Asociar cuentas de Azure Batch con el perímetro de seguridad de red

El perímetro de seguridad de red (NSP) proporcionado por Azure redes sirve como una herramienta completa para que los clientes garanticen una seguridad óptima al usar recursos paaS. Permite a los clientes establecer límites lógicos para el aislamiento de red y administrar colectivamente los controles de acceso público para numerosos recursos paaS.

Con un perímetro de seguridad de red:

• Los recursos de PaaS asociados a un perímetro específico son, de forma predeterminada, solo pueden comunicarse con otros recursos de PaaS dentro del mismo perímetro.
• Las reglas de acceso explícitas pueden permitir activamente la comunicación entrante y saliente externa.
• Los registros de diagnóstico están habilitados para los recursos de PaaS dentro del perímetro para auditoría y cumplimiento.

Importante

Las reglas perimetrales de seguridad de red no rigen el vínculo privado con el punto de conexión privado.

Escenarios perimetrales de seguridad de red en el servicio Batch

Azure Batch servicio está diseñado para admitir varios escenarios que requieren acceso a otros recursos de PaaS:

• Los paquetes de aplicación requieren comunicación con Azure Storage. Para obtener más información, consulte batch-application-packages.
• La clave administrada por el cliente requiere comunicación con Azure KeyVault. Para más información, consulte batch-customer-managed-key.

Los administradores de red pueden usar la característica perimetral de seguridad de red para crear un límite de aislamiento para sus servicios PaaS. Este perímetro de seguridad permite configurar controles de acceso público para varios recursos paaS, lo que proporciona una experiencia de usuario coherente y una API uniforme. Configuración del perímetro de seguridad de red para las comunicaciones de PaaS compatibles con Batch, consulte el perímetro de seguridad de red en Azure Storage y perímetro de seguridad de red en Azure Key Vault para obtener más detalles.

El perímetro de seguridad de red proporciona varios métodos para permitir que Batch interactúe con otros servicios PaaS si el servicio PaaS de destino está en el perímetro de seguridad de red:

• Asocie la cuenta de Batch con el mismo perímetro que el recurso de destino y asigne los permisos necesarios a la identidad administrada usada en estos recursos.
• Cree el perfil con las reglas de acceso de entrada adecuadas (por ejemplo, la creación de una regla de acceso de entrada para el nombre de dominio completo de la cuenta de Batch) y aplíquela al recurso PaaS de destino. Este perfil se usa para evaluar el tráfico entrante (enviado desde Batch) desde fuera del tráfico perimetral.

Los usuarios de Batch también pueden usar el perímetro de seguridad de red para proteger el tráfico entrante, no solo los escenarios de tráfico saliente con Azure Storage y Azure Key Vault.

Nota:

Los perímetros de seguridad de red no regulan los nodos dentro de los grupos de Batch. Para garantizar el aislamiento de red para el grupo, es posible que tenga que crear un punto de conexión privado nodeManagement para el grupo de Batch sin direcciones IP públicas. Para permitir que un nodo acceda a Azure Storage y otros recursos de PaaS asociados a un perímetro de seguridad de red, asegúrese de que las reglas de acceso pertinentes se agreguen al perfil del recurso paaS de destino. Estas reglas de acceso conceden al nodo los permisos necesarios para visitar.

Configuración del perímetro de seguridad de red para Azure Batch cuenta

Prerrequisito

1. Configure la cuenta de Batch mediante una identidad administrada asignada por el usuario.

2. Es opcional, pero se recomienda cambiar el acceso de red pública de la cuenta de Batch a SecuredByPerimeter.

   Este valor de acceso a la red pública garantiza que la conectividad entrante y saliente del recurso está restringida a los recursos dentro del mismo perímetro. El perfil perimetral asociado establece las reglas que controlan el acceso público.

   Esta modificación de la cuenta de Batch puede realizarse mediante la API de administración de cuentas de Batch o el valor de enumeración BatchPublicNetworkAccess del SDK.

3. Asegúrese de que la cuenta de Batch solo funcione con el grupo de comunicación de nodos simplificado.

Creación de un perímetro de seguridad de red

Cree su propio recurso perimetral de seguridad de red mediante Azure portal o PowerShell o CLI de Azure.

Asociar la cuenta de Batch con el perímetro de seguridad de la red

Uso del portal de Azure

1. Vaya al recurso de perímetro de seguridad de red en el portal de Azure, donde debe crear un perfil para asociarlo a su cuenta de Batch. Si no crea el perfil, vaya a Configuración ->Perfiles para crear inicialmente un perfil perimetral de seguridad de red.

2. En Información general, seleccione la tercera opción Asociar recursos al perfil.

3. Asociar recursos a un nuevo perfil o asociar recursos a un perfil existente

Uso de PowerShell

1. Creación de un nuevo perfil para el perímetro de seguridad de red

       # Create a new profile 
       $nspProfile = @{
           Name = '<ProfileName>' 
           ResourceGroupName = '<ResourceGroupName>'
           SecurityPerimeterName = '<NetworkSecurityPerimeterName>'
           }
   
       $profile = New-AzNetworkSecurityPerimeterProfile @nspProfile
   

2. Asocie la cuenta de Batch al perfil de perímetro de seguridad de red

      # Associate the PaaS resource with the above created profile
      $nspAssociation = @{
          AssociationName = '<AssociationName>'
          ResourceGroupName = '<ResourceGroupName>'
          SecurityPerimeterName = '<NetworkSecurityPerimeterName>'
          AccessMode = 'Learning'
          ProfileId = '<NetworkSecurityPerimeterProfileId>'
          PrivateLinkResourceId = '<BatchAccountResourceId>'
          }
   
      New-AzNetworkSecurityPerimeterAssociation @nspAssociation | format-list
   

Uso de la CLI de Azure

1. Cree un perfil para el perímetro de seguridad de red con el comando siguiente:

   # Create a new profile
   az network perimeter profile create \
       --name <ProfileName> \
       --resource-group <ResourceGroupName> \
       --perimeter-name <NetworkSecurityPerimeterName>
   
   

2. Asocie la cuenta de Batch (recurso PaaS) con el perfil perimetral de seguridad de red con los siguientes comandos.

   # Get the profile id
   az network perimeter profile show \
       --name <ProfileName> \
       --resource-group <ResourceGroupName> \
       --perimeter-name <NetworkSecurityPerimeterName>
   
   # Associate the Batch account with the network security perimeter profile
   # Replace <PaaSArmId> and <NetworkSecurityPerimeterProfileId> with the values for your Batch account resource id and profile
   az network perimeter association create \
       --name <NetworkSecurityPerimeterAssociationName> \
       --perimeter-name <NetworkSecurityPerimeterName> \
       --resource-group <ResourceGroupName> \
       --access-mode Learning  \
       --private-link-resource "{id:<PaaSArmId>}" \
       --profile "{id:<NetworkSecurityPerimeterProfileId>}"
   
   

Pasos siguientes

• Obtenga más información sobre los procedimientos recomendados de seguridad en Azure Batch.
• Obtenga más información sobre los conceptos del perímetro de seguridad de red.
• Obtenga más información sobre los registros de diagnóstico perimetral de seguridad de red.
• Obtenga más información sobre el control de acceso basado en roles del perímetro de seguridad de red.
• Obtenga más información sobre la transición perimetral de seguridad de red.