Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As regras de firewall IP do espaço de trabalho permitem que os administradores controlem o acesso ao seu espaço de trabalho Microsoft Fabric, permitindo ligações apenas a partir de endereços IP públicos de confiança. Ao configurar uma simples lista de autorizações, pode evitar que tráfego não autorizado chegue ao seu espaço de trabalho. Esta proteção reduz a exposição à internet pública e acrescenta uma camada extra de proteção para além dos controlos de acesso baseados em identidade e funções.
Este artigo fornece uma visão geral das regras de firewall IP de workspace. Para os passos de configuração, consulte Configurar regras de firewall IP de workspace.
Visão geral do firewall IP ao nível do espaço de trabalho
A estrutura fornece segurança de rede tanto ao nível do tenant como do espaço de trabalho, incluindo o Microsoft Entra Conditional Access, o Private Link ao nível do tenant e o Private Link ao nível do espaço de trabalho. Estas funcionalidades ajudam a garantir o acesso a espaços de trabalho e recursos para os inquilinos. No entanto, quando um espaço de trabalho é exposto sobre endpoints públicos, muitas organizações precisam de um método direto baseado em IP para limitar o acesso. Este método complementa a forte conectividade privada e os controlos baseados em identidade já existentes.
As regras de firewall IP do workspace respondem a esta necessidade permitindo aos administradores definir uma lista de autorização IP diretamente ao nível do workspace. Este método fornece uma forma direta de restringir o acesso de entrada a redes de escritório de confiança, gateways VPN ou intervalos de IP de parceiros. É útil quando o Private Link não é viável ou quando as políticas de identidade sozinhas não fornecem limites suficientes na camada de rede.
As regras de firewall IP do espaço de trabalho funcionam em conjunto com as funcionalidades de segurança existentes do Fabric para fornecer restrições de acesso baseadas em IP. Como operam ao nível do espaço de trabalho, não requerem alterações de configuração a nível de inquilino nem configurações complexas de rede.
Observação
As regras de firewall IP aplicam-se apenas ao tráfego de entrada. Eles não regulam nem restringem as ligações de saída a partir do espaço de trabalho.
Como funcionam as regras de firewall IP ao nível do espaço de trabalho
As regras de firewall IP ao nível do espaço de trabalho restringem o acesso público à internet a um espaço de trabalho, permitindo apenas ligações a partir de endereços IP especificados. Quando configura estas regras, apenas dois tipos de ligações podem chegar ao seu espaço de trabalho:
- Ligações a partir dos endereços IP aprovados listados nas regras do firewall
- Ligações de recursos numa rede virtual aprovada através de endpoints privados de workspace Quando ativas as regras de firewall IP, o Fabric verifica o endereço IP público de cada cliente com a tua lista de permissões configurada antes de conceder acesso aos itens do workspace. Apenas ligações a partir de endereços IP aprovados podem aceder a itens como Lakehouses, Armazéns, atalhos OneLake, Cadernos e Definições de Trabalhos Spark. Todas as outras tentativas de ligação são negadas.
O diagrama seguinte ilustra como funcionam as regras de firewall IP ao nível do espaço de trabalho:
Neste diagrama:
- O Espaço de Trabalho A restringe o acesso público de entrada e só pode ser acedido a partir do Endereço IP permitido B.
- Um utilizador que se liga a partir do Endereço IP A é negado porque o IP não está na lista de autorização.
- Um utilizador que se liga a partir do Endereço IP B ganha acesso porque o IP corresponde às regras de entrada do espaço de trabalho.
Cenários e limitações suportados
Tipos de itens suportados
Utilize regras de firewall IP ao nível do espaço de trabalho para controlar o acesso aos seguintes tipos de itens Fabric:
- Lakehouse, Ponto Final SQL e Atalhos
- Ligações diretas via endpoint OneLake
- Cadernos, Definições de Funções Spark e Ambientes
- Experiências de Aprendizagem Automática e Modelos de Aprendizagem Automática
- Tubulações
- Copiar trabalhos
- Fábricas de Dados Montadas
- Armazéns
- Fluxos de dados Gen2 (CI/CD)
- Bibliotecas de variáveis
- Bases de Dados Espelhadas (Open Mirroring, Cosmos DB)
- Fluxos de eventos
- Casas de eventos
Considerações e limitações
- Todos os tipos de capacidade Fabric, incluindo capacidade de Teste, suportam a funcionalidade de regras de firewall IP ao nível do espaço de trabalho.
