Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As regras de firewall de IP do workspace permitem que os administradores do workspace controlem o acesso ao workspace do Microsoft Fabric, permitindo conexões somente de endereços IP públicos confiáveis. Ao configurar uma lista de permissões simples, você pode impedir que o tráfego não autorizado chegue ao seu workspace. Essa proteção reduz a exposição à Internet pública e adiciona uma camada extra de proteção sobre controles de acesso baseados em função e identidade.
Este artigo fornece uma visão geral das regras de firewall de IP do workspace. Para obter etapas de configuração, consulte Configurar regras de firewall IP do espaço de trabalho.
Visão geral do firewall de IP no nível do workspace
Fabric fornece segurança de rede nos níveis de inquilino e ambiente de trabalho, incluindo o acesso condicional do Microsoft Entra, o Link Privado a nível de inquilino e o Link Privado a nível de ambiente de trabalho. Esses recursos ajudam a proteger o acesso a espaços de trabalho e recursos de locatário. No entanto, quando um espaço de trabalho é exposto em pontos de extremidade públicos, muitas organizações precisam de um método simples baseado em IP para limitar o acesso. Esse método complementa a conectividade privada forte e os controles baseados em identidade já em vigor.
As regras de firewall de IP do workspace resolvem essa necessidade, permitindo que os administradores definam uma lista de permissões de IP diretamente no nível do workspace. Esse método fornece uma maneira simples de restringir o acesso de entrada a redes de escritório confiáveis, gateways de VPN ou intervalos de IP de parceiros. É útil quando o Link Privado não é viável ou quando as políticas de identidade por si só não fornecem limites de camada de rede suficientes.
As regras de firewall de IP do workspace funcionam junto com os recursos de segurança existentes do Fabric para fornecer restrições de acesso baseadas em IP. Como eles operam no nível do ambiente de trabalho, eles não exigem alterações de configuração em nível de instância nem configuram redes complexas.
Observação
As regras de firewall de IP se aplicam somente ao tráfego de entrada. Eles não regulamentam nem restringem conexões de saída do workspace.
Como funcionam as regras de firewall de IP no nível do workspace
As regras de firewall de IP no nível do workspace restringem o acesso público à Internet a um workspace, permitindo apenas conexões de endereços IP especificados. Quando você configura essas regras, apenas dois tipos de conexões podem acessar seu workspace:
- Conexões dos endereços IP aprovados listados nas regras de seu firewall.
- Conexões de recursos em uma rede virtual aprovada por meio de pontos de extremidade privados do espaço de trabalho Quando você habilita regras de firewall de IP, o Fabric verifica o endereço IP público de cada cliente em relação à lista de autorização configurada antes de conceder acesso aos itens do espaço de trabalho. Somente conexões provenientes de endereços IP aprovados podem acessar itens como Lakehouses, Warehouses, atalhos do OneLake, Notebooks e Definições de Tarefa do Spark. Todas as outras tentativas de conexão são negadas.
O diagrama a seguir ilustra como funcionam as regras de firewall de IP no nível do workspace:
Neste diagrama:
- O workspace A restringe o acesso público de entrada e só pode ser acessado do endereço IP B permitido.
- Um usuário que se conecta do endereço IP A é negado porque o IP não está na lista de permissões.
- Um usuário que se conecta do endereço IP B obtém acesso porque o IP corresponde às regras de entrada do workspace.
Cenários e limitações com suporte
Tipos de itens suportados
Use regras de firewall de IP no nível do workspace para controlar o acesso aos seguintes tipos de item do Fabric:
- Lakehouse, Ponto de Extremidade SQL e Atalhos
- Conexões diretas via endpoint do OneLake
- Notebooks, definições de trabalho do Spark e ambientes
- Experimentos de Machine Learning e modelos de machine learning
- Pipelines
- Copiar trabalhos
- Fábricas de Dados Montadas
- Depósitos
- Fluxos de dados Gen2 (CI/CD)
- Bibliotecas de variáveis
- Bancos de dados espelhados (Espelhamento Aberto, Cosmos DB)
- Fluxos de eventos
- Casas de eventos
Considerações e limitações
- Todos os tipos de capacidade do Fabric, incluindo a capacidade de avaliação, dão suporte ao recurso de regras de firewall de IP no nível do espaço de trabalho.
