Configure um perímetro de segurança de rede Azure para recursos Azure

Esta página descreve como configurar o Azure Network Security Perimeter (NSP) para controlar o acesso de computação serverless aos seus recursos Azure usando o portal Azure.

Visão geral do perímetro de segurança de rede para recursos do Azure

O perímetro de segurança de rede Azure (NSP) é uma funcionalidade incorporada no Azure que cria um limite lógico de isolamento para os seus recursos PaaS. Ao associar recursos como contas de armazenamento ou bases de dados a um NSP, pode gerir centralmente o tráfego de rede usando um conjunto de regras simplificado. O NSP elimina a necessidade de gerir manualmente listas complexas de endereços IP individuais ou IDs de sub-rede.

O NSP suporta acesso a armazéns SQL serverless, jobs, notebooks, Lakeflow Spark Declarative Pipelines e endpoints de disponibilização de modelos.

Principais benefícios

Usar o NSP para tráfego de saída serverless no Azure Databricks melhora a sua postura de segurança ao mesmo tempo que reduz significativamente a sobrecarga operacional.

Benefício Description
Poupança de custos O tráfego enviado pelos endpoints de serviço mantém-se na espinha dorsal do Azure e não incorre em custos de processamento de dados.
Gestão simplificada Azure Databricks recomenda o uso de uma etiqueta regional de serviço para limitar o acesso a uma região específica, por exemplo, AzureDatabricksServerless.EastUS2. A tag inclui tanto IPs de endpoint de serviço como IPs NAT do Azure Databricks, e toda a comunicação é encaminhada através da backbone do Azure. Se precisares de permitir o acesso em todas as Azure Databricks regiões, usa a etiqueta global AzureDatabricksServerless em vez disso. Para a lista completa de regiões Azure suportadas, veja Azure Databricks regiões.
Gestão de segurança centralizada Gerir políticas de segurança em vários tipos de recursos — incluindo armazenamento, cofres de chaves e bases de dados — dentro de um único perfil NSP.

Serviços Azure suportados

A etiqueta de serviço AzureDatabricksServerless é suportada para uso nas regras de acesso de entrada NSP para os seguintes serviços Azure:

  • Armazenamento do Azure (incluindo ADLS Gen2)
  • Base de Dados SQL do Azure
  • Azure Cosmos DB
  • Azure Key Vault

Requerimentos

  • Você deve ser um administrador de conta do Azure Databricks.
  • Deve ter permissões de Contribuidor ou Proprietário no recurso Azure que pretende configurar.
  • Deve ter permissão para criar recursos de perímetro de segurança de rede na sua subscrição do Azure.
  • O seu espaço de trabalho Azure Databricks e os recursos Azure devem estar na mesma região Azure para um desempenho ótimo e para evitar custos de transferência de dados entre regiões.

Passo 1: Crie um perímetro de segurança de rede e anote o ID do perfil

  1. Inicie sessão no portal Azure.

  2. Na caixa de pesquisa no topo, introduza perímetros de segurança de rede e selecione-o nos resultados.

  3. Clique em + Criar.

  4. No separador Informações Básicas, introduza as seguintes informações:

    • Subscrição: Selecione a sua subscrição Azure.
    • Grupo de recursos: Selecione um grupo de recursos existente ou crie um.
    • Nome: Introduza um nome para o seu NSP (por exemplo, databricks-nsp).
    • Região: Selecione a região para o seu NSP. A região deve corresponder à região do seu espaço de trabalho do Azure Databricks e à região dos seus recursos do Azure.
    • Nome do perfil: Introduza um nome de perfil (por exemplo, databricks-profile).

  5. Clique em Rever e criar e, em seguida, Criar.

  6. Depois de criar o NSP, aceda-o no portal do Azure.

  7. Na barra lateral esquerda, vai a Definições>Perfis.

  8. Crie ou selecione o seu perfil (por exemplo, databricks-profile).

  9. Copie o ID do Recurso para o perfil. Precisas deste ID para associar recursos programáticamente.

    Sugestão

    Guarde o ID do perfil num local seguro. Deve tê-lo disponível se quiser associar recursos usando a CLI do Azure ou API em vez do portal Azure.

Passo 2: Associe o seu recurso ao NSP em modo de transição

Deve associar cada recurso Azure que pretende aceder a partir da computação sem servidor do Azure Databricks com o seu perfil NSP. Este exemplo mostra como associar uma conta no Armazenamento do Azure, mas os mesmos passos aplicam-se a outros recursos do Azure.

  1. Vá ao perímetro de segurança de rede no portal Azure.
  2. Na barra lateral esquerda, vai a Recursos em Definições.
  3. Clique + Adicionar>recursos associados com um perfil existente.
  4. Selecione o perfil que criou no Passo 1 (por exemplo, databricks-profile).
  5. Clique em Associar.
  6. No painel de seleção de recursos, filtre por tipo de recurso. Por exemplo, para associar uma conta Azure Data Lake Storage Gen2, filtre por Microsoft.Storage/storageAccounts.
  7. Selecione o(s) seu(s) recurso(s) da lista.
  8. Clique em Associar no fundo do painel.

Verificar modo de transição:

  1. No NSP, vai a Definições>Recursos (ou Recursos Associados).
  2. Localize a sua conta de armazenamento na lista.
  3. Verifica se a coluna Modo de Acesso mostra Transição. A transição é o modo padrão.

