Поделиться через

Добавление Microsoft Foundry в периметр безопасности сети

Используйте периметр безопасности сети (NSP), чтобы ограничить доступ к плоскости данных ресурса Microsoft Foundry и сгруппировать его с другими защищенными PaaS-ресурсами. NSP позволяет:

  • Применяйте правила для входящего и исходящего доступа вместо широкого публичного доступа.
  • Уменьшение риска кражи данных путем хранения трафика в пределах логической границы.
  • Централизованно регистрировать решения о сетевом доступе для связанных ресурсов.

В этой статье приводятся только специфические для Foundry указатели, которые вам нужны. Все процедурные сведения о создании периметров, определении правил доступа, включении ведения журнала и использовании API находятся в существующей сетевой документации Azure. Следуйте ссылкам в каждом разделе, чтобы выполнить официальные шаги.

Это важно

Поддержка периметра безопасности сети для Microsoft Foundry доступна в общедоступной предварительной версии в соответствии с дополнительными условиями использования. Ознакомьтесь с ограничениями и рекомендациями перед началом работы.

Схема, показывающая ресурс Foundry внутри границы периметра безопасности сети, с правилами для входящего трафика, фильтрующими внешний трафик, и управляющими правилами для исходящего трафика, контролирующими связь с внешними службами.

На схеме показан ресурс Foundry внутри границы NSP. Входящие правила доступа фильтруют трафик из внешних источников, а исходящие правила доступа управляют трафиком, направленным в службы за пределами периметра.

Предпосылки

  • Подписка Azure, в которой можно создавать ресурсы периметра безопасности сети и управлять ими. Как минимум, используйте учетную запись с ролью владельца, участника или участника сети (или настраиваемой роли с эквивалентными разрешениями).
  • Ресурс Foundry.
  • Периметр безопасности сети (NSP) и профиль.
  • Если вы используете автоматизацию с помощью Azure CLI, используйте версию Azure CLI 2.75.0 или более позднюю.
  • Если вы хотите запросить журналы доступа, используйте рабочую область Log Analytics.

Для полного набора необходимых действий и разрешений (профилей, сопоставлений, правил доступа, параметров диагностики) см. раздел разрешения Azure RBAC, необходимые для периметра безопасности сети.

Проверка настройки (Azure CLI)

Выполните эту команду, чтобы убедиться, что доступно расширение nsp Azure CLI и можно запросить метаданные NSP.

az extension add --name nsp --upgrade
az network perimeter associable-resource-type list --output table

Команда возвращает список типов ресурсов, которые можно связать с NSP. Найдите Microsoft.CognitiveServices/accounts в выходных данных, чтобы убедиться, что ресурсы Foundry поддерживают ассоциацию NSP. Если вы видите ошибку проверки подлинности, выполните вход с помощью az login и повторите попытку.

Справочник: az network perimeter associable-resource-type list

Свяжите ресурс Foundry

Ассоциация в портале

  1. Откройте Azure portal и перейдите к ресурсу периметра безопасности сети.
  2. Выберите связанные ресурсы (или ресурсы в зависимости от итерации пользовательского интерфейса). >Добавьте или свяжите их.
  3. Выберите целевой профиль, выберите ресурс Foundry, задайте режим access (начните с обучения) и подтвердите.

Снимки экрана портала и подробное пошаговое руководство можно найти в статье Assign an Azure OpenAI account to a network security пределы безопасности сети. Тот же поток портала применяется к ресурсам Foundry.

Связывание с Azure CLI

az network perimeter association create \
	--name MyAssociation \
	--perimeter-name MyPerimeter \
	--resource-group MyResourceGroup \
	--access-mode Learning \
	--private-link-resource "{id:<FOUNDRY_RESOURCE_ARM_ID>}" \
	--profile "{id:<NSP_PROFILE_ARM_ID>}"

Эта команда связывает ресурс Foundry с профилем в режиме обучения, чтобы просмотреть журналы доступа перед применением правил доступа.

Ссылка: az network perimeter association create

Инструкции по CLI (для автоматизации) и полным шагам создания см. в быстрых инструкциях NSP (CLI или PowerShell):

Проверьте связь, выполнив следующую команду:

az network perimeter association show \
	--name MyAssociation \
	--perimeter-name MyPerimeter \
	--resource-group MyResourceGroup

Убедитесь, что выходные данные показывают ресурс Foundry с ожидаемым режимом доступа. После установки связи оценка трафика начинается в выбранном режиме доступа.

Выбор режима доступа

Начните в режиме обучения, чтобы наблюдать за потенциальными отказами. Переключитесь в режим "Принудительно" после определения необходимых правил для входящего и исходящего трафика. Подробности см. в разделе режимов доступа NSP.

Общие сведения о взаимодействии publicNetworkAccess

  • Режим обучения: publicNetworkAccess по-прежнему управляет воздействием при оценке журналов.
  • Принудительный режим: правила NSP имеют приоритет; publicNetworkAccess практически переопределяется разрешённым набором правил входящего трафика.

