'area di lavoro Log Analytics per convalidare le decisioni di autorizzazione e negazione. Usare i log per finalizzare le origini o le destinazioni necessarie prima dell'applicazione.
Per esempi di campi di log su cui è possibile filtrare, ad esempio MatchedRule o Profile, vedere Aggiungi un servizio OpenAI Azure a un perimetro di sicurezza di rete.
Definire le regole di accesso
All'interno del profilo scegliere:
- Regole in ingresso: intervalli IP o origini di sottoscrizione (identità gestita).
- Regole in uscita: destinazioni FQDN necessarie oltre le risorse perimetrali localizzate.
Passaggi di creazione delle regole (screenshot del portale, parametri dell'interfaccia della riga di comando, esempi):
- A procedura dettagliata per la configurazione delle regole in ingresso e in uscita tramite Azure OpenAI NSP (applicabile agli scenari del piano dati foundry).
- riferimento interfaccia della riga di comando di Azure (regole di accesso): az network perimeter profile access-rule
Attendibilità implicita: le risorse all'interno dello stesso NSP possono comunicare tra loro se le richieste sono autenticate tramite identità gestita o assegnazione dei ruoli. Sono necessarie regole esplicite solo per origini esterne, destinazioni o modelli di chiave API.
Regole in ingresso
Scegliere l'intervallo IP (CIDR) o l'ambito della sottoscrizione. Preferisci la sottoscrizione e l'identità gestita per il traffico interno da servizio a servizio. Usare l'intervallo IP solo quando l'accesso basato su identità non è fattibile.
Regole in uscita
Elencare solo i nomi di dominio completi obbligatori (principio dei privilegi minimi). Mantenere i servizi di Azure dipendenti nello stesso perimetro di sicurezza di rete per ridurre le voci consentite in uscita.
I nomi di dominio completi (FQDN) comuni per le regole in uscita Foundry includono:
-
*.openai.azure.com— endpoint del modello -
*.blob.core.windows.net— archiviazione -
*.search.windows.net— indici di ricerca
Nota
Verificare gli FQDN esatti necessari per lo scenario. L'elenco dipende dalle funzionalità di Foundry e dai servizi dipendenti usati.
Convalida prima dell'imposizione
- Rimanere inizialmente in Modalità di Apprendimento; esaminare i log di accesso per le negazioni che influenzano il traffico richiesto.
- Aggiungere o perfezionare le regole in ingresso e in uscita.
- Passare alla modalità forzata.
- Aprire Microsoft Foundry ed eseguire una distribuzione del modello o un test di chat. L'esito positivo indica che il traffico richiesto è consentito.
- Se bloccato, ripristinare la modalità di apprendimento o aggiungere regole e riprovare.
Risoluzione dei problemi
- Se nell'esperienza del portale la risorsa Foundry non viene mostrata come associabile, confermare che Foundry sia supportato per l'associazione NSP nella propria area regione ed esaminare i tipi di risorse supportati: Concetti del perimetro di sicurezza di rete.
- Se i log non vengono visualizzati dopo l'abilitazione della diagnostica, verificare che sia stata selezionata
allLogse che la destinazione sia supportata: log di diagnostica per il perimetro di sicurezza di rete. - Se la modalità Learning è corretta ma la modalità Enforced blocca l'accesso, torna alla modalità Learning e aggiungi le regole minime in entrata e in uscita necessarie per lo scenario: Linee guida di Azure OpenAI NSP.
- Se l'identità gestita non riesce a raggiungere le risorse localizzate, verificare che entrambe le risorse si trovino nello stesso NSP e che le assegnazioni di ruolo siano corrette.
- Se i log non vengono visualizzati immediatamente dopo l'abilitazione della diagnostica, attendere fino a 15 minuti prima che i dati di diagnostica vengano propagati all'area di lavoro Log Analytics.
Esaminare le limitazioni e le considerazioni
- Il provider di servizi di rete gestisce il traffico del piano dati. Le operazioni del piano di controllo (gestione) potrebbero comunque avere esito positivo, a meno che non siano limitate separatamente.
- Usare un'identità gestita (sistema o assegnata dall'utente) con assegnazioni di ruolo appropriate per qualsiasi accesso all'origine dati ( ad esempio Archiviazione BLOB di Azure usato per input/output batch).
- Collocare i servizi dipendenti (Azure OpenAI, Archiviazione di Azure, Azure AI Search e così via) nello stesso NSP quando è necessario l'accesso reciproco con regole di autorizzazione in uscita minime.
- L'esportazione dei log di diagnostica in destinazioni di proprietà del cliente (Log Analytics, archiviazione, hub eventi) rispetta le regole NSP solo quando si usa l'autenticazione Microsoft Entra ID. Le richieste autenticate tramite chiave API ignorano il filtro dei log NSP. Passare all'autenticazione tramite ID Entra per la copertura dell'intero perimetro del traffico di registrazione.
Per altre informazioni, vedere Concetti relativi al perimetro di sicurezza di rete.
Visualizzare e gestire la configurazione
Usare REST o l'interfaccia della riga di comando per controllare e riconciliare:
- Riferimento REST (core perimetrale): API REST per la sicurezza di rete perimetrale
- (Esempio) Profili e operazioni di associazione (CLI): comandi perimetrali di rete di interfaccia della riga di comando di Azure
Usare la versione 2024-10-01 dell'API o la versione più recente illustrata nel riferimento REST durante l'esecuzione di script. Confermare sempre la versione dell'API corrente nel riferimento prima di creare script.