Dela via

Konfigurera en Azure-nätverkssäkerhetsperimeter för Azure-resurser

På den här sidan beskrivs hur du konfigurerar Azure Network Security Perimeter (NSP) för att styra åtkomsten från serverlös beräkning till dina Azure-resurser med hjälp av Azure-portalen.

Översikt över nätverkssäkerhetsperimeter för Azure-resurser

Azure Network Security Perimeter (NSP) är en Azure-inbyggd funktion som skapar en logisk isoleringsgräns för dina PaaS-resurser. Genom att associera resurser som lagringskonton eller databaser med en NSP kan du centralt hantera nätverksåtkomst med hjälp av en förenklad regeluppsättning. Detta ersätter behovet av att manuellt hantera komplexa listor över enskilda IP-adresser eller undernäts-ID:er.

NSP stöder åtkomst från serverlösa SQL-lager, jobb, notebook-filer, Lakeflow Spark deklarativa pipelines och modellserveringsslutpunkter.

Viktiga fördelar

Användning av NSP för Azure Azure Databricks serverlös utgående trafik förbättrar din säkerhetsstatus samtidigt som driftkostnaderna minskar avsevärt:

Förmån Description
Kostnadsbesparingar Trafik som skickas via tjänstslutpunkter ligger kvar på Azure-stamnätet och medför inga avgifter för databearbetning.
Förenklad hantering AzureDatabricksServerless Använd tjänsttaggen för att hantera åtkomst globalt. Om du vill begränsa åtkomsten till serverlös beräkning i en specifik Azure-region lägger du till regionnamnet i tjänsttaggen, till exempel AzureDatabricksServerless.EastUS2. En fullständig lista över Azure-regioner som stöds finns i Azure Databricks-regioner.
Centraliserad åtkomstkontroll Hantera säkerhetsprinciper för flera resurstyper, inklusive lagring, nyckelvalv och databaser, i en enda NSP-profil.

Utökad tjänstsupport

Anslut serverlös beräkning på ett säkert sätt till ett brett utbud av Azure-tjänster:

  • Data och analys: Azure Storage (inklusive ADLS Gen2), Azure SQL Database, Synapse Analytics, Cosmos DB och MariaDB
  • Säkerhet och appar: Key Vault, App Service och Cognitive Services
  • Meddelanden och DevOps: Event Hubs, Service Bus och Containerregister

Kravspecifikation

  • Du måste vara administratör för Azure Databricks-kontot.
  • Du måste ha behörigheten Deltagare eller Ägare för den Azure-resurs som du vill konfigurera.
  • Du måste ha behörighet att skapa resurser för nätverkssäkerhetsperimeter i din Azure-prenumeration.
  • Din Azure Databricks-arbetsyta och Azure-resurser bör finnas i samma Azure-region för optimala prestanda och för att undvika avgifter för dataöverföring mellan regioner.

Steg 1: Skapa en nätverkssäkerhetsperimeter och notera profil-ID:t

  1. Logga in på Azure-portalen.

  2. I sökrutan längst upp skriver du Nätverkssäkerhetsperimeter och väljer den i resultatet.

  3. Klicka på + Skapa.

  4. På fliken Grundläggande anger du följande information:

    • Prenumeration: Välj din Azure-prenumeration.
    • Resursgrupp: Välj en befintlig resursgrupp eller skapa en ny.
    • Namn: Ange ett namn för din NSP (till exempel databricks-nsp).
    • Region: Välj region för din NSP. Detta bör matcha din Azure Databricks-arbetsyta och regionen för dina Azure-resurser.
    • Profilnamn: Ange ett profilnamn (till exempel databricks-profile).

  5. Klicka på Granska + skapaoch sedan Skapa.

  6. När NSP har skapats navigerar du till den i Azure-portalen.

  7. I det vänstra sidofältet går du till Inställningar>profiler.

  8. Skapa eller välj din profil (till exempel databricks-profile).

  9. Kopiera resurs-ID :t för profilen. Du behöver det här ID:t om du planerar att associera resurser programmatiskt.

    Tips/Råd

    Spara profil-ID:t på en säker plats. Du behöver det senare om du vill associera resurser med hjälp av Azure CLI eller API:et i stället för Azure-portalen.

Steg 2: Associera resursen med NSP i övergångsläge

Du måste associera varje Azure-resurs som du vill komma åt från serverlös beräkning i Azure Databricks med din NSP-profil. Det här exemplet visar hur du associerar ett Azure Storage-konto, men samma steg gäller för andra Azure-resurser.

  1. Gå till nätverkssäkerhetsperimetern i Azure-portalen.
  2. I det vänstra sidofältet går du till Resurser under Inställningar.
  3. Klicka på + Lägg till>Associera resurser med en befintlig profil.
  4. Välj den profil som du skapade i steg 1 (till exempel databricks-profile).
  5. Klicka på Associera.
  6. I fönstret för resursval filtrerar du efter resurstyp. Om du till exempel vill associera ett Azure Data Lake Storage Gen2-konto filtrerar du Microsoft.Storage/storageAccountsefter .
  7. Välj dina resurser i listan.
  8. Klicka på Associera längst ned i fönstret.

