Compartilhar via

Configurar um perímetro de segurança de rede Azure para recursos de Azure

Esta página descreve como configurar Azure NSP (Perímetro de Segurança de Rede) para controlar o acesso da computação sem servidor aos recursos do Azure usando o portal Azure.

Visão geral do perímetro de segurança de rede para recursos de Azure

Azure NSP (perímetro de segurança de rede) é um recurso nativo de Azure que cria um limite de isolamento lógico para seus recursos de PaaS. Ao associar recursos como contas de armazenamento ou bancos de dados a um NSP, você pode gerenciar centralmente o acesso à rede usando um conjunto de regras simplificado. Isso substitui a necessidade de gerenciar manualmente listas complexas de endereços IP individuais ou IDs de sub-rede.

O NSP dá suporte ao acesso de SQL warehouses sem servidor, jobs, notebooks, Pipelines Declarativas do Lakeflow Spark e endpoints de serviço de modelo.

Principais benefícios

O uso de Políticas de Segurança de Rede (NSP) para o tráfego de saída sem servidor do Azure Databricks melhora a sua postura de segurança enquanto reduz significativamente a sobrecarga operacional.

Benefício Description
Economia de custos O tráfego enviado por pontos de extremidade de serviço permanece no backbone Azure e não incorre em encargos de processamento de dados.
Gerenciamento simplificado A marca de serviço AzureDatabricksServerless é global e abrange todas as regiões Azure Databricks. Ele inclui tanto IPs especiais que representam pontos de extremidade de serviço quanto IPs NAT do Azure Databricks. Toda a comunicação entre Azure Databricks e seus recursos de Azure é roteada pelo backbone Azure. Para restringir o acesso a IPs em uma região específica, acrescente o nome da região à marca de serviço, por exemplo, AzureDatabricksServerless.EastUS2. Para obter a lista completa de regiões de Azure com suporte, consulte Azure Databricks regiões.
Controle de acesso centralizado Gerencie políticas de segurança em vários tipos de recursos, incluindo armazenamento, cofres de chaves e bancos de dados, dentro de um único perfil NSP.

Serviços de Azure com suporte

A marca de serviço AzureDatabricksServerless tem suporte para uso nas regras de acesso de entrada do NSP para os seguintes serviços de Azure:

  • Armazenamento do Azure (incluindo o ADLS Gen2)
  • Banco de Dados SQL do Azure
  • Azure Cosmos DB
  • Azure Key Vault

Requirements

  • Você deve ser um administrador de conta Azure Databricks.
  • Você deve ter permissões de Colaborador ou Proprietário no recurso Azure que deseja configurar.
  • Você deve ter permissão para criar recursos de perímetro de segurança de rede em sua assinatura Azure.
  • O workspace Azure Databricks e os recursos de Azure devem estar na mesma região Azure para obter um desempenho ideal e evitar encargos de transferência de dados entre regiões.

Etapa 1: Criar um perímetro de segurança de rede e observar a ID do perfil

  1. Entre no portal Azure.

  2. Na caixa de pesquisa na parte superior, digite perímetros de segurança de rede e selecione-os nos resultados.

  3. Clique em + Criar.

  4. Na guia Noções básicas, insira as seguintes informações:

    • Subscription: selecione sua assinatura de Azure.
    • Grupo de recursos: Selecione um grupo de recursos existente ou crie um novo.
    • Nome: insira um nome para o NSP (por exemplo, databricks-nsp).
    • Região: selecione a região para o NSP. Isso deve corresponder à região do workspace Azure Databricks e à região dos recursos do Azure.
    • Nome do perfil: insira um nome de perfil (por exemplo, databricks-profile).

  5. Clique em Examinar + criar e, em seguida, criar.

  6. Depois que o NSP for criado, navegue até ele no portal Azure.

  7. Na barra lateral esquerda, vá para Perfis de Configurações>.

  8. Crie ou selecione seu perfil (por exemplo, databricks-profile).

  9. Copie a ID do recurso para o perfil. Você precisará dessa ID se planeja associar recursos programaticamente.

    Dica

    Salve a ID do Perfil em um local seguro. Você precisará dele mais tarde se quiser associar recursos usando o CLI do Azure ou a API em vez do portal do Azure.

Etapa 2: Associar seu recurso ao NSP no modo de transição

Você deve associar cada recurso do Azure que deseja acessar na computação sem servidor do Azure Databricks ao seu perfil NSP. Este exemplo mostra como associar uma conta Armazenamento do Azure, mas as mesmas etapas se aplicam a outros recursos Azure.

  1. Navegue até o perímetro de segurança de rede no portal do Azure.
  2. Na barra lateral esquerda, vá para Recursos em Configurações.
  3. Clique em + Adicionar>recursos associados a um perfil existente.
  4. Selecione o perfil que você criou na Etapa 1 (por exemplo, databricks-profile).
  5. Clique em Associar.
  6. No painel de seleção de recursos, filtre por tipo de recurso. Por exemplo, para associar uma conta Azure Data Lake Storage Gen2, filtre por Microsoft.Storage/storageAccounts.
  7. Selecione seus recursos na lista.
  8. Clique em Associar na parte inferior do painel.

