Freigeben über

Konfigurieren eines Azure-Netzwerksicherheitsperimeters für Azure-Ressourcen

Auf dieser Seite wird beschrieben, wie Sie azure Network Security Perimeter (NSP) konfigurieren, um den Zugriff von serverlosen Compute auf Ihre Azure-Ressourcen mithilfe des Azure-Portals zu steuern.

Übersicht über den Netzwerksicherheitsperimeter für Azure-Ressourcen

Azure Network Security Perimeter (NSP) ist ein systemeigenes Azure-Feature, das eine logische Isolationsgrenze für Ihre PaaS-Ressourcen erstellt. Durch das Zuordnen von Ressourcen wie Speicherkonten oder Datenbanken zu einem NSP können Sie den Netzwerkzugriff zentral mithilfe eines vereinfachten Regelsatzes verwalten. Dies ersetzt die Notwendigkeit, komplexe Listen einzelner IP-Adressen oder Subnetz-IDs manuell zu verwalten.

NSP unterstützt den Zugriff von serverlosen SQL-Warehouses, Jobs, Notebooks, Lakeflow Spark Declarative Pipelines und Modellbereitstellungsendpunkten.

Hauptvorteile

Die Verwendung von NSP für den serverlosen ausgehenden Netzwerkverkehr von Azure Databricks verbessert die Sicherheitslage und reduziert gleichzeitig den Betriebsaufwand erheblich.

Nutzen Description
Kosteneinsparung Datenverkehr, der über Dienstendpunkte gesendet wird, bleibt auf dem Azure-Backbone und verursacht keine Datenverarbeitungsgebühren.
Vereinfachte Verwaltung Verwenden Sie das AzureDatabricksServerless Diensttag, um den Zugriff global zu verwalten. Um den Zugriff auf serverlose Compute in einer bestimmten Azure-Region einzuschränken, fügen Sie den Regionsnamen zum Dienst-Tag hinzu, beispielsweise AzureDatabricksServerless.EastUS2. Die vollständige Liste der unterstützten Azure-Regionen finden Sie unter Azure Databricks-Regionen.
Zentrale Zugriffssteuerung Verwalten von Sicherheitsrichtlinien über mehrere Ressourcentypen hinweg, einschließlich Speicher, Schlüsseltresor und Datenbanken innerhalb eines einzigen NSP-Profils.

Erweiterter Dienstsupport

Sicheres Verbinden serverloser Compute mit einer breiten Palette von Azure-Diensten:

  • Data & Analytics: Azure Storage (einschließlich ADLS Gen2), Azure SQL-Datenbank, Synapse Analytics, Cosmos DB und MariaDB
  • Sicherheit und Apps: Key Vault, App Service und Cognitive Services
  • Messaging & DevOps: Event Hubs, Service Bus und Containerregistrierung

Anforderungen

  • Sie müssen ein Azure Databricks-Kontoadministrator sein.
  • Sie müssen über die Berechtigungen "Mitwirkender" oder "Besitzer" für die Azure-Ressource verfügen, die Sie konfigurieren möchten.
  • Sie müssen über die Berechtigung zum Erstellen von Netzwerksicherheitsperimeterressourcen in Ihrem Azure-Abonnement verfügen.
  • Ihr Azure Databricks-Arbeitsbereich und Azure-Ressourcen sollten sich in derselben Azure-Region befinden, um optimale Leistung zu erzielen und regionsübergreifende Datenübertragungsgebühren zu vermeiden.

Schritt 1: Erstellen eines Netzwerksicherheitsperimeters und Notieren der Profil-ID

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben Netzwerksicherheitsperimeter ein , und wählen Sie sie aus den Ergebnissen aus.

  3. Klicken Sie auf +Erstellen.

  4. Geben Sie auf der Registerkarte " Grundlagen " die folgenden Informationen ein:

    • Abonnement: Wählen Sie Ihr Azure-Abonnement.
    • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
    • Name: Geben Sie einen Namen für Ihren NSP ein (z. B databricks-nsp. ).
    • Region: Wählen Sie die Region für Ihren NSP aus. Dies sollte mit Ihrer Azure Databricks-Arbeitsbereichsregion und der Region Ihrer Azure-Ressourcen übereinstimmen.
    • Profilname: Geben Sie einen Profilnamen ein (z. B databricks-profile. ).