- As regras de rede IP suportam apenas endereços IP públicos de internet. Intervalos de endereços IP reservados para redes privadas (conforme definido no RFC 1918) não são suportados. As redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
- Podes configurar até 256 regras de firewall IP por espaço de trabalho.
- Não podes adicionar endereços IP públicos de VMs em redes virtuais com endpoints privados (ao nível do tenant ou workspace) como regras de firewall IP.
- Nomes duplicados de regras não são permitidos, e não são permitidos espaços nos endereços IP.
- Para permitir o tráfego de uma rede local, identifique os endereços IP virados para a internet que a sua rede utiliza. Entre em contato com o administrador da rede para obter assistência.
- Se estiver a usar Azure ExpressRoute a partir das suas instalações, identifique os endereços IP NAT usados para peering Microsoft. Ou o fornecedor de serviços ou o cliente fornece os endereços IP NAT.
- Se endereços IP públicos permitidos incorretos ou em falta tornarem o espaço de trabalho inacessível, use a API para atualizar as regras do firewall IP.
Como as regras de firewall IP interagem com outras definições de segurança de rede
As regras do firewall IP do espaço de trabalho interagem com as definições de segurança da rede do seu inquilino e do espaço de trabalho, como ligações privadas e restrições de acesso público. Compreender estas interações ajuda-te a configurar e usar eficazmente as regras do firewall IP. Esta secção descreve como diferentes configurações de rede afetam a sua capacidade de gerir e aceder a espaços de trabalho com regras de firewall IP.
Configuração de regras de firewall IP para espaço de trabalho
Pode configurar regras de firewall IP do workspace através do portal Fabric apenas se o workspace permitir acesso público. O método de configuração depende das definições ao nível do locatário. Se o acesso público estiver ativado ao nível do inquilino, pode configurar as regras diretamente através do portal. No entanto, se o seu inquilino precisar de uma ligação privada, deve aceder às definições do espaço de trabalho a partir de uma rede ligada através da ligação privada do inquilino.
Independentemente destas restrições, o acesso à API continua disponível. Mesmo com definições restritivas, podes sempre gerir as regras do firewall IP do workspace através da API Fabric usando o endpoint e o caminho de rede apropriados.
A tabela seguinte ilustra como várias combinações de configurações de segurança afetam a sua capacidade de configurar e aceder aos espaços de trabalho do Microsoft Fabric.
Tabela 1: Configuração de regras de firewall IP em vários cenários de rede
Para cada cenário nesta tabela, o utilizador quer aceder às definições do firewall IP do espaço de trabalho, quer através do portal Fabric, quer da API Fabric (operações GET e SET).
