Configurare un perimetro di sicurezza di rete Azure per le risorse di Azure

Questa pagina descrive come configurare Azure Network Security Perimeter (NSP) per controllare l'accesso dal calcolo serverless alle risorse di Azure usando il portale di Azure.

Panoramica del perimetro di sicurezza di rete per le risorse di Azure

Azure il perimetro di sicurezza di rete (NSP) è una funzionalità predefinita di Azure che crea un limite di isolamento logico per le risorse PaaS. Associando risorse come account di archiviazione o database a un NSP, è possibile gestire centralmente il traffico di rete usando un set di regole semplificato. NSP elimina la necessità di gestire manualmente elenchi complessi di singoli indirizzi IP o ID subnet.

NSP supporta l'accesso da data warehouse SQL serverless, processi, notebook, pipeline dichiarative Lakeflow Spark e endpoint di servitù modello.

Vantaggi principali

L'uso di NSP per il traffico in uscita serverless di Azure Databricks migliora l'assetto di sicurezza riducendo in modo significativo il sovraccarico operativo.

Beneficio Description
Risparmio sui costi Il traffico inviato sugli endpoint di servizio rimane sul backbone Azure e non comporta alcun addebito per l'elaborazione dei dati.
Gestione semplificata Azure Databricks consiglia di usare un tag di servizio a livello di area per limitare l'accesso a un'area specifica, ad esempio AzureDatabricksServerless.EastUS2. Il tag include sia gli INDIRIZZI IP dell'endpoint di servizio che gli INDIRIZZI IP NAT Azure Databricks e tutte le comunicazioni vengono instradate sul backbone Azure. Se è necessario consentire l'accesso in tutte le aree Azure Databricks, usare invece il tag globale AzureDatabricksServerless. Per l'elenco completo delle aree di Azure supportate, vedere Azure Databricks regions.
Gestione centralizzata della sicurezza Gestisci le politiche di sicurezza per diversi tipi di risorse, tra cui archiviazione, archivi di chiavi e database, all'interno di un singolo profilo NSP.

Servizi di Azure supportati

Il tag del servizio AzureDatabricksServerless è supportato per l'uso nelle regole di accesso in ingresso NSP per i servizi di Azure seguenti:

  • Archiviazione di Azure (incluso ADLS Gen2)
  • database SQL di Azure
  • Azure Cosmos DB
  • Azure Key Vault

Requisiti

  • È necessario essere un amministratore dell'account Azure Databricks.
  • È necessario disporre delle autorizzazioni collaboratore o proprietario per la risorsa Azure da configurare.
  • È necessario disporre dell'autorizzazione per creare risorse perimetrali di sicurezza di rete nella sottoscrizione Azure.
  • L'area di lavoro Azure Databricks e le risorse Azure devono trovarsi nella stessa area Azure per ottenere prestazioni ottimali ed evitare addebiti per il trasferimento dei dati tra aree.

Passaggio 1: Creare un perimetro di sicurezza di rete e prendere nota dell'ID profilo

  1. Accedere al portale Azure.

  2. Nella casella di ricerca nella parte superiore immettere i perimetri di sicurezza di rete e selezionarlo nei risultati.

  3. Fare clic su + Crea.

  4. Nella scheda Informazioni di base immettere le informazioni seguenti:

    • Subscription: selezionare la sottoscrizione Azure.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno.
    • Nome: immettere un nome per il provider di servizi di rete, ad esempio databricks-nsp.
    • Area: selezionare l'area per il provider di servizi di rete. L'area deve corrispondere all'area dell'area di lavoro Azure Databricks e all'area delle risorse Azure.
    • Nome profilo: immettere un nome di profilo, ad esempio databricks-profile.

  5. Clicca su Rivedi e crea, quindi Crea.

  6. Dopo aver creato la politica di sicurezza della rete, accedere a essa nel portale di Azure.

  7. Nella barra laterale sinistra, vai a Impostazioni>Profili.

  8. Creare o selezionare il profilo , ad esempio databricks-profile.

  9. Copiare l'ID risorsa per il profilo. È necessario questo ID per associare le risorse a livello di codice.

    Suggerimento

    Salvare l'ID del profilo in una posizione sicura. È necessario che sia disponibile se si desidera associare le risorse usando l'API o l'interfaccia della riga di comando di Azure anziché il portale di Azure.

Passaggio 2: Associare la risorsa a NSP in modalità di transizione

È necessario associare ogni risorsa Azure a cui si vuole accedere dal calcolo serverless di Azure Databricks al profilo NSP. Questo esempio illustra come associare un account Archiviazione di Azure, ma gli stessi passaggi si applicano ad altre risorse Azure.

  1. Accedere al perimetro di sicurezza di rete nel portale di Azure.
  2. Nella barra laterale sinistra passare a Risorse in Impostazioni.
  3. Fare clic su + Aggiungi>associa risorse a un profilo esistente.
  4. Selezionare il profilo creato nel passaggio 1 , ad esempio databricks-profile.
  5. Fare clic su Associa.
  6. Nel riquadro di selezione delle risorse filtrare in base al tipo di risorsa. Ad esempio, per associare un account Azure Data Lake Storage Gen2, filtrare in base a Microsoft.Storage/storageAccounts.
  7. Selezionare le risorse dall'elenco.
  8. Fare clic su Associa nella parte inferiore del riquadro.

Verificare la modalità di transizione:

  1. In NSP, vai a Impostazioni>Risorse (o Risorse associate).
  2. Individua l'account di archiviazione nell'elenco.
  3. Verificare che la colonna Modalità di accesso mostri Transizione. La transizione è la modalità predefinita.