- As regras de rede IP só dão suporte a endereços IP públicos da Internet. Não há suporte para intervalos de endereços IP reservados para redes privadas (conforme definido no RFC 1918). Redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
- Você pode configurar até 256 regras de firewall de IP por workspace.
- Você não pode adicionar endereços IP públicos de VMs em redes virtuais que tenham pontos de extremidade privados como regras de firewall de IP, seja no nível do inquilino ou do workspace.
- Nomes de regra duplicados não são permitidos e espaços não são permitidos em endereços IP.
- Para habilitar o tráfego de uma rede local, identifique os endereços IP voltados para a Internet que sua rede usa. Entre em contato com o administrador de rede para obter assistência.
- Se você estiver usando o Azure ExpressRoute a partir de suas instalações, identifique os endereços IP NAT usados para pareamento com a Microsoft. O provedor de serviços ou o cliente fornece os endereços IP nat.
- Se os endereços IP públicos permitidos incorretos ou ausentes tornarem o workspace inacessível, use a API para atualizar as regras de firewall de IP.
Como as regras de firewall de IP interagem com outras configurações de segurança de rede
As regras de firewall de IP do workspace interagem com as configurações de segurança de rede de locatário e workspace existentes, como links privados e restrições de acesso público. Entender essas interações ajuda você a configurar e usar regras de firewall de IP efetivamente. Esta seção descreve como diferentes configurações de rede afetam sua capacidade de gerenciar e acessar workspaces com regras de firewall de IP.
Configurando regras de firewall de IP do workspace
Você pode configurar regras de firewall de IP do workspace por meio do portal do Fabric somente se o workspace permitir acesso público. O método de configuração depende das configurações no nível do locatário. Se o acesso público estiver habilitado no nível do locatário, você poderá configurar as regras diretamente por meio do portal. No entanto, se o inquilino exigir um link privado, você deverá acessar as configurações do espaço de trabalho por meio de uma rede conectada ao link privado do inquilino.
Independentemente dessas restrições, o acesso à API permanece disponível. Mesmo com configurações restritivas, você sempre pode gerenciar regras de firewall de IP do workspace por meio da API do Fabric usando o ponto de extremidade e o caminho de rede apropriados.
A tabela a seguir ilustra como várias combinações de configurações de segurança afetam sua capacidade de configurar e acessar workspaces do Microsoft Fabric.
Tabela 1: Configurando regras de firewall de IP em vários cenários de rede
Para cada cenário nesta tabela, o usuário deseja acessar as configurações de firewall de IP para o workspace por meio do portal do Fabric ou da API do Fabric (operações GET e SET).