Изменить режим доступа

На портале найдите запись об ассоциации для ресурса Foundry и выберите Изменить режим доступа. Для автоматизации используйте az network perimeter association update.

Справочник: обновление сопоставления периметра сети az

Включение ведения журнала

Настройте параметры диагностики в ресурсе NSP для отправки allLogs в Log Analytics, Storage или Центры событий.

Подробные инструкции см. в разделе Diagnostic logs for Network Security Perimeter.

Интерпретация журналов

Запросите таблицу NspAccessLogs в рабочей области Log Analytics, чтобы проверить решения о разрешении и запрете. Используйте журналы для завершения настройки необходимых источников или мест назначения перед применением.

Примеры полей журнала, которые можно фильтровать, например MatchedRule или Profile, см. в разделе Добавление службы Azure OpenAI в периметр безопасности сети.

Определите правила доступа

В профиле выберите:

  • Правила для входящего трафика: диапазоны IP-адресов или источники на основе управляемого удостоверения.
  • Правила исходящего трафика: направления FQDN, необходимые за пределами расположенных рядом ресурсов периметра.

Действия по созданию правил (снимки экрана портала, параметры CLI, примеры):

Неявное доверие. Ресурсы внутри одного NSP могут достигать друг друга при проверке подлинности запросов с помощью управляемого удостоверения или назначения ролей. Вам нужны явные правила только для внешних источников, назначений или шаблонов ключей API.

Правила для входящего трафика

Выберите диапазон IP -адресов (CIDR) или область подписки. Предпочитайте подписку и управляемое удостоверение для внутреннего трафика между службами. Используйте диапазон IP только в том случае, если доступ на основе идентификации невозможен.

Правила исходящего трафика

Составьте список только обязательных полных доменных имен (принцип наименьших привилегий). Сохраняйте зависимые службы Azure в той же NSP, чтобы свести к минимуму разрешающие записи для исходящего трафика.

Распространенные полные доменные имена для исходящих правил Foundry включают:

  • *.openai.azure.com — конечные точки модели
  • *.blob.core.windows.net — хранилище
  • *.search.windows.net — индексы поиска

Замечание

Подтвердите точные полные доменные имена, необходимые для вашего сценария. Список зависит от функций Foundry и зависимых служб, которые вы используете.

Проверка перед применением

  1. Изначально оставайтесь в режиме обучения; просмотрите журналы доступа для отказов, которые влияют на необходимый трафик.
  2. Уточняйте или добавляйте правила для входящих и исходящих подключений.
  3. Переключитесь в режим принудительного применения.
  4. Откройте Microsoft Foundry и выполните тестирование модели или чата. Показатель успеха указывает, что разрешен запрашиваемый трафик.
  5. При блокировке вернитесь в режим обучения или добавьте правила и повторите попытку.

Устранение неполадок

  • Если интерфейс портала не отображает ресурс Foundry как доступный для ассоциации, убедитесь, что Foundry поддерживается для ассоциирования с NSP в вашем регионе, и просмотрите поддерживаемые типы ресурсов: Понятия периметра сетевой безопасности.
  • Если журналы не отображаются после включения диагностики, убедитесь, что вы выбрали allLogs и проверьте, поддерживается ли ваше назначение: Диагностические журналы для периметра сетевой безопасности.
  • Если режим обучения выглядит правильно, но режим принудительного применения блокирует доступ, вернитесь в режим обучения и добавьте минимальные правила для входящего и исходящего трафика, необходимые для вашего сценария: Руководство Azure OpenAI NSP.
  • Если управляемое удостоверение не может достичь совместно расположенных ресурсов, убедитесь, что оба ресурса находятся в одном NSP и что назначения ролей верны.
  • Если журналы не отображаются сразу после включения диагностики, разрешите до 15 минут распространения диагностических данных в рабочую область Log Analytics.

Проверка ограничений и рекомендаций

  • NSP управляет трафиком плоскости данных. Операции плоскости управления могут по-прежнему выполняться, если их не ограничить отдельно.
  • Используйте управляемое удостоверение (системное или назначенное пользователем) с соответствующими назначениями ролей для доступа к любому источнику данных (например, к Azure Blob Storage, используемому для пакетных входных и выходных данных).
  • Размещайте вместе зависимые службы (Azure OpenAI, Azure Storage, Azure AI Search и т. д.) в том же NSP, если требуется взаимный доступ при минимальных правилах разрешения исходящего трафика.

Дополнительные сведения см. в разделе Концепции периметра сетевой безопасности.

Просмотр конфигурации и управление ими

Используйте REST или CLI для аудита и согласования:

  • Справочник по REST (основной периметр): REST API сетевого периметра безопасности
  • (Пример) Операции профиля и связи (CLI): команды периметра сети Azure CLI

Используйте версию 2024-10-01 API или последнюю версию, показанную в справочнике REST при выполнении скриптов. Всегда проверяйте текущую версию API в ссылке перед скриптами.

Связанный контент

  • Last updated on