Annotazioni

La modalità di transizione valuta prima le regole NSP. Se nessuna regola NSP corrisponde alla richiesta entrante, il sistema ricorre alle regole del firewall esistenti della risorsa. La modalità di transizione consente di testare la configurazione del provider di servizi di rete senza interrompere i modelli di traffico esistenti.

Passaggio 3: Aggiungere una regola di accesso in ingresso per l'elaborazione serverless di Azure Databricks

È necessario creare una regola di accesso in ingresso nel profilo NSP per consentire il traffico dal calcolo senza server di Azure Databricks alle risorse di Azure.

  1. Vai al perimetro di sicurezza della rete nel portale di Azure.
  2. Nella barra laterale sinistra, vai a Impostazioni>Profili.
  3. Seleziona il profilo, ad esempio databricks-profile.
  4. In Impostazioni fare clic su Regole di accesso in ingresso.
  5. Fare clic su + Aggiungi.
  6. Configurare la regola:
    • Nome regola: immettere un nome descrittivo, ad esempio allow-databricks-serverless.
    • Tipo di origine: selezionare Tag del servizio.
    • Origini consentite: selezionare AzureDatabricksServerless.[ your_workspace_region] (ad esempio, AzureDatabricksServerless.EastUS2). L'uso di un tag a livello di area limita l'accesso agli indirizzi IP di Azure Databricks nell'area dell'area di lavoro, riducendo così l'esposizione rispetto al tag globale.
  7. Fare clic su Aggiungi.

Suggerimento

Databricks consiglia di usare un tag di servizio a livello di area (AzureDatabricksServerless.[your_workspace_region]) per una maggiore sicurezza. Se è necessario consentire l'accesso da tutte le aree Azure Databricks, ad esempio quando le aree di lavoro si estendono su più aree, usare invece il tag globale AzureDatabricksServerless. Entrambi i tag vengono aggiornati automaticamente, quindi non sarà necessario gestire manualmente gli indirizzi IP o aggiornare le regole quando Azure Databricks aggiunge nuovi intervalli IP.

Passaggio 4: Verificare la configurazione

Dopo aver configurato il provider dei servizi di rete, verificare che Azure Databricks di elaborazione senza server possa accedere alla risorsa Azure e monitorare l'attività NSP.

Testare l'accesso dall'ambiente di calcolo serverless

  1. Vai alla risorsa di Azure nel portale di Azure.

  2. Passare a Sicurezza e rete>.

  3. Verificare che la risorsa mostri un'associazione con il perimetro di sicurezza della rete.

  4. Verificare che lo stato mostri la modalità di transizione.

  5. Visualizza le regole in ingresso associate al profilo per verificare che AzureDatabricksServerless sia elencata (a livello regionale o globale).

  6. Nell'area di lavoro Azure Databricks eseguire una query di test per verificare che l'ambiente di calcolo serverless possa accedere alla risorsa. Ad esempio, per testare l'accesso a un account di archiviazione di ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Se la query ha esito positivo, la configurazione del provider di servizi di rete funziona correttamente.

Monitorare l'attività NSP

Per monitorare i tentativi di connessione consentiti o negati da regole NSP:

  1. Vai alla risorsa Azure nel portale di Azure.
  2. Passare a Monitoraggio>delle impostazioni di diagnostica.
  3. Fare clic su + Aggiungi impostazione di diagnostica.
  4. Selezionare le categorie di log da monitorare. Per gli account Archiviazione di Azure, selezionare:
    • StorageRead
    • StorageWrite
  5. Selezionare una destinazione:
    • area di lavoro Log Analytics (consigliata per l'esecuzione di query e l'analisi)
    • Account di archiviazione (per l'archiviazione a lungo termine)
    • Hub eventi (per lo streaming in sistemi esterni)
  6. Fare clic su Salva.

Suggerimento

I log di diagnostica mostrano i tentativi di connessione corrispondenti alle regole NSP rispetto alle regole del firewall delle risorse. Questi log consentono di convalidare la configurazione prima di passare alla modalità di applicazione forzata. In modalità di transizione, i log indicano se ogni richiesta è stata consentita da una regola NSP o se è stato eseguito il fallback al firewall delle risorse.

Informazioni sulle modalità di accesso NSP

Il provider di servizi di rete supporta due modalità di accesso: modalità di transizione e modalità applicata. Azure Databricks consiglia di rimanere in modalità di transizione illimitata per la maggior parte dei casi d'uso.

Modalità di transizione (scelta consigliata):

  • Valuta prima le regole NSP, quindi ripiega sulle regole firewall delle risorse se nessuna regola NSP corrisponde.
  • Consente di usare NSP insieme alle configurazioni di rete esistenti
  • Compatibile con gli endpoint di servizio, le configurazioni di calcolo classiche e i modelli di traffico di rete pubblico

Modalità applicata (non consigliata per la maggior parte dei clienti):

  • Ignora le regole del firewall delle risorse, bloccando tutto il traffico che non corrisponde a una regola NSP. La modalità forzata influisce non solo su Azure Databricks, ma anche su tutti gli altri servizi che hai consentito tramite il tuo firewall delle risorse. Tali servizi devono essere stati integrati in NSP per continuare a funzionare.
  • Rimanere in modalità di transizione se si usano gli endpoint di servizio per connettersi all'archiviazione da qualsiasi area di lavoro Azure Databricks.

Avvertimento

Rimanere in modalità di transizione per mantenere la compatibilità con la configurazione di rete esistente, sfruttando al contempo la gestione semplificata delle regole. Vedere Limitazioni del perimetro di sicurezza di rete.

Passaggi successivi

  • Last updated on