Adicionar um serviço de pesquisa a um perímetro de segurança de rede

Um perímetro de segurança de rede é um limite de rede lógico em torno de seus recursos de plataforma como serviço (PaaS) que são implantados fora de uma rede virtual. Ele estabelece um perímetro para controlar o acesso da rede pública a recursos como o Azure AI Search, o Armazenamento do Azure e o Azure OpenAI.

Este artigo explica como associar um serviço Azure AI Search a um perímetro de segurança de rede para controlar o acesso à rede ao seu serviço de pesquisa. Ao aderir a um perímetro de segurança de rede, pode:

• Registre todo o acesso ao seu serviço de pesquisa no contexto com outros recursos do Azure no mesmo perímetro.
• Bloqueie qualquer exfiltração de dados de um serviço de pesquisa para outros serviços fora do perímetro.
• Permita o acesso ao seu serviço de pesquisa usando os recursos de acesso de entrada e saída do perímetro de segurança de rede.

Você pode adicionar um serviço de pesquisa a um perímetro de segurança de rede no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a API REST do Azure Virtual Network Manager para ingressar em um serviço de pesquisa e usar as APIs REST de Gerenciamento de Pesquisa para exibir e sincronizar as definições de configuração.

Pré-requisitos

• Um perímetro de segurança de rede existente. Você pode criar um para associar com o seu serviço de pesquisa.

• Azure AI Search, qualquer camada faturável, em qualquer região.

Limitações

• Para serviços de pesquisa dentro de um perímetro de segurança de rede, os indexadores devem usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário e ter uma atribuição de função que permita acesso de leitura a fontes de dados.

• As fontes de dados de indexador com suporte estão atualmente limitadas a Armazenamento de Blobs do Azure, Azure Cosmos DB para NoSQL e Banco de Dados SQL do Azure.

• Atualmente, dentro do perímetro, as conexões do indexador com o Azure PaaS para recuperação de dados são o principal caso de uso. Para chamadas de API orientadas por competências de saída para Foundry Tools, Azure OpenAI ou o catálogo de modelos Microsoft Foundry, ou para chamadas recebidas do Foundry para cenários de "conversar com os seus dados", deve configurar regras de entrada e saída para permitir que os pedidos passem pelo perímetro. Se você precisar de conexões privadas para fragmentação e vetorização com reconhecimento de estrutura, deverá criar um link privado compartilhado e uma rede privada.

Atribuir um serviço de pesquisa a um perímetro de segurança de rede

O Perímetro de Segurança de Rede do Azure permite que os administradores definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Armazenamento do Azure e Banco de Dados SQL do Azure) implantados fora de redes virtuais. Ele restringe a comunicação a recursos dentro do perímetro e permite o tráfego público fora do perímetro por meio de regras de acesso de entrada e saída.

Você pode adicionar o Azure AI Search a um perímetro de segurança de rede para que todas as solicitações de indexação e consulta ocorram dentro do limite de segurança.

1. No portal do Azure, localize o serviço de perímetro de segurança de rede para a sua subscrição.

2. No painel esquerdo, selecione Configurações>Recursos associados.

   

3. Selecione Adicionar>Associar recursos a um perfil existente.

   

4. Selecione o perfil que você criou quando criou o perímetro de segurança de rede para Perfil.

5. Selecione Adicionar e, em seguida, selecione o seu serviço de pesquisa.

   

6. Selecione Associar no canto inferior esquerdo para criar a associação.

Modos de acesso ao perímetro de segurança de rede

O perímetro de segurança de rede suporta dois modos de acesso diferentes para recursos associados:

Perímetro de segurança de rede e configurações de rede do serviço de pesquisa

A publicNetworkAccess configuração determina a associação do serviço de pesquisa com um perímetro de segurança de rede.

• No modo de aprendizagem, a publicNetworkAccess configuração controla o acesso público ao recurso.

• No modo Imposto, a publicNetworkAccess configuração é sobreposta pelas regras de perímetro de segurança de rede. Por exemplo, se um serviço de pesquisa com a configuração de publicNetworkAccess estiver associado a um perímetro de segurança de rede no modo Aplicado, o acesso ao serviço de pesquisa ainda será controlado por regras de acesso do perímetro de segurança de rede de enabled.

Alterar o modo de acesso ao perímetro de segurança de rede

1. Vá para seu recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Configurações>Recursos associados.

   

3. Encontre o seu serviço de pesquisa na tabela.

4. Selecione os três pontos no final da linha e, em seguida, selecione Alterar modo de acesso.

   

5. Selecione o modo de acesso desejado e, em seguida, selecione Aplicar.

   

Habilitar o acesso de rede ao registo

1. Vá para seu recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Monitoramento>Configurações de diagnóstico.

   

3. Selecione Adicionar definição de diagnóstico.

4. Insira qualquer nome, como "diagnóstico", para Nome da configuração de diagnóstico.

5. Em Logs, selecione allLogs. allLogs garante que todo o acesso de entrada e saída à rede aos recursos em seu perímetro de segurança de rede seja registrado.

