Ajouter Microsoft Foundry à un périmètre de sécurité réseau

Utilisez un périmètre de sécurité réseau (NSP) pour restreindre l’accès au plan de données à votre ressource Microsoft Foundry et le regrouper avec d’autres ressources PaaS protégées. Un fournisseur de services réseau vous permet de :

• Appliquez des règles d’accès entrantes et sortantes au lieu d’une exposition publique étendue.
• Réduisez le risque d’exfiltration des données en contenant le trafic dans une limite logique.
• Journaliser de manière centralisée les décisions d’accès réseau entre les ressources associées.

Cet article fournit uniquement les pointeurs spécifiques à Foundry dont vous avez besoin. Tous les détails procéduraux pour la création de périmètres, la définition de règles d’accès, l’activation de la journalisation et l’utilisation d’API se trouvent dans la documentation réseau Azure existante. Suivez les liens de chaque section pour connaître les étapes faisant autorité.

Important

La prise en charge du périmètre de sécurité réseau pour Microsoft Foundry est disponible en préversion publique sous conditions d’utilisation supplémentaires. Passez en revue les limitations et considérations avant de commencer.

Le diagramme montre une ressource Foundry à l’intérieur d’une limite NSP. Les règles d’accès entrant filtrent le trafic à partir de sources externes et les règles d’accès sortant contrôlent la sortie vers les services en dehors du périmètre.

Prerequisites

• Un abonnement Azure dans lequel vous pouvez créer et gérer des ressources de périmètre de sécurité réseau. Au minimum, utilisez un compte avec le rôle Propriétaire, Contributeur ou Contributeur réseau (ou un rôle personnalisé avec des autorisations équivalentes).
• Ressource de fonderie.
• Un périmètre de sécurité réseau (NSP) et un profil.
• Si vous utilisez Azure CLI Automation, Azure CLI 2.75.0 ou version ultérieure.
• Si vous souhaitez interroger les journaux d’accès, un espace de travail Log Analytics.

Pour obtenir l’ensemble complet des actions et autorisations requises (profils, associations, règles d’accès, paramètres de diagnostic), consultez les autorisations RBAC Azure requises pour le périmètre de sécurité réseau.

Vérifier votre configuration (Azure CLI)

Exécutez cette commande pour vérifier que l’extension nsp Azure CLI est disponible et que vous pouvez interroger les métadonnées NSP.

az extension add --name nsp --upgrade
az network perimeter associable-resource-type list --output table

La commande retourne une liste de types de ressources que vous pouvez associer à un fournisseur de services réseau. Recherchez Microsoft.CognitiveServices/accounts dans la sortie pour confirmer que les ressources Foundry prennent en charge l’association NSP. Si vous voyez une erreur d’authentification, connectez-vous à l’aide az login et réessayez.

Référence : az network perimeter associable-resource-type list

Associer votre ressource Foundry

Associer dans le portail

1. Ouvrez le portail Azure et accédez à votre ressource de périmètre de sécurité réseau.
2. Sélectionnez Ressources associées (ou Ressources en fonction de l’itération de l’interface utilisateur) >Ajouter /Associer.
3. Choisissez le profil cible, choisissez votre ressource Foundry, définissez le mode d’accès (commencez par Learning) et confirmez.

Pour obtenir des captures d’écran du portail et une procédure pas à pas détaillée, consultez Affecter un compte Azure OpenAI à un périmètre de sécurité réseau. Le même flux de portail s’applique aux ressources Foundry.

Associer à Azure CLI

az network perimeter association create \
	--name MyAssociation \
	--perimeter-name MyPerimeter \
	--resource-group MyResourceGroup \
	--access-mode Learning \
	--private-link-resource "{id:<FOUNDRY_RESOURCE_ARM_ID>}" \
	--profile "{id:<NSP_PROFILE_ARM_ID>}"

Cette commande associe votre ressource Foundry à un profil en mode Apprentissage afin de pouvoir passer en revue les journaux d’accès avant d’appliquer des règles d’accès.

Référence : az network perimeter association create

Pour obtenir l’interface CLI (pour l’automatisation) et les étapes de création complètes, consultez les guides de démarrage rapide NSP (CLI ou PowerShell) :

• Créer un périmètre de sécurité réseau (CLI)
• Créer un périmètre de sécurité réseau (PowerShell)

Vérifiez l’association en exécutant :

az network perimeter association show \
	--name MyAssociation \
	--perimeter-name MyPerimeter \
	--resource-group MyResourceGroup

Vérifiez que la sortie affiche votre ressource Foundry avec le mode d’accès attendu. Après l’association, l’évaluation du trafic commence par le mode d’accès sélectionné.

Choisir un mode d’accès

Commencez en mode Apprentissage pour observer les refus potentiels. Basculez vers le mode Appliqué une fois que vous définissez les règles entrantes et sortantes requises. Pour plus d’informations, consultez les modes d’accès NSP.

Comprendre l’interaction publicNetworkAccess

• Mode d’apprentissage : publicNetworkAccess gère toujours l’exposition pendant que vous évaluez les fichiers journaux.
• Mode appliqué : les règles NSP sont prioritaires ; publicNetworkAccess est effectivement neutralisé par les règles de trafic entrant autorisées.

Modifier le mode d’accès

Dans le portail, recherchez l’entrée d’association de votre ressource Foundry et choisissez Modifier le mode d’accès. Pour l’automatisation, utilisez az network perimeter association update.

Référence : az network perimeter association update

Activation de la journalisation

Configurez les paramètres de diagnostic sur la ressource NSP pour envoyer allLogs à Log Analytics, Stockage ou Event Hubs.