Kontrollera övergångsläge:

  1. I NSP går du till Inställningsresurser> (eller Associerade resurser).
  2. Leta upp ditt lagringskonto i listan.
  3. Kontrollera att kolumnen Åtkomstläge visar Övergång. Det här är standardläget.

Anmärkning

Övergångsläget utvärderar NSP-regler först. Om ingen NSP-regel matchar den inkommande begäran återgår systemet till resursens befintliga brandväggsregler. På så sätt kan du testa NSP-konfigurationen utan att störa befintliga åtkomstmönster.

Steg 3: Lägg till en regel för inkommande åtkomst för serverlös beräkning i Azure Databricks

Du måste skapa en regel för inkommande åtkomst i NSP-profilen för att tillåta trafik från serverlös Azure Databricks-beräkning till dina Azure-resurser.

  1. Gå till nätverkssäkerhetsperimetern i Azure-portalen.
  2. I det vänstra sidofältet går du till Inställningar>profiler.
  3. Välj din profil (till exempel databricks-profile).
  4. Under Inställningar klickar du på Regler för inkommande åtkomst.
  5. Klicka på + Lägg till.
  6. Konfigurera regeln:
    • Regelnamn: Ange ett beskrivande namn (till exempel allow-databricks-serverless).
    • Källtyp: Välj Tjänsttagg.
    • Tillåtna källor: Välj AzureDatabricksServerless.
  7. Klicka på Lägg till.

Tips/Råd

Tjänsttaggen AzureDatabricksServerless täcker automatiskt alla Azure Databricks serverlösa beräknings-IP-intervall i alla Azure-regioner. Du behöver inte hantera IP-adresser eller uppdateringsregler manuellt när Azure Databricks lägger till nya IP-intervall.

Steg 4: Verifiera konfigurationen

När du har konfigurerat din NSP kontrollerar du att serverlös beräkning i Azure Databricks kan komma åt din Azure-resurs och övervaka NSP-aktivitet.

Testa åtkomst från serverlös beräkning

  1. Gå till din Azure-resurs i Azure-portalen.

  2. Gå till Säkerhet + nätverk>nätverk.

  3. Kontrollera att resursen visar en koppling till nätverkssäkerhetsperimetern.

  4. Kontrollera att statusen visar övergångsläge.

  5. Visa de inkommande reglerna som är associerade med din profil för att försäkra dig om att AzureDatabricksServerless-regeln är med.

  6. På din Azure Databricks-arbetsyta kör du en testfråga för att bekräfta att serverlös beräkning kan komma åt din resurs. Om du till exempel vill testa åtkomsten till ett ADLS Gen2-lagringskonto:

    SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;

    Om frågan går igenom fungerar din NSP-konfiguration korrekt.

Övervaka NSP-aktivitet

Så här övervakar du vilka åtkomstförsök som tillåts eller nekas av NSP-regler:

  1. Gå till din Azure-resurs i Azure-portalen.
  2. Gå till Övervakning av>diagnostikinställningar.
  3. Klicka på +Lägg till diagnostikinställningar.
  4. Välj de loggkategorier som du vill övervaka. För Azure Storage-konton väljer du:
    • StorageRead
    • StorageWrite
  5. Välj ett mål:
    • Log Analytics-arbetsyta (rekommenderas för frågor och analys)
    • Lagringskonto (för långsiktig arkivering)
    • Händelsehubb (för direktuppspelning till externa system)
  6. Klicka på Spara.

Tips/Råd

Diagnostikloggar visar vilka åtkomstförsök som matchas av NSP-regler jämfört med resursbrandväggsregler. Detta hjälper dig att verifiera konfigurationen innan du övergår till framtvingat läge. I övergångsläge anger loggarna om varje begäran tilläts av en NSP-regel eller föll tillbaka till resursbrandväggen.

Växla till framtvingat läge (valfritt)

När du har testat NSP-konfigurationen noggrant i övergångsläge och bekräftat att alla förväntade åtkomstmönster fungerar korrekt kan du växla till Framtvingat läge för striktare säkerhet.

  1. Gå till nätverkssäkerhetsperimetern i Azure-portalen.
  2. Gå till Inställningar>Resurser.
  3. Välj resursen i listan.
  4. Ändra åtkomstläge från övergång till Framtvingad.
  5. Klicka på Spara.

Varning

Framtvingat läge tillämpar endast NSP-regler. Åtkomstförsök som inte matchar en NSP-regel nekas, även om resursens brandväggsregler tillåter dem. Växla endast till framtvingat läge när du har bekräftat att alla nödvändiga åtkomstmönster fungerar korrekt i övergångsläge. Granska diagnostikloggarna för att säkerställa att ingen legitim trafik blockeras.

Nästa steg

  • Last updated on