Adicionar um serviço de pesquisa a um perímetro de segurança da rede

Um perímetro de segurança de rede é um limite de rede lógica em torno de seus recursos paaS (plataforma como serviço) que são implantados fora de uma rede virtual. Ele estabelece um perímetro para controlar o acesso à rede pública a recursos como o Azure AI Search, o Armazenamento do Azure e o Azure OpenAI.

Este artigo explica como integrar um serviço de Pesquisa de IA do Azure a um perímetro de segurança de rede para controlar o acesso ao seu serviço de pesquisa por meio da rede. Ao ingressar em um perímetro de segurança da rede, é possível:

• Registrar todo o acesso ao serviço de pesquisa em contexto com outros recursos do Azure no mesmo perímetro.
• Bloquear qualquer exfiltração dos dados de um serviço de pesquisa para outros serviços fora do perímetro.
• Permita o acesso ao seu serviço de busca utilizando as capacidades de acesso de entrada e saída do perímetro de segurança da rede.

É possível adicionar um serviço de pesquisa a um perímetro de segurança da rede no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a API REST do Gerenciador de Rede Virtual do Azure para ingressar em um serviço de pesquisa e usar as APIs REST do Gerenciamento de Pesquisa para exibir e sincronizar as configurações.

Pré-requisitos

• Um perímetro de segurança da rede existente. É possível criar um para associar ao seu serviço de pesquisa.

• Pesquisa de IA do Azure, qualquer camada faturável em qualquer região.

Limitações

• Para serviços de pesquisa dentro de um perímetro de segurança da rede, os indexadores devem usar um sistema ou uma identidade gerenciada atribuída pelo usuário e ter uma atribuição de função que permita o acesso de leitura a fontes de dados.

• Atualmente, as fontes de dados do indexador com suporte estão limitadas ao Armazenamento de Blobs do Azure, ao Azure Cosmos DB for NoSQL e ao Banco de Dados SQL do Azure.

• Atualmente, no perímetro, as conexões do indexador com o PaaS do Azure para recuperação de dados são o principal caso de uso. Para chamadas de API orientadas por habilidades para o Foundry Tools, OpenAI do Azure ou o catálogo de modelos do Microsoft Foundry, ou para chamadas recebidas do Foundry em cenários de "chat com seus dados", configure regras de entrada e saída para permitir que as solicitações atravessem o perímetro. Se você precisar de conexões privadas para agrupamento e vetorização com reconhecimento de estrutura, você deverá criar um link privado compartilhado e uma rede privada.

Atribuir um serviço de pesquisa a um perímetro de segurança da rede

O Perímetro de Segurança da Rede do Azure permite que os administradores definam um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, Armazenamento do Microsoft Azure e Banco de Dados SQL do Azure) que são implantados fora das redes virtuais. Isso restringe a comunicação a recursos dentro do perímetro e permite o tráfego público fora do perímetro por meio de regras de acesso de entrada e saída.

Você pode adicionar a Pesquisa de IA do Azure a um perímetro de segurança de rede para que todas as solicitações de indexação e consulta ocorram dentro do limite de segurança.

1. No portal do Azure, localize o serviço de perímetro de segurança de rede para sua assinatura.

2. No painel esquerdo, selecione Configurações associadas>aos recursos.

   

3. Selecione Adicionar>Associar recursos a um perfil existente.

   Captura de tela do botão de recurso de associação de perímetro de segurança da rede.

4. Selecione o perfil que você criou ao criar o perímetro de segurança da rede para Perfil.

5. Selecione Adicionar e selecione seu serviço de pesquisa.

   

6. Selecione Associar no canto inferior esquerdo para criar a associação.

Modos de acesso ao perímetro de segurança de rede

O perímetro de segurança da rede dá suporte a dois modos de acesso diferentes para recursos associados:

Configurações de rede de perímetro de segurança da rede e de serviço de pesquisa

A configuração publicNetworkAccess determina a associação do serviço de pesquisa com um perímetro de segurança da rede.

• No modo Aprendizagem, a configuração publicNetworkAccess controla o acesso público ao recurso.

• No Modo Forçado, a configuração publicNetworkAccess é substituída pelas regras de perímetro de segurança da rede. Por exemplo, se um serviço de pesquisa com uma configuração publicNetworkAccess de enabled estiver associado a um perímetro de segurança de rede no modo Aplicado, o acesso ao serviço de pesquisa ainda será controlado pelas regras de acesso do perímetro de segurança da rede.

