Condividi tramite

Configurare un perimetro di sicurezza di rete di Azure per le risorse di Azure

Questa pagina descrive come configurare il perimetro di sicurezza di rete di Azure per controllare l'accesso dal calcolo serverless alle risorse di Azure usando il portale di Azure.

Panoramica del perimetro di sicurezza di rete per le risorse di Azure

Il perimetro di sicurezza di rete di Azure è una funzionalità nativa di Azure che crea un limite di isolamento logico per le risorse PaaS. Associando risorse come account di archiviazione o database a un NSP, è possibile gestire centralmente l'accesso alla rete usando un set di regole semplificato. Ciò sostituisce la necessità di gestire manualmente elenchi complessi di singoli indirizzi IP o ID subnet.

NSP supporta l'accesso da data warehouse SQL serverless, processi, notebook, pipeline dichiarative Lakeflow Spark e endpoint di servitù modello.

Vantaggi principali

L'uso di NSP per il traffico in uscita serverless di Azure Databricks migliora la postura di sicurezza riducendo in modo significativo il sovraccarico operativo.

Beneficio Description
Risparmio sui costi Il traffico inviato sugli endpoint di servizio rimane sul backbone di Azure e non comporta alcun addebito per l'elaborazione dei dati.
Gestione semplificata Usare il tag AzureDatabricksServerless del servizio per gestire l'accesso a livello globale. Per limitare l'accesso alle risorse di calcolo serverless in un'area di Azure specifica, aggiungere il nome dell'area al tag del servizio, AzureDatabricksServerless.EastUS2ad esempio . Per l'elenco completo delle aree di Azure supportate, vedere Aree di Azure Databricks.
Controllo di accesso centralizzato Gestisci le politiche di sicurezza per diversi tipi di risorse, tra cui archiviazione, archivi di chiavi e database, all'interno di un singolo profilo NSP.

Supporto del servizio ampliato

Connettere in modo sicuro il calcolo serverless a un'ampia gamma di servizi di Azure:

  • Dati e analisi: Archiviazione di Azure (incluso ADLS Gen2), database SQL di Azure, Synapse Analytics, Cosmos DB e MariaDB
  • Sicurezza e app: Key Vault, Servizio app e Servizi cognitivi
  • Messaggistica e DevOps: Hub eventi, bus di servizio e Registro Contenitori

Requisiti

  • È necessario essere un amministratore dell'account in Azure Databricks.
  • È necessario disporre delle autorizzazioni collaboratore o proprietario per la risorsa di Azure da configurare.
  • È necessario disporre dell'autorizzazione per creare risorse perimetrali di sicurezza di rete nella sottoscrizione di Azure.
  • L'area di lavoro di Azure Databricks e le risorse di Azure devono trovarsi nella stessa area di Azure per ottenere prestazioni ottimali ed evitare addebiti per il trasferimento dei dati tra aree.

Passaggio 1: Creare un perimetro di sicurezza di rete e prendere nota dell'ID profilo

  1. Accedi al portale di Azure.

  2. Nella casella di ricerca nella parte superiore digitare i perimetri di sicurezza di rete e selezionarlo nei risultati.

  3. Fare clic su + Crea.

  4. Nella scheda Informazioni di base immettere le informazioni seguenti:

    • Sottoscrizione: selezionare una sottoscrizione di Azure.
    • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
    • Nome: immettere un nome per il provider di servizi di rete, ad esempio databricks-nsp.
    • Area: selezionare l'area per il provider di servizi di rete. Deve corrispondere all'area dell'area di lavoro di Azure Databricks e all'area delle risorse di Azure.
    • Nome profilo: immettere un nome di profilo, ad esempio databricks-profile.

  5. Clicca su Rivedi e crea, quindi Crea.

  6. Dopo aver creato il Network Security Provider, accedere al portale di Azure.

  7. Nella barra laterale sinistra, vai a Impostazioni>Profili.

  8. Creare o selezionare il profilo , ad esempio databricks-profile.

  9. Copiare l'ID risorsa per il profilo. Questo ID sarà necessario se si prevede di associare le risorse a livello di codice.

    Suggerimento

    Salvare l'ID profilo in una posizione sicura. Sarà necessario in un secondo momento se si vogliono associare risorse usando l'interfaccia della riga di comando di Azure o l'API anziché il portale di Azure.

Passaggio 2: Associare la risorsa a NSP in modalità transizione

È necessario associare ogni risorsa di Azure a cui si vuole accedere dal calcolo serverless di Azure Databricks al profilo NSP. Questo esempio illustra come associare un account di archiviazione di Azure, ma gli stessi passaggi si applicano ad altre risorse di Azure.

  1. Accedi al perimetro di sicurezza di rete nel portale di Azure.
  2. Nella barra laterale sinistra passare a Risorse in Impostazioni.
  3. Fare clic su + Aggiungi>associa risorse a un profilo esistente.
  4. Selezionare il profilo creato nel passaggio 1 , ad esempio databricks-profile.
  5. Fare clic su Associa.
  6. Nel riquadro di selezione delle risorse filtrare in base al tipo di risorsa. Ad esempio, per associare un account Azure Data Lake Storage Gen2, filtrare in base a Microsoft.Storage/storageAccounts.
  7. Selezionare le risorse dall'elenco.
  8. Fare clic su Associa nella parte inferiore del riquadro.

