Condividi tramite

Configurare un perimetro di sicurezza di rete Azure per le risorse di Azure

Questa pagina descrive come configurare Azure Network Security Perimeter (NSP) per controllare l'accesso dal calcolo serverless alle risorse di Azure usando il portale di Azure.

Panoramica del perimetro di sicurezza di rete per le risorse di Azure

Il perimetro di sicurezza della rete di Azure (NSP) è una funzionalità nativa di Azure che crea un limite di isolamento logico per i servizi PaaS. Associando risorse come account di archiviazione o database a un NSP, è possibile gestire centralmente l'accesso alla rete usando un set di regole semplificato. Ciò sostituisce la necessità di gestire manualmente elenchi complessi di singoli indirizzi IP o ID subnet.

NSP supporta l'accesso da data warehouse SQL serverless, processi, notebook, pipeline dichiarative Lakeflow Spark e endpoint di servitù modello.

Vantaggi principali

L'uso di NSP per il traffico in uscita serverless di Azure Databricks migliora l'assetto di sicurezza riducendo in modo significativo il sovraccarico operativo.

Beneficio Description
Risparmio sui costi Il traffico inviato sugli endpoint di servizio rimane sul backbone Azure e non comporta alcun addebito per l'elaborazione dei dati.
Gestione semplificata Il tag del servizio AzureDatabricksServerless è globale e copre tutte le aree Azure Databricks. Includono sia indirizzi IP speciali che rappresentano gli endpoint di servizio, sia gli IP NAT di Azure Databricks. Tutte le comunicazioni tra Azure Databricks e le risorse di Azure vengono instradate sul backbone Azure. Per limitare l'accesso agli indirizzi IP in un'area specifica, aggiungere il nome dell'area al tag del servizio, ad esempio . AzureDatabricksServerless.EastUS2 Per l'elenco completo delle aree di Azure supportate, vedere Azure Databricks regions.
Controllo di accesso centralizzato Gestisci le politiche di sicurezza per diversi tipi di risorse, tra cui archiviazione, archivi di chiavi e database, all'interno di un singolo profilo NSP.

Servizi di Azure supportati

Il tag del servizio AzureDatabricksServerless è supportato per l'uso nelle regole di accesso in ingresso NSP per i servizi di Azure seguenti:

  • Archiviazione di Azure (incluso ADLS Gen2)
  • database SQL di Azure
  • Azure Cosmos DB
  • Azure Key Vault

Requisiti

  • È necessario essere un amministratore dell'account Azure Databricks.
  • È necessario disporre delle autorizzazioni collaboratore o proprietario per la risorsa Azure da configurare.
  • È necessario disporre dell'autorizzazione per creare risorse perimetrali di sicurezza di rete nella sottoscrizione Azure.
  • L'area di lavoro Azure Databricks e le risorse Azure devono trovarsi nella stessa area Azure per ottenere prestazioni ottimali ed evitare addebiti per il trasferimento dei dati tra aree.

Passaggio 1: Creare un perimetro di sicurezza di rete e prendere nota dell'ID profilo

  1. Accedere al portale Azure.

  2. Nella casella di ricerca nella parte superiore digitare i perimetri di sicurezza di rete e selezionarlo nei risultati.

  3. Fare clic su + Crea.

  4. Nella scheda Informazioni di base immettere le informazioni seguenti:

    • Subscription: selezionare la sottoscrizione Azure.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
    • Nome: immettere un nome per il provider di servizi di rete, ad esempio databricks-nsp.
    • Area: selezionare l'area per il provider di servizi di rete. Deve corrispondere all'area dell'area di lavoro Azure Databricks e all'area delle risorse Azure.
    • Nome profilo: immettere un nome di profilo, ad esempio databricks-profile.

  5. Clicca su Rivedi e crea, quindi Crea.

  6. Dopo aver creato l'NSP, accedervi tramite il portale di Azure.

  7. Nella barra laterale sinistra, vai a Impostazioni>Profili.

  8. Creare o selezionare il profilo , ad esempio databricks-profile.

  9. Copiare l'ID risorsa per il profilo. Questo ID sarà necessario se si prevede di associare le risorse a livello di codice.

    Suggerimento

    Salvare l'ID profilo in una posizione sicura. Sarà necessario in un secondo momento se si vogliono associare le risorse usando l'API o l'interfaccia della riga di comando di Azure anziché la portale di Azure.

Passaggio 2: Associare la risorsa a NSP in modalità di transizione

È necessario associare ogni risorsa Azure a cui si vuole accedere dal calcolo serverless di Azure Databricks al profilo NSP. Questo esempio illustra come associare un account Archiviazione di Azure, ma gli stessi passaggi si applicano ad altre risorse Azure.

  1. Passare al perimetro di sicurezza della rete nel portale di Azure.
  2. Nella barra laterale sinistra passare a Risorse in Impostazioni.
  3. Fare clic su + Aggiungi>associa risorse a un profilo esistente.
  4. Selezionare il profilo creato nel passaggio 1 , ad esempio databricks-profile.
  5. Fare clic su Associa.
  6. Nel riquadro di selezione delle risorse filtrare in base al tipo di risorsa. Ad esempio, per associare un account Azure Data Lake Storage Gen2, filtrare in base a Microsoft.Storage/storageAccounts.
  7. Selezionare le risorse dall'elenco.
  8. Fare clic su Associa nella parte inferiore del riquadro.