| Scenario | Link privado do locatário | Internet pública para inquilinos | Ligação privada do espaço de trabalho e acesso público permitido | Link privado do espaço de trabalho (acesso público bloqueado) | Acesso ao portal das configurações do firewall IP do espaço de trabalho? | Acesso à API para as definições do firewall de IP do espaço de trabalho? |
|---|---|---|---|---|---|---|
| 1 | Yes | Bloqueado | Yes | - | Sim, apenas da rede com ligação privada do arrendatário. | Sim, a partir da rede com ligação privada do arrendatário, usando o api.fabric.microsoft.com ou o FQDN específico de cada arrendatário. |
| 2 | Yes | Bloqueado | Yes | - | Sim, utilizando uma rede com ligação privada de inquilino | Sim, a partir da rede com ligação privada de cliente, usando api.fabric.microsoft.com ou o FQDN específico de cada cliente. |
| 3 | Yes | Bloqueado | - | Yes | Não | Sim, a partir da rede com ligação privada do inquilino, utilizando api.fabric.microsoft.com ou FQDN específico do inquilino |
| 4 | Yes | Permitido | Yes | - | Sim, via internet pública ou rede com ligação privada do inquilino | Sim, usar api.fabric.microsoft.com através da internet pública ou rede com ligação privada do inquilino usando FQDN específico do inquilino |
| 5 | Yes | Permitido | - | Yes | Não | Sim, usar api.fabric.microsoft.com através da internet pública ou rede com ligação privada do inquilino usando FQDN específico do inquilino |
| 6 | Não | N/A | Yes | - | Sim, via internet pública | Sim, usar api.fabric.microsoft.com através da internet pública |
| 7 | Não | N/A | - | Yes | Não | Sim, usar api.fabric.microsoft.com através da internet pública |
| 8 | Yes | Bloqueado | - | - | Sim, a usar rede com ligação privada do inquilino | Sim, a partir da rede com ligação privada de inquilino, usando api.fabric.microsoft.com ou FQDN específico de cada inquilino |
| 9 | Yes | Permitido | - | - | Sim, via internet pública ou rede com ligação privada do inquilino | Sim, usar api.fabric.microsoft.com através da internet pública ou rede com ligação privada do inquilino usando FQDN específico do inquilino |
| 10 | Não | N/A | - | - | Sim, via internet pública | Sim, usar api.fabric.microsoft.com através da internet pública |
Comportamento de acesso com regras de firewall IP
Depois de configurar regras de firewall IP para um espaço de trabalho, apenas ligações a partir de endereços IP na sua lista de autorizações podem aceder ao espaço de trabalho e aos seus itens. Esta restrição aplica-se quer esteja a usar o portal Fabric ou a API do Fabric.
A tabela seguinte mostra como as regras do firewall IP afetam o acesso ao espaço de trabalho quando os pedidos vêm de um endereço IP público permitido. A tabela cobre diferentes configurações de segurança ao nível do tenant e mostra como o acesso difere entre o portal Fabric e a API Fabric. Em qualquer um destes cenários, o espaço de trabalho pode usar apenas regras de firewall IP ou com ligações privadas do espaço de trabalho.
Tabela 2: Comportamento de acesso com regras de firewall IP configuradas
Para cada cenário nesta tabela:
- O espaço de trabalho tem regras de firewall IP configuradas com uma lista de permissão de endereços IP públicos. (Links privados do espaço de trabalho também podem estar em uso, mas não são relevantes para os cenários mostrados.)
- O utilizador tenta aceder ao espaço de trabalho e aos seus itens a partir de um endereço IP permitido nas regras do firewall do espaço de trabalho.
| Configuração de entrada ao nível do locatário | Acesso a partir de | Acesso por portal ao espaço de trabalho e aos itens? | Acesso à API ao espaço de trabalho e aos itens? |
|---|---|---|---|
| Link Privado do Inquilino: Ativado Bloqueio de Acesso Público do Arrendatário: Ativado |
IP permitido | Não | Sim, a usar api.fabric.microsoft.com |
| Link Privado do Inquilino: Ativado Bloqueio de Acesso Público do Locatário: Ativado |
IP permitido | Não | Sim, a usar api.fabric.microsoft.com |
| Link Privado do Inquilino: Ativado Bloquear Acesso Público do Inquilino: Desativado |
IP permitido | Yes | Sim, a usar api.fabric.microsoft.com |
| Link Privado do Inquilino: Ativado Bloqueio do Inquilino ao Acesso Público: Desativado |
IP permitido | Yes | Sim, a usar api.fabric.microsoft.com |
| Link Privado do Inquilino: Desativado | IP permitido | Yes | Sim, a usar api.fabric.microsoft.com |
| Link Privado do Inquilino: Desativado | IP permitido | Yes | Sim, a usar api.fabric.microsoft.com |
Próximos passos
- Para aprender a configurar regras de firewall IP de workspace, veja Configurar regras de firewall IP de workspace.
- Para compreender como as funcionalidades de proteção de entrada funcionam em conjunto, veja Proteção de rede de entrada no Microsoft Fabric.