Adicionar um serviço de pesquisa a um perímetro de segurança de rede
Importante
O suporte do Azure AI Search para perímetro de segurança de rede está em pré-visualização pública sob termos de utilização suplementares. Ele está disponível em regiões que fornecem o recurso. Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
Reveja a secção de limitações e considerações antes de começar.
Este artigo explica como associar um serviço Azure AI Search a um perímetro de segurança de rede para controlar o acesso à rede ao seu serviço de pesquisa. Ao aderir a um perímetro de segurança de rede, pode:
- Registre todo o acesso ao seu serviço de pesquisa no contexto com outros recursos do Azure no mesmo perímetro.
- Bloqueie qualquer exfiltração de dados de um serviço de pesquisa para outros serviços fora do perímetro.
- Permita o acesso ao seu serviço de pesquisa usando os recursos de acesso de entrada e saída do perímetro de segurança de rede.
Você pode adicionar um serviço de pesquisa a um perímetro de segurança de rede no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a API REST do Azure Virtual Network Manager para ingressar em um serviço de pesquisa e usar as APIs REST de Gerenciamento de Pesquisa para exibir e sincronizar as definições de configuração.
Limitações e considerações
Para serviços de pesquisa dentro de um perímetro de segurança de rede, os indexadores devem usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário e ter uma atribuição de função que permita acesso de leitura a fontes de dados.
As fontes de dados de indexador com suporte estão atualmente limitadas ao Armazenamento de Blobs do Azure, ao Azure Cosmos DB para NoSQL e ao Banco de Dados SQL do Azure.
Atualmente, dentro do perímetro, as conexões do indexador com o Azure PaaS para recuperação de dados são o principal caso de uso. Para chamadas de API orientadas por habilidades de saída para serviços de IA do Azure, Azure OpenAI ou o catálogo de modelos do Azure AI Foundry, ou para chamadas de entrada do Azure AI Foundry para cenários de "bate-papo com seus dados", você deve configurar regras de entrada e saída para permitir as solicitações através do perímetro. Se você precisar de conexões privadas para fragmentação e vetorização com reconhecimento de estrutura, deverá criar um link privado compartilhado e uma rede privada.
Pré-requisitos
Um perímetro de segurança de rede existente. Você pode criar um para associar ao seu serviço de pesquisa.
Azure AI Search, qualquer camada faturável, em qualquer região.
Atribuir um serviço de pesquisa a um perímetro de segurança de rede
O Perímetro de Segurança de Rede do Azure permite que os administradores definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Armazenamento do Azure e Banco de Dados SQL do Azure) implantados fora de redes virtuais. Ele restringe a comunicação a recursos dentro do perímetro e permite o tráfego público fora do perímetro por meio de regras de acesso de entrada e saída.
Você pode adicionar o Azure AI Search a um perímetro de segurança de rede para que todas as solicitações de indexação e consulta ocorram dentro do limite de segurança.
No portal do Azure, localize o serviço de perímetro de segurança de rede para a sua subscrição.
Selecione Recursos no menu à esquerda.
Selecione Adicionar>Associar recursos a um perfil existente.
Selecione o perfil que você criou quando criou o perímetro de segurança de rede para Perfil.
Selecione Associar e, em seguida, selecione o serviço de pesquisa que criou.
Selecione Associar na seção inferior esquerda da tela para criar a associação.
Modos de acesso ao perímetro de segurança de rede
O perímetro de segurança de rede suporta dois modos de acesso diferentes para recursos associados:
| Modo | Descrição |
|---|---|
| Modo de aprendizagem | Este é o modo de acesso padrão. No modo de aprendizagem , o perímetro de segurança de rede registra todo o tráfego para o serviço de pesquisa que teria sido negado se o perímetro estivesse no modo imposto. Isso permite que os administradores de rede entendam os padrões de acesso existentes do serviço de pesquisa antes de implementar a imposição de regras de acesso. |
| Modo imposto | No modo Imposto , o perímetro de segurança da rede registra e nega todo o tráfego que não é explicitamente permitido pelas regras de acesso. |
Perímetro de segurança de rede e configurações de rede do serviço de pesquisa
A publicNetworkAccess configuração determina a associação do serviço de pesquisa com um perímetro de segurança de rede.
No modo de aprendizagem, a configuração controla o
publicNetworkAccessacesso público ao recurso.No modo Imposto, a
publicNetworkAccessconfiguração é substituída pelas regras de perímetro de segurança de rede. Por exemplo, se um serviço de pesquisa com umapublicNetworkAccessconfiguração de estiver associado a um perímetro de segurança de rede no modo Aplicado, o acesso ao serviço de pesquisa ainda será controlado por regras de acesso de perímetro de segurança deenabledrede.