  5. Klicken Sie auf "Überprüfen" und dann auf "Erstellen".

  6. Nachdem der NSP erstellt wurde, navigieren Sie im Azure-Portal dorthin.

  7. Wechseln Sie in der linken Randleiste zu ">".

  8. Erstellen oder Auswählen Ihres Profils (z. B databricks-profile. ).

  9. Kopieren Sie die Ressourcen-ID für das Profil. Sie benötigen diese ID, wenn Sie ressourcen programmgesteuert zuordnen möchten.

    Tipp

    Speichern Sie die Profil-ID an einem sicheren Speicherort. Sie benötigen sie später, wenn Sie Ressourcen mithilfe der Azure CLI oder API anstelle des Azure-Portals zuordnen möchten.

Schritt 2: Zuordnen Ihrer Ressource zum NSP im Übergangsmodus

Sie müssen jede Azure-Ressource, auf die Sie von Azure Databricks zugreifen möchten, serverlos mit Ihrem NSP-Profil verknüpfen. In diesem Beispiel wird gezeigt, wie Sie ein Azure Storage-Konto zuordnen, aber die gleichen Schritte gelten für andere Azure-Ressourcen.

  1. Navigieren Sie im Azure-Portal zu Ihrem Netzwerksicherheitsperimeter.
  2. Wechseln Sie in der linken Randleiste zu "Ressourcen" unter "Einstellungen".
  3. Klicken Sie auf +Hinzufügen von>Ressourcen zu einem vorhandenen Profil.
  4. Wählen Sie das Profil databricks-profile aus, das Sie in Schritt 1 erstellt haben (z. B. ).
  5. Klicken Sie auf Zuordnen.
  6. Filtern Sie im Ressourcenauswahlbereich nach Ressourcentyp. Um beispielsweise ein Azure Data Lake Storage Gen2-Konto zuzuordnen, filtern Sie nach Microsoft.Storage/storageAccounts.
  7. Wählen Sie Ihre Ressourcen aus der Liste aus.
  8. Klicken Sie unten im Bereich auf Zuordnen.

Übergangsmodus überprüfen:

  1. Wechseln Sie im NSP zu "Einstellungen" >Ressourcen (oder den zugeordneten Ressourcen).
  2. Suchen Sie Ihr Speicherkonto in der Liste.
  3. Überprüfen Sie, ob in der Spalte Access-Modus"Übergang" angezeigt wird. Dies ist der Standardmodus.

Hinweis

Der Übergangsmodus wertet zuerst NSP-Regeln aus. Wenn keine NSP-Regel mit der eingehenden Anforderung übereinstimmt, greift das System auf die vorhandenen Firewallregeln der Ressource zurück. Auf diese Weise können Sie Ihre NSP-Konfiguration testen, ohne vorhandene Zugriffsmuster zu unterbrechen.

Schritt 3: Hinzufügen einer Eingehenden Zugriffsregel für serverlose Azure Databricks-Berechnung

Sie müssen in Ihrem NSP-Profil eine Regel für eingehenden Zugriff erstellen, um Datenverkehr von Azure Databricks serverlosen Compute zu Ihren Azure-Ressourcen zuzulassen.

  1. Navigieren Sie im Azure-Portal zu Ihrem Netzwerksicherheitsperimeter.
  2. Wechseln Sie in der linken Randleiste zu ">".
  3. Wählen Sie Ihr Profil aus (z. B databricks-profile. ).
  4. Klicken Sie unter "Einstellungen " auf " Eingehende Zugriffsregeln".
  5. Klicken Sie auf + Hinzufügen.
  6. Konfigurieren Sie die Regel:
    • Regelname: Geben Sie einen beschreibenden Namen ein (z. B allow-databricks-serverless. ).
    • Quelltyp: Wählen Sie "Diensttag" aus.
    • Zulässige Quellen: Wählen Sie AzureDatabricksServerless aus.
  7. Klicken Sie auf Hinzufügen.