Alterar o modo de acesso do perímetro de segurança da rede

1. Acesse o recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Configurações associadas>aos recursos.

   

3. Localize o serviço de pesquisa na tabela.

4. Selecione os três pontos no final da linha e selecione Alterar o modo de acesso.

   

5. Selecione o modo de acesso desejado e selecione Aplicar.

   

Habilitar o registro em log do acesso à rede

1. Acesse o recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Monitoramento>Configurações de Diagnóstico.

   

3. Selecione Adicionar configuração de diagnóstico.

4. Insira qualquer nome, como "diagnóstico", para o nome da configuração de diagnóstico.

5. Em Logs, selecione allLogs. allLogs garante que todo o acesso de rede de entrada e saída aos recursos em seu perímetro de segurança da rede seja registrado.

6. Em Detalhes de destino, selecione Arquivar em uma conta de armazenamento ou Enviar para o workspace do Log Analytics. A conta de armazenamento deve estar na mesma região que o perímetro de segurança da rede. Você pode usar uma conta de armazenamento existente ou criar uma nova. Um workspace do Log Analytics pode estar em uma região diferente da usada pelo perímetro de segurança da rede. Você também pode selecionar qualquer um dos outros destinos aplicáveis.

   

7. Selecione Salvar para criar a configuração de diagnóstico e iniciar o registro em log de acesso à rede.

Leitura de logs de acesso à rede

espaço de trabalho do Log Analytics

A tabela network-security-perimeterAccessLogs contém todos os logs para cada categoria de log (por exemplo, network-security-perimeterPublicInboundResourceRulesAllowed). Cada log contém um registro do acesso à rede de perímetro de segurança da rede que corresponde à categoria de log.

Aqui está um exemplo do formato de log network-security-perimeterPublicInboundResourceRulesAllowed:

Conta de Armazenamento

A conta de armazenamento tem contêineres para cada categoria de log (por exemplo, insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed). A estrutura da pasta dentro do contêiner corresponde à ID do recurso do perímetro de segurança da rede e ao tempo em que os logs foram obtidos. Cada linha no arquivo de log JSON contém um registro do acesso à rede de perímetro de segurança da rede que corresponde à categoria de log.

Por exemplo, as regras de perímetro de entrada permitidas no log de categorias usam o seguinte formato:

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "255.255.255.255",
    }
}

Adicionar uma regra de acesso ao serviço de pesquisa

Um perfil de perímetro de segurança da rede especifica regras que permitem ou negam acesso por meio do perímetro.

Dentro do perímetro, todos os recursos têm acesso mútuo no nível da rede. Você ainda deve configurar a autenticação e a autorização, mas, no nível da rede, as solicitações de conexão de dentro do perímetro são aceitas.

Para recursos fora do perímetro de segurança da rede, você deve especificar regras de acesso de entrada e saída. As regras de entrada especificam quais conexões permitir e as regras de saída especificam quais solicitações são permitidas.

Um serviço de pesquisa aceita solicitações de entrada de aplicativos como o portal do Foundry, o fluxo de prompt do Azure Machine Learning e qualquer aplicativo que envia solicitações de indexação ou consulta. Um serviço de pesquisa envia solicitações de saída durante a indexação baseada em indexador e a execução do conjunto de habilidades. Esta seção explica como configurar regras de acesso de entrada e saída para cenários da Pesquisa de IA do Azure.

Adicionar uma regra de acesso de entrada

As regras de acesso de entrada podem permitir que a Internet e os recursos fora do perímetro se conectem com recursos dentro do perímetro.

O perímetro de segurança da rede dá suporte a dois tipos de regras de acesso de entrada:

• Intervalos de endereços IP. Intervalos ou endereços IP devem estar no formato CIDR (roteamento entre domínios sem classe). Um exemplo de notação CIDR é 192.0.2.0/24, que representa os IPs que variam de 192.0.2.0 a 192.0.2.255. Esse tipo de regra permite solicitações de entrada de qualquer endereço IP dentro do intervalo.

• Assinaturas. Esse tipo de regra permite o acesso de entrada autenticado usando qualquer identidade gerenciada da assinatura.

