Mengonfigurasi perimeter keamanan jaringan Azure untuk sumber daya Azure

Halaman ini menjelaskan cara mengonfigurasi Azure Network Security Perimeter (NSP) untuk mengontrol akses dari komputasi tanpa server ke sumber daya Azure Anda menggunakan portal Azure.

Gambaran umum perimeter keamanan jaringan untuk sumber daya Azure

Azure perimeter keamanan jaringan (NSP) adalah fitur bawaan Azure yang membuat batas isolasi logis untuk sumber daya PaaS Anda. Dengan mengaitkan sumber daya seperti akun penyimpanan atau database dengan NSP, Anda dapat mengelola lalu lintas jaringan secara terpusat menggunakan seperangkat aturan yang disederhanakan. NSP menghilangkan kebutuhan untuk mengelola daftar kompleks alamat IP individual atau ID subnet secara manual.

NSP mendukung akses dari gudang SQL tanpa server, pekerjaan, notebook, Lakeflow Spark Declarative Pipelines, dan model yang melayani titik akhir.

Manfaat utama

Menggunakan NSP untuk lalu lintas keluar tanpa server Azure Databricks meningkatkan tingkat keamanan Anda sambil secara signifikan mengurangi overhead operasional.

Keuntungan Description
Penghematan biaya Lalu lintas yang dikirim melalui titik akhir layanan tetap berada di backbone Azure dan tidak dikenakan biaya pemrosesan data.
Manajemen yang semakin disederhanakan Azure Databricks merekomendasikan penggunaan tag layanan regional untuk membatasi akses ke wilayah tertentu, misalnya, AzureDatabricksServerless.EastUS2. Tag mencakup IP titik akhir layanan dan IP NAT Azure Databricks, dan semua komunikasi dirutekan melalui backbone Azure. Jika Anda perlu mengizinkan akses di semua wilayah Azure Databricks, gunakan tag global AzureDatabricksServerless sebagai gantinya. Untuk daftar lengkap wilayah Azure yang didukung, lihat wilayah Azure Databricks.
Manajemen keamanan terpusat Mengelola kebijakan keamanan di beberapa jenis sumber daya—termasuk penyimpanan, brankas kunci, dan database—dalam satu profil NSP.

Layanan Azure yang didukung

Tag layanan AzureDatabricksServerless didukung untuk digunakan dalam aturan akses masuk NSP untuk layanan Azure berikut:

  • Azure Storage (termasuk ADLS Gen2)
  • Azure SQL Database
  • Azure Cosmos DB
  • Azure Key Vault

Persyaratan

  • Anda harus menjadi administrator akun Azure Databricks.
  • Anda harus memiliki izin Kontributor atau Pemilik pada sumber daya Azure yang ingin Anda konfigurasikan.
  • Anda harus memiliki izin untuk membuat sumber daya perimeter keamanan jaringan di langganan Azure Anda.
  • Ruang kerja Azure Databricks dan sumber daya Azure Anda harus berada di wilayah Azure yang sama untuk performa optimal dan untuk menghindari biaya transfer data lintas wilayah.

Langkah 1: Buat perimeter keamanan jaringan dan catat ID profil

  1. Masuk ke portal Azure.

  2. Dalam kotak pencarian di bagian atas, masukkan Perimeter keamanan jaringan dan pilih dari hasil.

  3. Klik + Buat.

  4. Di tab Dasar, masukkan informasi berikut:

    • Subscription: Pilih langganan Azure Anda.
    • Grup sumber daya: Pilih grup sumber daya yang sudah ada atau buat grup sumber daya.
    • Nama: Masukkan nama untuk NSP Anda (misalnya, databricks-nsp).
    • Wilayah: Pilih wilayah untuk NSP Anda. Wilayah harus cocok dengan wilayah ruang kerja Azure Databricks Anda dan wilayah sumber daya Azure Anda.
    • Nama profil: Masukkan nama profil (misalnya, databricks-profile).