Tipp

Das AzureDatabricksServerless Diensttag deckt automatisch alle serverlosen Compute-IP-Bereiche von Azure Databricks in allen Azure-Regionen ab. Sie müssen IP-Adressen nicht manuell verwalten oder Regeln aktualisieren, wenn Azure Databricks neue IP-Bereiche hinzufügt.

Schritt 4: Überprüfen der Konfiguration

Überprüfen Sie, nachdem Sie Ihr NSP konfiguriert haben, ob Azure Databricks Serverless Compute auf Ihre Azure-Ressource zugreifen kann und überwachen Sie die NSP-Aktivitäten.

Testen des Zugriffs von serverlosen Rechenressourcen

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure-Ressource.

  2. Wechseln Sie zu Sicherheit + Netzwerk>Netzwerk.

  3. Stellen Sie sicher, dass die Ressource eine Zuordnung zu Ihrem Netzwerksicherheitsperimeter anzeigt.

  4. Stellen Sie sicher, dass der Status den Übergangsmodus anzeigt.

  5. Zeigen Sie die mit Ihrem Profil verknüpften eingehenden Regeln an, um zu bestätigen, dass die AzureDatabricksServerless Regel aufgeführt ist.

  6. Führen Sie in Ihrem Azure Databricks-Arbeitsbereich eine Testabfrage aus, um zu bestätigen, dass serverlose Compute auf Ihre Ressource zugreifen kann. So testen Sie beispielsweise den Zugriff auf ein ADLS Gen2-Speicherkonto:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Wenn die Abfrage erfolgreich ist, funktioniert ihre NSP-Konfiguration ordnungsgemäß.

Überwachen der NSP-Aktivität

So können Sie überwachen, welche Zugriffsversuche durch NSP-Regeln zugelassen oder verweigert werden:

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure-Ressource.
  2. Wechseln Sie zu "Diagnoseeinstellungen überwachen>".
  3. Klicken Sie auf + Diagnoseeinstellung hinzufügen.
  4. Wählen Sie die Protokollkategorien aus, die Sie überwachen möchten. Wählen Sie für Azure Storage-Konten Folgendes aus:
    • StorageRead
    • StorageWrite
  5. Wählen Sie ein Ziel aus:
    • Log Analytics-Arbeitsbereich (empfohlen für Abfragen und Analysen)
    • Speicherkonto (für langfristige Archivierung)
    • Event Hub (zum Streaming auf externe Systeme)
  6. Klicken Sie auf "Speichern".

Tipp

Diagnoseprotokolle zeigen, welche Zugriffsversuche von NSP-Regeln und Ressourcenfirewallregeln abgeglichen werden. Auf diese Weise können Sie Ihre Konfiguration überprüfen, bevor Sie in den erzwungenen Modus wechseln. Im Übergangsmodus geben die Protokolle an, ob jede Anforderung von einer NSP-Regel zugelassen wurde oder auf die Ressourcenfirewall zurückgefallen ist.

Wechseln zum erzwungenen Modus (optional)

Nachdem Sie Ihre NSP-Konfiguration im Übergangsmodus gründlich getestet und bestätigt haben, dass alle erwarteten Zugriffsmuster ordnungsgemäß funktionieren, können Sie optional zum erzwungenen Modus wechseln, um eine strengere Sicherheit zu gewährleisten.

  1. Navigieren Sie im Azure-Portal zu Ihrem Netzwerksicherheitsperimeter.
  2. Wechseln Sie zu Einstellungen>Ressourcen.
  3. Wählen Sie Ihre Ressource aus der Liste aus.
  4. Ändern Sie den Zugriffsmodus von "Übergang" in "Erzwungen".
  5. Klicken Sie auf "Speichern".

Warnung

Der erzwingende Modus setzt ausschließlich NSP-Regeln strikt durch. Zugriffsversuche, die keiner NSP-Regel entsprechen, werden verweigert, auch wenn die Firewallregeln der Ressource sie zulassen würden. Wechseln Sie nur zum erzwungenen Modus, nachdem Sie bestätigt haben, dass alle erforderlichen Zugriffsmuster im Übergangsmodus ordnungsgemäß funktionieren. Überprüfen Sie Ihre Diagnoseprotokolle, um sicherzustellen, dass kein legitimer Datenverkehr blockiert wird.

Nächste Schritte

  • Last updated on