Compartir vía

Configuración de un perímetro de seguridad de red de Azure para los recursos de Azure

En esta página se describe cómo configurar el perímetro de seguridad de red (NSP) de Azure para controlar el acceso desde el proceso sin servidor a los recursos de Azure mediante Azure Portal.

Información general sobre el perímetro de seguridad de red para los recursos de Azure

El perímetro de seguridad de red de Azure (NSP) es una característica nativa de Azure que crea un límite de aislamiento lógico para los recursos de PaaS. Al asociar recursos como cuentas de almacenamiento o bases de datos con un NSP, puede administrar de forma centralizada el acceso a la red mediante un conjunto de reglas simplificado. Esto reemplaza la necesidad de administrar manualmente listas complejas de direcciones IP individuales o identificadores de subred.

NSP admite el acceso desde almacenes de SQL sin servidor, trabajos, cuadernos, canalizaciones declarativas de Spark de Lakeflow y puntos de conexión de servicio de modelos.

Ventajas clave

El uso de NSP para el tráfico saliente sin servidor de Azure Databricks mejora la posición de seguridad y reduce significativamente la sobrecarga operativa:

Ventajas Description
Ahorro de costos El tráfico enviado a través de puntos de conexión de servicio permanece en la red troncal de Azure y no incurre en cargos de procesamiento de datos.
Administración simplificada Usa la etiqueta de servicio AzureDatabricksServerless para administrar el acceso globalmente. Para restringir el acceso al proceso sin servidor en una región de Azure específica, anexe el nombre de la región a la etiqueta de servicio, por ejemplo, AzureDatabricksServerless.EastUS2. Para obtener la lista completa de las regiones de Azure admitidas, consulte Regiones de Azure Databricks.
Control de acceso centralizado Administre las directivas de seguridad en varios tipos de recursos( incluidos el almacenamiento, los almacenes de claves y las bases de datos) dentro de un único perfil de NSP.

Soporte de servicios ampliado

Conecte de forma segura la computación sin servidor a una amplia gama de servicios de Azure.

  • Datos y análisis: Azure Storage (incluido ADLS Gen2), Azure SQL Database, Synapse Analytics, Cosmos DB y MariaDB
  • Seguridad y aplicaciones: Key Vault, App Service y Cognitive Services
  • Mensajería & DevOps: Event Hubs, Service Bus y Registro de Contenedores

Requisitos

  • Debe ser administrador de la cuenta de Azure Databricks.
  • Debe tener permisos de colaborador o propietario en el recurso de Azure que desea configurar.
  • Debe tener permiso para crear recursos perimetrales de seguridad de red en la suscripción de Azure.
  • El área de trabajo de Azure Databricks y los recursos de Azure deben estar en la misma región de Azure para obtener un rendimiento óptimo y evitar cargos por transferencia de datos entre regiones.

Paso 1: Crear un perímetro de seguridad de red y anotar el identificador de perfil

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda de la parte superior, escriba Perímetros de seguridad de red y selecciónelo en los resultados.

  3. Haga clic en + Crear.

  4. En la pestaña Aspectos básicos , escriba la siguiente información:

    • Suscripción: seleccione la suscripción Azure.
    • Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
    • Nombre: escriba un nombre para el NSP (por ejemplo, databricks-nsp).
    • Región: seleccione la región del NSP. Esto debe coincidir con la región del área de trabajo de Azure Databricks y la región de los recursos de Azure.
    • Nombre del perfil: escriba un nombre de perfil (por ejemplo, databricks-profile).

  5. Haga clic en Revisar y crear y, a continuación, en Crear.

  6. Una vez creado el NSP, vaya a él en Azure Portal.

  7. En la barra lateral izquierda, vaya a Perfiles de configuración>.

  8. Cree o seleccione el perfil (por ejemplo, databricks-profile).

  9. Copie el identificador de recurso del perfil. Necesitará este identificador si planea asociar recursos mediante programación.

    Sugerencia

    Guarde el id. de perfil en una ubicación segura. Lo necesitará más adelante si desea asociar recursos mediante la CLI de Azure o la API en lugar de Azure Portal.

Paso 2: Asocia tu recurso con el NSP en Modo de Transición

Debe asociar cada recurso de Azure al que quiera acceder desde el proceso sin servidor de Azure Databricks con el perfil de NSP. En este ejemplo se muestra cómo asociar una cuenta de Azure Storage, pero se aplican los mismos pasos a otros recursos de Azure.

  1. Ir al perímetro de seguridad de red en el Azure portal.
  2. En la barra lateral izquierda, vaya a Recursos en Configuración.
  3. Haga clic en + Agregar>recursos asociados con un perfil existente.
  4. Seleccione el perfil que creó en el paso 1 (por ejemplo, databricks-profile).
  5. Haga clic en Asociar.
  6. En el panel de selección de recursos, filtre por tipo de recurso. Por ejemplo, para asociar una cuenta de Azure Data Lake Storage Gen2, filtre por Microsoft.Storage/storageAccounts.
  7. Seleccione los recursos de la lista.
  8. Haga clic en Asociar en la parte inferior del panel.