Verificar o modo de transição:

  1. No NSP, vá para Configurações>Recursos (ou Recursos associados).
  2. Localize sua conta de armazenamento na lista.
  3. Verifique se a coluna Modo de Acesso mostra a Transição. Esse é o modo padrão.

Observação

O modo de transição avalia as regras NSP primeiro. Se nenhuma regra NSP corresponder à solicitação de entrada, o sistema retornará às regras de firewall existentes do recurso. Isso permite que você teste sua configuração de NSP sem interromper os padrões de acesso existentes.

Etapa 3: Adicione uma regra de acesso de entrada para computação sem servidor do Azure Databricks

Você deve criar uma regra de acesso de entrada em seu perfil NSP para permitir o tráfego do Azure Databricks Serverless para seus recursos do Azure.

  1. Navegue até o perímetro de segurança de rede no portal do Azure.
  2. Na barra lateral esquerda, vá para Perfis de Configurações>.
  3. Selecione seu perfil (por exemplo, databricks-profile).
  4. Em Configurações , clique em Regras de Acesso de Entrada.
  5. Clique em + Adicionar.
  6. Configure a regra:
    • Nome da regra: insira um nome descritivo (por exemplo, allow-databricks-serverless).
    • Tipo de origem: selecionar marca de serviço.
    • Fontes permitidas: selecione AzureDatabricksServerless.
  7. Clique em Adicionar.

Dica

A marca de serviço AzureDatabricksServerless abrange todos os IPs de saída Azure Databricks, incluindo IPs do ponto de extremidade de serviço e IPs NAT, com toda a comunicação roteada pela Azure backbone. Como a tag é atualizada automaticamente, você não precisará gerenciar manualmente endereços IP ou atualizar regras quando o Azure Databricks adicionar novos intervalos de IP.

Etapa 4: Verificar a configuração

Depois de configurar o NSP, verifique se Azure Databricks computação sem servidor pode acessar o recurso Azure e monitorar a atividade NSP.

Testar o acesso da computação sem servidor

  1. Navegue até o recurso Azure no portal do Azure.

  2. Vá para Segurança + Networking>Rede.

  3. Verifique se o recurso mostra uma associação com o perímetro de segurança de rede.

  4. Verifique se o status mostra o modo transição.

  5. Exiba as regras de entrada associadas ao seu perfil para confirmar se a AzureDatabricksServerless regra está listada.

  6. No workspace Azure Databricks, execute uma consulta de teste para confirmar se a computação sem servidor pode acessar seu recurso. Por exemplo, para testar o acesso a uma conta de armazenamento do ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Se a consulta for bem-sucedida, a configuração do NSP estará funcionando corretamente.

Monitorar a atividade NSP

Para monitorar quais tentativas de acesso estão sendo permitidas ou negadas pelas regras do NSP:

  1. Navegue até o recurso Azure no portal do Azure.
  2. Ir para Monitoramento>Configurações de Diagnóstico.
  3. Clique em + Adicionar configuração de diagnóstico.
  4. Selecione as categorias de log que você deseja monitorar. Para contas Armazenamento do Azure, selecione:
    • StorageRead
    • StorageWrite
  5. Escolha um destino:
    • Log Analytics workspace (recomendado para consulta e análise)
    • Conta de armazenamento (para arquivamento de longo prazo)
    • Hub de Eventos (para streaming para sistemas externos)
  6. Clique em Salvar.

Dica

Os logs de diagnóstico mostram quais tentativas de acesso são regidas por regras NSP versus regras de firewall dos recursos. Isso ajuda você a validar sua configuração antes de passar para o modo imposto. No modo de transição, os logs indicam se cada solicitação foi permitida por uma regra NSP ou caiu de volta para o firewall de recurso.

Noções básicas sobre os modos de acesso NSP

O NSP dá suporte a dois modos de acesso: modo de transição e modo imposto. Azure Databricks recomenda permanecer no modo de transição indefinidamente para a maioria dos casos de uso.

Modo de transição (recomendado):

  • Avalia as regras NSP primeiro e, em seguida, volta para as regras de firewall de recurso se nenhuma regra NSP corresponder
  • Permite que você use o NSP junto com as configurações de rede existentes
  • Compatível com pontos de extremidade de serviço, configurações de computação clássicas e padrões de acesso público

Modo forçado (não recomendado para a maioria dos clientes):

  • Ignora regras de firewall de recurso, bloqueando todo o acesso que não corresponde a uma regra NSP. Isso afeta não apenas Azure Databricks, mas também todos os outros serviços que você permitiu por meio do firewall de recursos. Esses serviços devem ter sido integrados ao NSP para continuar funcionando.
  • Permaneça no modo de transição se você usar pontos de extremidade de serviço para acessar o armazenamento de qualquer um dos espaços de trabalho do Azure Databricks.

Aviso

Permaneça no modo de transição para manter a compatibilidade com a configuração de rede existente, beneficiando-se do gerenciamento simplificado de regras. Consulte as limitações de perímetro de segurança de rede.

Próximas etapas

  • Last updated on