Pour obtenir des instructions détaillées, consultez les journaux de diagnostic pour le périmètre de sécurité réseau.

Interpréter les logs

Interrogez la NspAccessLogs table dans votre espace de travail Log Analytics pour valider les décisions d’autorisation et de refus. Utilisez les journaux pour finaliser les sources ou destinations requises avant de l’appliquer.

Pour obtenir des exemples de champs de journal que vous pouvez filtrer, tels que MatchedRule ou Profile, consultez Ajouter un service Azure OpenAI à un périmètre de sécurité réseau.

Définir des règles d’accès

Dans le profil, choisissez :

• Règles de trafic entrant : plages d’adresses IP ou sources d’abonnement (identité managée).
• Règles de trafic sortant : les destinations de nom de domaine complet (FQDN) requises au-delà des ressources du périmètre colocalisées.

Étapes de création de règles (captures d’écran du portail, paramètres CLI, exemples) :

• Procédure pas à pas de la configuration des règles entrantes et sortantes à l’aide d’Azure OpenAI NSP (qui s’applique aux scénarios de plan de données Foundry).
• Référence Azure CLI (règles d’accès) : az network perimeter profile access-rule

Approbation implicite : les ressources à l’intérieur du même fournisseur de services réseau peuvent s’adresser les unes aux autres lorsque les demandes sont authentifiées par le biais d’une identité managée ou d’une attribution de rôle. Vous avez besoin de règles explicites uniquement pour les sources externes, les destinations ou les modèles de clé API.

Règles de trafic entrant

Choisissez la plage d’adresses IP (CIDR) ou l’étendue de l’abonnement. Préférez l’abonnement et l’identité managée pour le trafic interne de service à service. Utilisez la plage d’adresses IP uniquement lorsque l’accès basé sur l’identité n’est pas réalisable.

Règles de trafic sortant

Répertorier uniquement les noms de domaine complets obligatoires (principe du privilège minimum). Conservez les services Azure dépendants dans le même fournisseur de services réseau pour réduire les entrées d’autorisation sortantes.

Les noms de domaine complets courants pour les règles de trafic sortant Foundry sont les suivants :

• *.openai.azure.com — points de terminaison de modèle
• *.blob.core.windows.net — stockage
• *.search.windows.net — index de recherche

Note

Vérifiez les noms de domaine complets exacts requis pour votre scénario. La liste dépend des fonctionnalités de Foundry et des services dépendants que vous utilisez.

Valider avant l’application

1. Restez dans le mode Apprentissage au début ; examinez les journaux d'accès pour les refus qui affectent le trafic requis.
2. Ajoutez ou affinez des règles de trafic entrant et sortant.
3. Basculez vers le mode forcé.
4. Ouvrez Microsoft Foundry et effectuez un test de déploiement ou de conversation de modèle. La réussite indique que le trafic requis est autorisé.
5. Si elle est bloquée, revenez au mode Apprentissage ou ajoutez des règles et réessayez.

Résolution des problèmes

• Si l’expérience du portail n’affiche pas votre ressource Foundry comme associable, vérifiez que Foundry est pris en charge pour l’association NSP dans votre région et passez en revue les types de ressources pris en charge : concepts de périmètre de sécurité réseau.
• Si vous ne voyez pas les journaux après l’activation des diagnostics, vérifiez que vous avez sélectionné allLogs et que votre destination est prise en charge : journaux de diagnostic pour le périmètre de sécurité réseau.
• Si le mode d’apprentissage semble correct mais que le mode Appliqué bloque l’accès, revenez au mode Apprentissage et ajoutez les règles minimales de trafic entrant et sortant nécessaires pour votre scénario : le guide NSP Azure OpenAI.
• Si votre identité managée ne peut pas atteindre les ressources colocalisées, vérifiez que les deux ressources se trouvent dans la même politique de sécurité réseau et que les attributions de rôles sont correctes.
• Si les journaux d’activité ne s’affichent pas immédiatement après avoir activé les diagnostics, autorisez jusqu’à 15 minutes pour que les données de diagnostic se propagent à votre espace de travail Log Analytics.

Passer en revue les limitations et considérations

• NSP régit le trafic du plan de données. Les opérations de plan de contrôle (gestion) peuvent toujours réussir, sauf si elles sont limitées séparément.
• Utilisez une identité managée (système ou affectée par l’utilisateur) avec des attributions de rôles appropriées pour tout accès à la source de données (par exemple Stockage Blob Azure utilisé pour les entrées/sorties par lots).
• Colocalisez des services dépendants (Azure OpenAI, Stockage Azure, Recherche d’IA Azure, et ainsi de suite) dans le même fournisseur de services réseau lorsque vous avez besoin d’un accès mutuel avec des règles d’autorisation sortantes minimales.

Pour plus d’informations, consultez les concepts de périmètre de sécurité réseau.

Afficher et gérer votre configuration

Utilisez REST ou CLI pour auditer et rapprocher :

• Référence REST (cœur de périmètre) : API REST de périmètre de sécurité réseau
• (Exemple) Opérations de profil et d’association (CLI) : commandes de périmètre réseau Azure CLI

Utilisez la version 2024-10-01 de l’API ou la dernière version affichée dans la référence REST lors du script. Vérifiez toujours la version actuelle de l’API dans la référence avant le script.

Contenu connexe

• Contrôle d’accès en fonction du rôle pour Foundry
• Concepts de périmètre de sécurité réseau
• Article Azure OpenAI NSP
• Informations de référence sur le périmètre du réseau Azure CLI
• Qu’est-ce que le Service de l’agent Foundry ?