| Scenario | Link privado do locatário | Internet pública do locatário | Link privado do workspace e acesso público permitido | Link privado do workspace (acesso público bloqueado) | Acesso ao portal para configurações de firewall IP do workspace? | Acesso à API às configurações de firewall de IP do espaço de trabalho? |
|---|---|---|---|---|---|---|
| 1 | Yes | Blocked | Yes | - | Sim, somente na rede com link privado de locatário | Sim, da rede com o link privado do locatário, usando a api.fabric.microsoft.com ou o FQDN específico do locatário. |
| 2 | Yes | Blocked | Yes | - | Sim, usando a rede com o link privado do locatário | Sim, a partir da rede com um link privado do locatário usando api.fabric.microsoft.com ou FQDN específico do locatário |
| 3 | Yes | Blocked | - | Yes | Não | Sim, pela rede com link privado do locatário usando api.fabric.microsoft.com ou um FQDN específico do locatário |
| 4 | Yes | Permitido | Yes | - | Sim, via Internet pública ou rede com link privado de locatário | Sim, usando api.fabric.microsoft.com pela Internet pública ou rede com link privado de locatário, usando FQDN específico do locatário |
| 5 | Yes | Permitido | - | Yes | Não | Sim, usando api.fabric.microsoft.com pela Internet pública ou rede com link privado de inquilino usando FQDN específico do inquilino. |
| 6 | Não | N/A | Yes | - | Sim, via Internet pública | Sim, usando api.fabric.microsoft.com pela Internet pública |
| 7 | Não | N/A | - | Yes | Não | Sim, usando api.fabric.microsoft.com pela Internet pública |
| 8 | Yes | Blocked | - | - | Sim, usando a rede com o link privado do locatário | Sim, a partir da rede com link privado de locatário usando api.fabric.microsoft.com ou FQDN específico do locatário |
| 9 | Yes | Permitido | - | - | Sim, via Internet pública ou rede com link privado de locatário | Sim, usando api.fabric.microsoft.com pela Internet pública ou rede com link privado de inquilino, usando FQDN específico do inquilino. |
| 10 | Não | N/A | - | - | Sim, via Internet pública | Sim, usando api.fabric.microsoft.com pela Internet pública |
Comportamento de acesso com regras de firewall de IP
Depois de configurar regras de firewall de IP para uma área de trabalho, somente as conexões de endereços IP em sua lista de liberação poderão acessar a área de trabalho e seus itens. Essa restrição se aplica se você estiver usando o portal do Fabric ou a API do Fabric.
A tabela a seguir mostra como as regras de firewall de IP afetam o acesso ao workspace quando as solicitações vêm de um endereço IP público permitido. A tabela aborda diferentes configurações de segurança no nível do locatário e mostra como o acesso difere entre o portal do Fabric e a API do Fabric. Em qualquer um desses cenários, o ambiente de trabalho pode usar regras de firewall de IP sozinhas ou com links privados do ambiente de trabalho.
Tabela 2: Comportamento de acesso com regras de firewall de IP configuradas
Para cada cenário nesta tabela:
- O workspace tem regras de firewall de IP configuradas com uma lista de permissões de endereços IP públicos. (Os links privados do workspace também podem estar em uso, mas não são relevantes para os cenários mostrados.)
- O usuário tenta acessar o espaço de trabalho e seus itens a partir de um endereço IP permitido nas regras de firewall do espaço de trabalho.
| Configuração de entrada no nível do inquilino | Acesso de | Acesso ao workspace e itens pelo portal? | Acesso à API ao workspace e aos itens? |
|---|---|---|---|
| Link Privado do Locatário: Habilitado Bloqueio de Acesso Público do Arrendatário: Habilitado |
IP permitido | Não | Sim, usando api.fabric.microsoft.com |
| Link Privado do Locatário: Habilitado Acesso público do bloco de locatário: habilitado |
IP permitido | Não | Sim, usando api.fabric.microsoft.com |
| Link Privado do Locatário: Habilitado Acesso público do bloco de locatário: desabilitado |
IP permitido | Yes | Sim, usando api.fabric.microsoft.com |
| Link Privado do Locatário: Habilitado Acesso público do bloco de locatário: desabilitado |
IP permitido | Yes | Sim, usando api.fabric.microsoft.com |
| Link Privado do Locatário: Desabilitado | IP permitido | Yes | Sim, usando api.fabric.microsoft.com |
| Link Privado do Locatário: Desabilitado | IP permitido | Yes | Sim, usando api.fabric.microsoft.com |
Próximas etapas
- Para saber como configurar regras de firewall de IP do workspace, consulte Configurar regras de firewall de IP do workspace.
- Para entender como os recursos de proteção de entrada funcionam juntos, consulte a proteção de rede de entrada no Microsoft Fabric.