Comprobar el modo de transición:

  1. En el NSP, vaya a Recursos de configuración> (o Recursos asociados).
  2. Busque la cuenta de almacenamiento en la lista.
  3. Compruebe que la columna Modo de acceso muestra Transición. Este es el modo predeterminado.

Nota:

El modo de transición evalúa primero las reglas de NSP. Si ninguna regla de NSP coincide con la solicitud entrante, el sistema vuelve a las reglas de firewall existentes del recurso. Esto le permite probar la configuración de NSP sin interrumpir los patrones de acceso existentes.

Paso 3: Incorporación de una regla de acceso de entrada para el proceso sin servidor de Azure Databricks

Debe crear una regla de acceso entrante en el perfil de NSP para permitir el tráfico desde la computación sin servidor de Azure Databricks a sus recursos de Azure.

  1. Navegue hasta su perímetro de seguridad de red en el portal de Azure.
  2. En la barra lateral izquierda, vaya a Perfiles de configuración>.
  3. Seleccione el perfil (por ejemplo, databricks-profile).
  4. En Configuración , haga clic en Reglas de acceso de entrada.
  5. Haga clic en + Agregar.
  6. Configure la regla:
    • Nombre de regla: escriba un nombre descriptivo (por ejemplo, allow-databricks-serverless).
    • Tipo de origen: seleccione Etiqueta de servicio.
    • Orígenes permitidos: seleccione AzureDatabricksServerless.
  7. Haga clic en Agregar.

Sugerencia

La AzureDatabricksServerless etiqueta de servicio cubre automáticamente todos los intervalos IP de proceso sin servidor de Azure Databricks en todas las regiones de Azure. No es necesario administrar manualmente las direcciones IP ni las reglas de actualización cuando Azure Databricks agrega nuevos intervalos IP.

Paso 4: Comprobar la configuración

Después de configurar el NSP, compruebe que la computación sin servidor de Azure Databricks puede acceder a su recurso de Azure y supervise la actividad del NSP.

Prueba de acceso desde cómputo sin servidor

  1. Vaya al recurso de Azure en Azure Portal.

  2. Vaya a Seguridad + redes>Redes.

  3. Compruebe que el recurso muestra una asociación con el perímetro de seguridad de red.

  4. Compruebe que el estado muestra el modo de transición.

  5. Vea las reglas de entrada asociadas con su perfil para confirmar que la regla AzureDatabricksServerless aparece listada.

  6. En el área de trabajo de Azure Databricks, ejecute una consulta de prueba para confirmar que el cómputo sin servidor puede acceder a su recurso. Por ejemplo, para probar el acceso a una cuenta de almacenamiento de ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Si la consulta se realiza correctamente, la configuración de NSP funciona correctamente.

Supervisión de la actividad de NSP

Para supervisar qué intentos de acceso se permiten o deniegan las reglas de NSP:

  1. Vaya al recurso de Azure en Azure Portal.
  2. Vaya a Supervisión>Configuración de diagnóstico.
  3. Haga clic en + Agregar configuración de diagnóstico.
  4. Seleccione las categorías de registro que desea supervisar. En Cuentas de Azure Storage, seleccione:
    • StorageRead
    • StorageWrite
  5. Elija un destino:
    • Área de trabajo de Log Analytics (recomendada para realizar consultas y análisis)
    • Cuenta de almacenamiento (para archivo a largo plazo)
    • Centro de eventos (para streaming a sistemas externos)
  6. Haz clic en Guardar.

Sugerencia

Los registros de diagnóstico muestran qué intentos de acceso coinciden con las reglas de NSP en comparación con las reglas del firewall de recursos. Esto le ayuda a validar su configuración antes de pasar al modo forzado. En el modo de transición, los registros indican si una regla de NSP permitió cada solicitud o recurrió al firewall de recursos.

Cambiar al modo forzado (opcional)

Después de probar exhaustivamente la configuración de NSP en modo de transición y confirmar que todos los patrones de acceso esperados funcionan correctamente, puede cambiar opcionalmente al modo reforzado para una seguridad más estricta.

  1. Navegue al perímetro de seguridad de red en el portal de Azure.
  2. Vaya a Configuración>Recursos.
  3. Seleccione el recurso en la lista.
  4. Cambie el modo de acceso de Transición a Forzado.
  5. Haz clic en Guardar.

Advertencia

El modo forzado aplica estrictamente las reglas de NSP. Se denegarán los intentos de acceso que no coincidan con una regla de NSP, incluso si las reglas de firewall del recurso las permitirían. Solo cambie al modo forzado después de confirmar que todos los patrones de acceso necesarios funcionan correctamente en el modo de transición. Revise los registros de diagnóstico para asegurarse de que no se bloquea ningún tráfico legítimo.

Pasos siguientes

  • Last updated on