Para adicionar uma regra de acesso de entrada no portal do Azure:

1. Acesse o recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecionePerfis de >.

   

3. Selecione o perfil que você está usando com o perímetro de segurança de rede.

   

4. No painel esquerdo, selecione Configurações>Regras de acesso de entrada.

   

5. Selecione Adicionar.

   

6. Digite ou selecione os valores a seguir:

   Configuração	Valor
   Nome da regra	O nome da regra de acesso de entrada, como "MyInboundAccessRule".
   Tipo de origem	Os valores válidos são intervalos de endereços IP ou Assinaturas.
   Fontes permitidas	Se você selecionou intervalos de endereços IP, insira o intervalo de endereços IP no formato CIDR do qual deseja permitir o acesso de entrada. Os intervalos de IP do Azure estão disponíveis neste link. Se você selecionou Assinaturas, use a assinatura para a qual deseja permitir o acesso de entrada.

7. Selecione Adicionar para criar a regra de acesso de entrada.

   

Adicionar uma regra de acesso de saída

Um serviço de pesquisa faz chamadas de saída durante a indexação baseada em indexador e a execução do conjunto de habilidades. Se as fontes de dados do indexador, as Ferramentas de Pesquisa ou a lógica de habilidade personalizada estiverem fora do perímetro de segurança de rede, você deverá criar uma regra de acesso de saída que permita que o serviço de pesquisa faça a conexão.

Lembre-se de que, na versão prévia pública, a Pesquisa de IA do Azure só pode se conectar ao Armazenamento do Microsoft Azure ou ao Azure Cosmos DB dentro do perímetro de segurança. Se os indexadores usarem outras fontes de dados, você precisará de uma regra de acesso de saída para dar suporte a essa conexão.

O perímetro de segurança da rede dá suporte a regras de acesso de saída com base no FQDN (Nome de Domínio Totalmente Qualificado) do destino. Por exemplo, você pode permitir o acesso de saída de qualquer serviço associado ao perímetro de segurança da rede para um FQDN, como mystorageaccount.blob.core.windows.net.

Para adicionar uma regra de acesso de saída no portal do Azure:

1. Acesse o recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecionePerfis de >.

   

3. Selecione o perfil que você está usando em relação ao perímetro de segurança da rede

   

4. No painel esquerdo, selecione Configurações>regras de acesso de saída.

   

5. Selecione Adicionar.

   

6. Digite ou selecione os valores a seguir:

   Configuração	Valor
   Nome da regra	O nome da regra de acesso de saída, como "MyOutboundAccessRule".
   Tipo de destino	Deixe como FQDN.
   Destinos permitidos	Insira uma lista separada por vírgulas de FQDNs aos quais você deseja permitir o acesso de saída.

7. Selecione Adicionar para criar a regra de acesso de saída.

   

Testar sua conexão por meio do perímetro de segurança da rede

Para testar sua conexão por meio do perímetro de segurança da rede, você precisa de acesso a um navegador da Web, em um computador local com uma conexão com a Internet ou uma VM do Azure.

1. Altere sua associação de perímetro de segurança da rede para o modo imposto para começar a impor requisitos de perímetro de segurança da rede para acesso à rede ao serviço de pesquisa.

2. Decida se deseja usar um computador local ou uma VM do Azure.

   1. Se você estiver usando um computador local, precisará saber seu endereço IP público.
   2. Se você estiver usando uma VM do Azure, poderá usar o link privado ou verificar o endereço de IP usando o portal do Azure.

3. Usando o endereço IP, você pode criar uma regra de acesso de entrada para que esse endereço IP permita o acesso. Você pode ignorar esta etapa se estiver usando o link privado.

4. Por fim, tente navegar até o serviço de pesquisa no portal do Azure. Se você puder exibir os índices com êxito, o perímetro de segurança da rede será configurado corretamente.

Exibir e gerenciar a configuração de perímetro de segurança da rede

Você pode usar as APIs REST de Configuração do Perímetro de Segurança de Rede para revisar e reconciliar as configurações de perímetro.

Certifique-se de usar 2025-05-01, que é a versão mais recente da API REST estável. Saiba como chamar as APIs REST do Gerenciamento de Pesquisa.

Conteúdo relacionado

• Use o controle de acesso baseado em função do Azure na Pesquisa de IA do Azure