Alterar o modo de acesso ao perímetro de segurança de rede
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Recursos no menu à esquerda.
Encontre o seu serviço de pesquisa na tabela.
Selecione os três pontos na extremidade direita da linha do serviço de pesquisa. Selecione Alterar modo de acesso no pop-up.'
Selecione o modo de acesso desejado e selecione Aplicar.
Habilitar o acesso à rede de registro em log
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Configurações de diagnóstico no menu à esquerda.
Selecione Adicionar definição de diagnóstico.
Insira qualquer nome, como "diagnóstico", para Nome da configuração de diagnóstico.
Em Logs, selecione allLogs. allLogs garante que todo o acesso de entrada e saída à rede aos recursos em seu perímetro de segurança de rede seja registrado.
Em Detalhes do destino, selecione Arquivar para uma conta de armazenamento ou Enviar para o espaço de trabalho do Log Analytics. A conta de armazenamento deve estar na mesma região que o perímetro de segurança da rede. Você pode usar uma conta de armazenamento existente ou criar uma nova. Um espaço de trabalho do Log Analytics pode estar em uma região diferente daquela usada pelo perímetro de segurança de rede. Você também pode selecionar qualquer um dos outros destinos aplicáveis.
Selecione Salvar para criar a configuração de diagnóstico e começar a registrar o acesso à rede.
Leitura de logs de acesso à rede
Área de trabalho do Log Analytics
A network-security-perimeterAccessLogs tabela contém todos os logs para cada categoria de log (por exemplo network-security-perimeterPublicInboundResourceRulesAllowed). Cada log contém um registro do acesso à rede de perímetro de segurança de rede que corresponde à categoria de log.
Aqui está um exemplo do formato de network-security-perimeterPublicInboundResourceRulesAllowed log:
| Nome da Coluna | Significado | Valor de Exemplo |
|---|---|---|
| ResultDescription | Nome da operação de acesso à rede | POST /indexes/my-index/docs/search |
| Perfil | A que perímetro de segurança de rede o serviço de pesquisa estava associado | defaultProfile |
| ServiceResourceId | ID do recurso do serviço de pesquisa | search-service-resource-id |
| Regra correspondente | Descrição JSON da regra que foi correspondida pelo log | { "accessRule": "IP firewall" } |
| FonteIPAddress | IP de origem do acesso à rede de entrada, se aplicável | 1.1.1.1 |
| AccessRuleVersion | Versão das regras de acesso de perímetro de segurança de rede usadas para impor as regras de acesso à rede | 0 |
Conta de Armazenamento
A conta de armazenamento tem contêineres para cada categoria de log (por exemplo insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed). A estrutura de pastas dentro do contêiner corresponde ao ID do recurso do perímetro de segurança da rede e à hora em que os logs foram tirados. Cada linha no arquivo de log JSON contém um registro do acesso à rede de perímetro de segurança de rede que corresponde à categoria de log.
Por exemplo, as regras de perímetro de entrada permitidas log de categoria usa o seguinte formato:
"properties": {
"ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
"Profile": "defaultProfile",
"MatchedRule": {
"AccessRule": "myaccessrule"
},
"Source": {
"IpAddress": "255.255.255.255",
}
}
Adicionar uma regra de acesso ao seu serviço de pesquisa
Um perfil de perímetro de segurança de rede especifica regras que permitem ou negam acesso através do perímetro.
Dentro do perímetro, todos os recursos têm acesso mútuo ao nível da rede. Você ainda deve configurar a autenticação e a autorização, mas no nível da rede, as solicitações de conexão de dentro do perímetro são aceitas.
Para recursos fora do perímetro de segurança de rede, você deve especificar regras de acesso de entrada e saída. As regras de entrada especificam quais conexões permitir a entrada e as regras de saída especificam quais solicitações são permitidas.
Um serviço de pesquisa aceita solicitações de entrada de aplicativos como Azure AI Foundry, Azure OpenAI Studio, fluxo de prompt do Azure Machine Learning e qualquer aplicativo que envie solicitações de indexação ou consulta. Um serviço de pesquisa envia solicitações de saída durante a indexação baseada em indexador e a execução do conjunto de habilidades. Esta seção explica como configurar regras de acesso de entrada e saída para cenários do Azure AI Search.
Nota
Qualquer serviço associado a um perímetro de segurança de rede permite implicitamente o acesso de entrada e saída a qualquer outro serviço associado ao mesmo perímetro de segurança de rede quando esse acesso é autenticado usando identidades gerenciadas e atribuições de função. As regras de acesso só precisam ser criadas ao permitir o acesso fora do perímetro de segurança da rede ou para acesso autenticado usando chaves de API.