Verificare la modalità di transizione:

  1. In NSP, vai a Impostazioni>Risorse (o Risorse associate).
  2. Individua l'account di archiviazione nell'elenco.
  3. Verificare che la colonna Modalità di accesso mostri Transizione. Questa è la modalità predefinita.

Annotazioni

La modalità di transizione valuta prima le regole NSP. Se nessuna regola NSP corrisponde alla richiesta entrante, il sistema ricorre alle regole del firewall esistenti della risorsa. In questo modo è possibile testare la configurazione del provider di servizi di rete senza interrompere i modelli di accesso esistenti.

Passaggio 3: Aggiungere una regola di accesso in ingresso per l'elaborazione serverless di Azure Databricks

È necessario creare una regola di accesso in ingresso nel profilo NSP per consentire il traffico dal calcolo senza server di Azure Databricks alle risorse di Azure.

  1. Vai al perimetro di sicurezza della rete nel portale di Azure.
  2. Nella barra laterale sinistra, vai a Impostazioni>Profili.
  3. Seleziona il profilo, ad esempio databricks-profile.
  4. In Impostazioni fare clic su Regole di accesso in ingresso.
  5. Fare clic su + Aggiungi.
  6. Configurare la regola:
    • Nome regola: immettere un nome descrittivo, ad esempio allow-databricks-serverless.
    • Tipo di origine: selezionare Tag del servizio.
    • Origini consentite: selezionare AzureDatabricksServerless.
  7. Fare clic su Aggiungi.

Suggerimento

Il tag del servizio AzureDatabricksServerless copre tutti gli INDIRIZZI IP in uscita Azure Databricks, inclusi gli INDIRIZZI IP dell'endpoint di servizio e gli INDIRIZZI NAT, con tutte le comunicazioni indirizzate sul backbone Azure. Poiché il tag viene aggiornato automaticamente, non sarà necessario gestire manualmente gli indirizzi IP o aggiornare le regole quando Azure Databricks aggiunge nuovi intervalli IP.

Passaggio 4: Verificare la configurazione

Dopo aver configurato il provider dei servizi di rete, verificare che Azure Databricks di elaborazione senza server possa accedere alla risorsa Azure e monitorare l'attività NSP.

Testare l'accesso dall'ambiente di calcolo serverless

  1. Vai alla tua risorsa Azure nel portale di Azure.

  2. Passare a Sicurezza e rete>.

  3. Verificare che la risorsa mostri un'associazione con il perimetro di sicurezza della rete.

  4. Verificare che lo stato mostri la modalità di transizione.

  5. Visualizza le regole in ingresso associate al profilo per verificare che la regola AzureDatabricksServerless sia elencata.

  6. Nell'area di lavoro Azure Databricks eseguire una query di test per verificare che l'ambiente di calcolo serverless possa accedere alla risorsa. Ad esempio, per testare l'accesso a un account di archiviazione di ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Se la query ha esito positivo, la configurazione del provider di servizi di rete funziona correttamente.

Monitorare l'attività NSP

Per monitorare i tentativi di accesso consentiti o negati dalle regole NSP:

  1. Vai alla risorsa Azure nel portale di Azure.
  2. Passare a Monitoraggio>delle impostazioni di diagnostica.
  3. Fare clic su + Aggiungi impostazione di diagnostica.
  4. Selezionare le categorie di log da monitorare. Per gli account Archiviazione di Azure, selezionare:
    • StorageRead
    • StorageWrite
  5. Scegliere una destinazione:
    • area di lavoro Log Analytics (consigliata per l'esecuzione di query e l'analisi)
    • Account di archiviazione (per l'archiviazione a lungo termine)
    • Hub eventi (per lo streaming in sistemi esterni)
  6. Fare clic su Salva.

Suggerimento

I log di diagnostica mostrano quali tentativi di accesso corrispondono alle regole NSP rispetto alle regole del firewall delle risorse. Ciò consente di convalidare la configurazione prima di passare alla modalità applicata. In modalità di transizione, i log indicano se ogni richiesta è stata consentita da una regola NSP o se è stato eseguito il fallback al firewall delle risorse.

Informazioni sulle modalità di accesso NSP

Il provider di servizi di rete supporta due modalità di accesso: modalità di transizione e modalità applicata. Azure Databricks consiglia di rimanere in modalità di transizione illimitata per la maggior parte dei casi d'uso.

Modalità di transizione (scelta consigliata):

  • Valuta prima le regole NSP, quindi ripiega sulle regole firewall delle risorse se nessuna regola NSP corrisponde.
  • Consente di usare NSP insieme alle configurazioni di rete esistenti
  • Compatibile con endpoint di servizio, configurazioni di calcolo classiche e modelli di accesso pubblico

Modalità forzata (non consigliata per la maggior parte dei clienti):

  • Ignora le regole del firewall delle risorse, bloccando tutti gli accessi che non corrispondono a una regola NSP. Ciò influisce non solo sui Azure Databricks ma anche su tutti gli altri servizi consentiti tramite il firewall delle risorse. Tali servizi devono essere stati caricati in NSP per continuare a funzionare.
  • Rimanere in modalità di transizione se si usano gli endpoint di servizio per accedere all'archiviazione da qualsiasi area di lavoro Azure Databricks.

Avvertimento

Rimanere in modalità di transizione per mantenere la compatibilità con la configurazione di rete esistente, sfruttando al contempo la gestione semplificata delle regole. Vedere Limitazioni del perimetro di sicurezza di rete.

Passaggi successivi

  • Last updated on