Observação

O modo de transição avalia primeiro as regras NSP. Se nenhuma regra NSP corresponder ao pedido recebido, o sistema recorre às regras de firewall existentes do recurso. O modo de transição permite-lhe testar a configuração do seu NSP sem perturbar os padrões de tráfego existentes.

Passo 3: Adicionar uma regra de acesso de entrada para a computação sem servidor do Azure Databricks

Deve criar uma regra de acesso de entrada no seu perfil NSP para permitir o tráfego da computação serverless do Azure Databricks para os seus recursos do Azure.

  1. Vá ao perímetro de segurança de rede no portal Azure.
  2. Na barra lateral esquerda, vai a Definições>Perfis.
  3. Selecione o seu perfil (por exemplo, databricks-profile).
  4. Em Definições, clique em Regras de acesso de entrada.
  5. Clique em + Adicionar.
  6. Configure a regra:
    • Nome da regra: Insira um nome descritivo (por exemplo, allow-databricks-serverless).
    • Tipo de Fonte: Selecionar Etiqueta de Serviço.
    • Fontes permitidas: Selecionar AzureDatabricksServerless.[ your_workspace_region] (por exemplo, AzureDatabricksServerless.EastUS2). A utilização de uma tag regional limita o acesso aos IPs do Azure Databricks na região do seu espaço de trabalho, o que reduz a exposição em comparação com a tag global.
  7. Clique em Adicionar.

Sugestão

A Databricks recomenda a utilização de uma etiqueta de serviço regional (AzureDatabricksServerless.[your_workspace_region]) para maior segurança. Se precisar de permitir o acesso a partir de todas as Azure Databricks regiões — por exemplo, quando os espaços de trabalho abrangem várias regiões — use a etiqueta global AzureDatabricksServerless em vez disso. Ambas as etiquetas atualizam automaticamente, por isso não precisará de gerir manualmente endereços IP ou atualizar regras quando o Azure Databricks adicionar novos intervalos de IP.

Passo 4: Verificar a configuração

Depois de configurar o seu NSP, verifique se a computação serverless do Azure Databricks consegue aceder ao seu recurso Azure e monitorizar a atividade do NSP.

Teste de acesso a partir de computação serverless

  1. Aceda ao seu recurso Azure no portal Azure.

  2. Vai para Segurança + rede>Redes.

  3. Verifique se o recurso apresenta uma associação com o perímetro de segurança da sua rede.

  4. Verifique se o estado mostra o modo Transição.

  5. Consulte as regras de entrada associadas ao seu perfil para confirmar que a AzureDatabricksServerless regra está listada (seja regional ou global).

  6. No seu espaço de trabalho Azure Databricks, execute uma consulta de teste para confirmar que a computação serverless pode aceder ao seu recurso. Por exemplo, para testar o acesso a uma conta de armazenamento ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Se a consulta for bem-sucedida, a configuração do seu NSP está a funcionar corretamente.

Monitorizar a atividade do NSP

Para monitorizar tentativas de ligação que as regras NSP permitem ou recusam:

  1. Aceda ao seu recurso Azure no portal Azure.
  2. Vai a Monitorizar>Definições de Diagnóstico.
  3. Clique em +Adicionar definição de diagnóstico.
  4. Seleciona as categorias de registos que queres monitorizar. Para contas Armazenamento do Azure, selecione:
    • StorageRead
    • StorageWrite
  5. Selecione um destino:
    • Log Analytics workspace (recomendado para consulta e análise)
    • Conta de armazenamento (para arquivo a longo prazo)
    • Event Hub (para streaming para sistemas externos)
  6. Clique em Salvar.

Sugestão

Os registos de diagnóstico mostram tentativas de ligação que correspondem às regras NSP em comparação com as regras de firewall de recursos. Estes registos ajudam-no a validar a sua configuração antes de passar para o modo forçado. No modo de transição, os registos indicam se cada pedido foi permitido por uma regra NSP ou se foi revertido para o firewall de recursos.

Compreender os modos de acesso NSP

O NSP suporta dois modos de acesso: modo de transição e modo forçado. O Azure Databricks recomenda permanecer em modo de transição indefinidamente para a maioria dos casos de uso.

Modo de transição (recomendado):

  • Avalia primeiro as regras NSP, depois recorre às regras do firewall de recursos caso nenhuma regra NSP seja aplicável
  • Permite usar o NSP juntamente com as configurações de rede existentes
  • Compatível com endpoints de serviço, configurações clássicas de computação e padrões de tráfego de rede pública

Modo forçado (não recomendado para a maioria dos clientes):

  • Ignora as regras do firewall de recursos, bloqueando todo o tráfego que não corresponde a uma regra NSP. O modo forçado afeta não só o Azure Databricks, mas também quaisquer outros serviços que tenha permitido através do seu firewall de recursos — esses serviços devem ter sido integrados no NSP para continuarem a funcionar.
  • Permaneça no modo de transição se usar endpoints de serviço para se ligar ao armazenamento a partir de qualquer espaço de trabalho do Azure Databricks.

Advertência

Mantenha-se em modo de transição para manter a compatibilidade com a sua configuração de rede atual, beneficiando de uma gestão simplificada das regras. Veja limitações do perímetro de segurança de rede.

Próximos passos

  • Last updated on