Adicionar uma regra de acesso de entrada
As regras de acesso de entrada podem permitir que a internet e os recursos fora do perímetro se conectem com recursos dentro do perímetro.
O perímetro de segurança de rede suporta dois tipos de regras de acesso de entrada:
Intervalos de endereços IP. Os endereços IP ou intervalos devem estar no formato CIDR (Roteamento entre Domínios sem Classe). Um exemplo de notação CIDR é 192.0.2.0/24, que representa os IPs que variam de 192.0.2.0 a 192.0.2.255. Esse tipo de regra permite solicitações de entrada de qualquer endereço IP dentro do intervalo.
Subscrições. Esse tipo de regra permite acesso de entrada autenticado usando qualquer identidade gerenciada da assinatura.
Para adicionar uma regra de acesso de entrada no portal do Azure:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Perfis no menu à esquerda.
Selecione o perfil que está a utilizar com o perímetro de segurança de rede
Selecione Regras de acesso de entrada no menu à esquerda.
Selecione Adicionar.
Introduza ou selecione os seguintes valores:
Definição Value Nome da regra O nome da regra de acesso de entrada (por exemplo, "MyInboundAccessRule"). Tipo de Origem Os valores válidos são intervalos de endereços IP ou subscrições. Fontes permitidas Se você selecionou intervalos de endereços IP, insira o intervalo de endereços IP no formato CIDR a partir do qual você deseja permitir o acesso de entrada. Os intervalos de IP do Azure estão disponíveis neste link. Se selecionou Subscrições, utilize a subscrição a partir da qual pretende permitir o acesso de entrada. Selecione Adicionar para criar a regra de acesso de entrada.
Adicionar uma regra de acesso de saída
Um serviço de pesquisa faz chamadas de saída durante a indexação baseada em indexador e a execução do conjunto de habilidades. Se suas fontes de dados do indexador, serviços de IA do Azure ou lógica de habilidade personalizada estiverem fora do perímetro de segurança de rede, você deverá criar uma regra de acesso de saída que permita que seu serviço de pesquisa faça a conexão.
Lembre-se de que, na visualização pública, o Azure AI Search só pode se conectar ao Armazenamento do Azure ou ao Azure Cosmos DB dentro do perímetro de segurança. Se os indexadores usarem outras fontes de dados, você precisará de uma regra de acesso de saída para dar suporte a essa conexão.
O perímetro de segurança de rede suporta regras de acesso de saída com base no FQDN (Nome de Domínio Totalmente Qualificado) do destino. Por exemplo, você pode permitir o acesso de saída de qualquer serviço associado ao perímetro de segurança da rede para um FQDN, como mystorageaccount.blob.core.windows.net.
Para adicionar uma regra de acesso de saída no portal do Azure:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Perfis no menu à esquerda.
Selecione o perfil que está a utilizar com o perímetro de segurança de rede
Selecione Regras de acesso de saída no menu à esquerda.
Selecione Adicionar.
Introduza ou selecione os seguintes valores:
Definição Value Nome da regra O nome da regra de acesso de saída (por exemplo, "MyOutboundAccessRule") Tipo de Destino Deixar como FQDN Destinos permitidos Insira uma lista separada por vírgulas de FQDNs aos quais você deseja permitir acesso de saída Selecione Adicionar para criar a regra de acesso de saída.
Teste a sua ligação através do perímetro de segurança de rede
Para testar sua conexão por meio do perímetro de segurança de rede, você precisa acessar um navegador da Web, seja em um computador local com uma conexão com a Internet ou uma VM do Azure.
Altere sua associação de perímetro de segurança de rede para o modo imposto para começar a aplicar os requisitos de perímetro de segurança de rede para acesso à rede ao seu serviço de pesquisa.
Decida se deseja usar um computador local ou uma VM do Azure.
- Se estiver a utilizar um computador local, precisa de saber o seu endereço IP público.
- Se você estiver usando uma VM do Azure, poderá usar o link privado ou verificar o endereço IP usando o portal do Azure.
Usando o endereço IP, você pode criar uma regra de acesso de entrada para esse endereço IP para permitir o acesso. Você pode pular esta etapa se estiver usando o link privado.
Por fim, tente navegar até o serviço de pesquisa no portal do Azure. Se você puder exibir os índices com êxito, o perímetro de segurança de rede está configurado corretamente.
Visualizar e gerenciar a configuração do perímetro de segurança da rede
Você pode usar as APIs REST de Configuração de Perímetro de Segurança de Rede para revisar e reconciliar configurações de perímetro.
Certifique-se de usar a versão 2024-06-01-previewda API de visualização . Saiba como chamar as APIs REST de gerenciamento.