Verificare la modalità di transizione:

  1. In NSP, vai a Impostazioni>Risorse (o Risorse associate).
  2. Individua l'account di archiviazione nell'elenco.
  3. Verificare che la colonna Modalità di accesso mostri Transizione. Questa è la modalità predefinita.

Annotazioni

La modalità di transizione valuta prima le regole NSP. Se nessuna regola NSP corrisponde alla richiesta entrante, il sistema ricorre alle regole del firewall esistenti della risorsa. In questo modo è possibile testare la configurazione del provider di servizi di rete senza interrompere i modelli di accesso esistenti.

Passaggio 3: Aggiungere una regola di accesso in ingresso per l'ambiente di calcolo serverless di Azure Databricks

È necessario creare una regola di accesso in ingresso nel profilo NSP per consentire il traffico dal calcolo serverless di Azure Databricks alle risorse di Azure.

  1. Accedere al perimetro di sicurezza della rete nel portale di Azure.
  2. Nella barra laterale sinistra, passare a Impostazioni>Profili.
  3. Seleziona il profilo, ad esempio databricks-profile.
  4. In Impostazioni fare clic su Regole di accesso in ingresso.
  5. Fare clic su + Aggiungi.
  6. Configurare la regola:
    • Nome regola: immettere un nome descrittivo, ad esempio allow-databricks-serverless.
    • Tipo di origine: selezionare Tag del servizio.
    • Origini consentite: selezionare AzureDatabricksServerless.
  7. Fare clic su Aggiungi.

Suggerimento

Il tag servizio AzureDatabricksServerless copre automaticamente tutti gli intervalli IP di calcolo serverless di Azure Databricks in tutte le aree di Azure. Non è necessario gestire manualmente gli indirizzi IP o aggiornare le regole quando Azure Databricks aggiunge nuovi intervalli IP.

Passaggio 4: Verificare la configurazione

Dopo aver configurato il NSP, verificare che l'ambiente di calcolo serverless di Azure Databricks possa accedere alla risorsa di Azure e monitorare l'attività del NSP.

Testare l'accesso dall'ambiente di calcolo serverless

  1. Accedere alla risorsa di Azure nel portale di Azure.

  2. Passare a Sicurezza e rete>.

  3. Verificare che la risorsa mostri un'associazione con il perimetro di sicurezza della rete.

  4. Verificare che lo stato mostri la modalità di transizione.

  5. Visualizza le regole in ingresso associate al profilo per verificare che la regola AzureDatabricksServerless sia elencata.

  6. Nell'area di lavoro di Azure Databricks eseguire una query di test per verificare che l'ambiente di calcolo serverless possa accedere alla risorsa. Ad esempio, per testare l'accesso a un account di archiviazione di ADLS Gen2:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Se la query ha esito positivo, la configurazione del provider di servizi di rete funziona correttamente.

Monitorare l'attività NSP

Per monitorare i tentativi di accesso consentiti o negati dalle regole NSP:

  1. Accedi alla tua risorsa di Azure nel portale di Azure.
  2. Passare a Monitoraggio>delle impostazioni di diagnostica.
  3. Fare clic su + Aggiungi impostazione di diagnostica.
  4. Selezionare le categorie di log da monitorare. Per gli account di archiviazione di Azure selezionare:
    • StorageRead
    • StorageWrite
  5. Scegliere una destinazione:
    • Area di lavoro Log Analytics (consigliata per l'esecuzione di query e l'analisi)
    • Account di archiviazione (per l'archiviazione a lungo termine)
    • Hub eventi (per lo streaming in sistemi esterni)
  6. Fare clic su Salva.

Suggerimento

I log di diagnostica mostrano quali tentativi di accesso corrispondono alle regole NSP rispetto alle regole del firewall delle risorse. Ciò consente di convalidare la configurazione prima di passare alla modalità vincolante. In modalità transizione, i log indicano se ogni richiesta è stata consentita da una regola NSP o se è stato eseguito il ripiegamento al firewall delle risorse.

Passare alla modalità di applicazione forzata (facoltativo)

Dopo aver testato accuratamente la configurazione della piattaforma di sicurezza di rete in modalità di transizione e aver verificato che tutti i modelli di accesso previsti funzionino correttamente, è possibile passare alla modalità applicativa per una sicurezza più rigorosa.

  1. Passa al perimetro di sicurezza di rete nel portale di Azure.
  2. Passare a Impostazioni>Risorse.
  3. Selezionare la risorsa dall'elenco.
  4. Modificare la modalità di accesso da Transizione a Imposta.
  5. Fare clic su Salva.

Avvertimento

La modalità applicata applica rigorosamente solo le regole NSP. I tentativi di accesso che non corrispondono a una regola NSP verranno negati, anche se le regole del firewall della risorsa potrebbero consentirle. Passare alla modalità Applicata solo dopo aver verificato che tutti i modelli di accesso necessari funzionino correttamente in modalità Transizione. Esaminare i log di diagnostica per assicurarsi che non venga bloccato alcun traffico legittimo.

Passaggi successivi

  • Last updated on