  5. Klik Tinjau + buat, lalu Buat.

  6. Setelah NSP dibuat, buka di portal Azure.

  7. Di bar samping kiri, bukaProfil>.

  8. Buat atau pilih profil Anda (misalnya, databricks-profile).

  9. Salin ID Sumber Daya untuk profil. Anda memerlukan ID ini untuk mengaitkan sumber daya secara terprogram.

    Petunjuk / Saran

    Simpan ID profil di lokasi yang aman. Anda harus memilikinya tersedia jika Anda ingin mengaitkan sumber daya menggunakan Azure CLI atau API alih-alih portal Azure.

Langkah 2: Kaitkan sumber daya Anda dengan NSP dalam mode transisi

Anda harus mengaitkan setiap sumber daya Azure yang ingin Anda akses dari komputasi tanpa server Azure Databricks dengan profil NSP Anda. Contoh ini menunjukkan cara mengaitkan akun Azure Storage, tetapi langkah yang sama berlaku untuk sumber daya Azure lainnya.

  1. Buka perimeter keamanan jaringan Anda di portal Azure.
  2. Di bilah sisi kiri, buka Sumber Daya di bawah Pengaturan.
  3. Klik + Tambahkan>Kaitkan sumber daya dengan profil yang sudah ada.
  4. Pilih profil yang Anda buat di Langkah 1 (misalnya, databricks-profile).
  5. Klik Asosiasikan.
  6. Di panel pemilihan sumber daya, filter menurut jenis sumber daya. Misalnya, untuk mengaitkan akun Azure Data Lake Storage Gen2, memfilter berdasarkan Microsoft.Storage/storageAccounts.
  7. Pilih sumber daya Anda dari daftar.
  8. Klik Kaitkan di bagian bawah panel.

Verifikasi mode transisi:

  1. Di NSP, buka Pengaturan>Sumber Daya (atau Sumber daya terkait).
  2. Temukan akun penyimpanan Anda dalam daftar.
  3. Verifikasi bahwa kolom Mode Akses memperlihatkan Transisi. Transisi adalah mode default.

Nota

Mode transisi mengevaluasi aturan NSP terlebih dahulu. Jika tidak ada aturan NSP yang cocok dengan permintaan masuk, sistem akan kembali ke aturan firewall sumber daya yang ada. Mode transisi memungkinkan Anda menguji konfigurasi NSP tanpa mengganggu pola lalu lintas yang ada.

Step 3: Menambahkan aturan akses masuk untuk komputasi tanpa server Azure Databricks

Anda harus membuat aturan akses masuk di profil NSP Anda untuk mengizinkan lalu lintas dari komputasi tanpa server Azure Databricks ke sumber daya Azure Anda.

  1. Buka perimeter keamanan jaringan Anda di portal Azure.
  2. Di bar samping kiri, bukaProfil>.
  3. Pilih profil Anda (misalnya, databricks-profile).
  4. Di bawah Pengaturan klik Aturan akses masuk.
  5. Klik + Tambahkan.
  6. Konfigurasikan aturan:
    • Nama aturan: Masukkan nama deskriptif (misalnya, allow-databricks-serverless).
    • Jenis Sumber: Pilih Tag Layanan.
    • Sumber yang Diizinkan: Pilih AzureDatabricksServerless.[ your_workspace_region] (misalnya, AzureDatabricksServerless.EastUS2). Menggunakan tag regional membatasi akses ke IP Azure Databricks di wilayah ruang kerja Anda, yang mengurangi paparan dibandingkan dengan tag global.
  7. Klik Tambahkan.

Petunjuk / Saran

Databricks merekomendasikan penggunaan tag layanan regional (AzureDatabricksServerless.[your_workspace_region]) untuk keamanan yang lebih ketat. Jika Anda perlu mengizinkan akses dari semua wilayah Azure Databricks—misalnya, saat ruang kerja menjangkau beberapa wilayah—gunakan tag global AzureDatabricksServerless sebagai gantinya. Kedua tag diperbarui secara otomatis, sehingga Anda tidak perlu mengelola alamat IP atau memperbarui aturan secara manual saat Azure Databricks menambahkan rentang IP baru.

Langkah 4: Verifikasi konfigurasi

Setelah mengonfigurasi NSP Anda, verifikasi bahwa komputasi tanpa server Azure Databricks dapat mengakses sumber daya Azure Anda dan memantau aktivitas NSP.

Menguji akses dari komputasi tanpa server

  1. Buka sumber daya Azure Anda di portal Azure.

  2. Buka Keamanan + Jaringan>Jaringan.

  3. Verifikasi bahwa sumber daya menunjukkan asosiasi dengan perimeter keamanan jaringan Anda.

  4. Verifikasi bahwa status menunjukkan mode Transisi.

  5. Lihat aturan masuk yang terkait dengan profil Anda untuk mengonfirmasi bahwa AzureDatabricksServerless aturan tersebut tercantum (baik regional atau global).

  6. Di ruang kerja Azure Databricks Anda, jalankan kueri pengujian untuk mengonfirmasi bahwa komputasi tanpa server dapat mengakses sumber daya Anda. Misalnya, untuk menguji akses ke akun penyimpanan ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Jika kueri berhasil, konfigurasi NSP Anda berfungsi dengan benar.

Memantau aktivitas NSP

Untuk memantau upaya koneksi yang diizinkan atau ditolak oleh aturan NSP:

  1. Buka sumber daya Azure Anda di portal Azure.
  2. BukaPengaturan Diagnostik>.
  3. Klik + Tambah pengaturan diagnostik.
  4. Pilih kategori log yang ingin Anda pantau. Untuk akun Azure Storage, pilih:
    • StorageRead
    • StorageWrite
  5. Pilih tujuan:
    • ruang kerja Log Analytics (disarankan untuk kueri dan analisis)
    • Akun penyimpanan (untuk arsip jangka panjang)
    • Event Hub (untuk streaming ke sistem eksternal)
  6. Kliklah Simpan.

Petunjuk / Saran

Log diagnostik menunjukkan upaya koneksi yang cocok dengan aturan NSP versus aturan firewall sumber daya. Log ini membantu Anda memvalidasi konfigurasi sebelum pindah ke mode yang diberlakukan. Dalam mode transisi, log menunjukkan apakah setiap permintaan diizinkan oleh aturan NSP atau jatuh kembali ke firewall sumber daya.

Memahami mode akses NSP

NSP mendukung dua mode akses: mode transisi dan mode yang diberlakukan. Azure Databricks merekomendasikan agar tetap dalam mode transisi tanpa batas waktu untuk sebagian besar kasus penggunaan.

Mode transisi (disarankan):

  • Mengevaluasi aturan NSP terlebih dahulu, lalu kembali ke aturan firewall sumber daya jika tidak ada aturan NSP yang cocok
  • Memungkinkan Anda menggunakan NSP bersama konfigurasi jaringan yang ada
  • Kompatibel dengan titik akhir layanan, konfigurasi komputasi klasik, dan pola lalu lintas jaringan publik

Mode Penegakan (tidak disarankan untuk sebagian besar pelanggan):

  • Melewati aturan firewall sumber daya, memblokir semua lalu lintas yang tidak cocok dengan aturan NSP. Mode yang diberlakukan tidak hanya memengaruhi Azure Databricks tetapi juga layanan lain yang telah Anda izinkan melalui firewall sumber daya Anda—layanan tersebut harus telah di-onboard ke NSP untuk terus bekerja.
  • Tetap dalam mode transisi jika Anda menggunakan titik akhir layanan untuk menyambungkan ke penyimpanan dari ruang kerja Azure Databricks apa pun.

Peringatan

Tetap dalam mode transisi untuk mempertahankan kompatibilitas dengan penyiapan jaringan yang ada sambil mendapatkan manfaat dari manajemen aturan yang disederhanakan. Lihat Batasan perimeter keamanan jaringan.

Langkah selanjutnya

  • Last updated on