6. Em Detalhes do destino, selecione Arquivar para uma conta de armazenamento ou Enviar para o espaço de trabalho do Log Analytics. A conta de armazenamento deve estar na mesma região que o perímetro de segurança da rede. Você pode usar uma conta de armazenamento existente ou criar uma nova. Um espaço de trabalho do Log Analytics pode estar em uma região diferente daquela usada pelo perímetro de segurança de rede. Você também pode selecionar qualquer um dos outros destinos aplicáveis.

   

7. Selecione Salvar para criar a configuração de diagnóstico e começar a registrar o acesso à rede.

Leitura de logs de acesso à rede

área de trabalho do Log Analytics

A network-security-perimeterAccessLogs tabela contém todos os logs para cada categoria de log (por exemplo network-security-perimeterPublicInboundResourceRulesAllowed). Cada log contém um registo do acesso à rede de perímetro de segurança que corresponde à categoria de log.

Aqui está um exemplo do formato de log network-security-perimeterPublicInboundResourceRulesAllowed.

Conta de Armazenamento

A conta de armazenamento tem contêineres para cada categoria de log (por exemplo insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed). A estrutura de pastas dentro do contentor corresponde ao ID do recurso do perímetro de segurança da rede e à hora em que os logs foram registados. Cada linha no arquivo de log JSON contém um registro do acesso à rede de perímetro de segurança de rede que corresponde à categoria de log.

Por exemplo, as regras de perímetro de entrada permitidas log de categoria usa o seguinte formato:

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "255.255.255.255",
    }
}

Adicionar uma regra de acesso ao seu serviço de pesquisa

Um perfil de perímetro de segurança de rede especifica regras que permitem ou negam acesso através do perímetro.

Dentro do perímetro, todos os recursos têm acesso mútuo ao nível da rede. Você ainda deve configurar a autenticação e a autorização, mas no nível da rede, as solicitações de conexão de dentro do perímetro são aceitas.

Para recursos fora do perímetro de segurança de rede, você deve especificar regras de acesso de entrada e saída. As regras de entrada especificam quais conexões são permitidas a entrar, e as regras de saída especificam quais solicitações são permitidas a sair.

Um serviço de pesquisa aceita pedidos de entrada de aplicações como o portal Foundry, o fluxo de prompts do Azure Machine Learning e qualquer aplicação que envie pedidos de indexação ou consulta. Um serviço de pesquisa envia solicitações de saída durante a indexação baseada em indexador e a execução do conjunto de habilidades. Esta seção explica como configurar regras de acesso de entrada e saída para cenários do Azure AI Search.

Adicionar uma regra de acesso de entrada

As regras de acesso de entrada podem permitir que a internet e os recursos fora do perímetro se conectem com recursos dentro do perímetro.

O perímetro de segurança de rede suporta dois tipos de regras de acesso de entrada:

• Intervalos de endereços IP. Os endereços IP ou intervalos devem estar no formato CIDR (Roteamento entre Domínios sem Classe). Um exemplo de notação CIDR é 192.0.2.0/24, que representa os IPs que variam de 192.0.2.0 a 192.0.2.255. Esse tipo de regra permite solicitações de entrada de qualquer endereço IP dentro do intervalo.

• Subscrições. Esse tipo de regra permite acesso de entrada autenticado usando qualquer identidade gerenciada da assinatura.

Para adicionar uma regra de acesso de entrada no portal do Azure:

1. Vá para seu recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Perfis de configurações>.

   

3. Selecione o perfil que está a utilizar com o perímetro de segurança da rede.

   

4. No painel esquerdo, selecione Configurações>Regras de acesso de entrada.

   

5. Selecione Adicionar.

   

6. Introduza ou selecione os seguintes valores:

   Configuração	Valor
   Nome da regra	O nome da regra de acesso de entrada, por exemplo "MyInboundAccessRule".
   Tipo de fonte	Os valores válidos são intervalos de endereços IP ou Subscrições.
   Fontes permitidas	Se você selecionou intervalos de endereços IP, insira o intervalo de endereços IP no formato CIDR a partir do qual você deseja permitir o acesso de entrada. Os intervalos de IP do Azure estão disponíveis neste link. Se selecionou Subscrições, utilize a subscrição a partir da qual pretende permitir o acesso de entrada.

7. Selecione Adicionar para criar a regra de acesso de entrada.

   

Adicionar uma regra de acesso de saída

Um serviço de pesquisa faz chamadas de saída durante a indexação por indexador e a execução do conjunto de habilidades. Se as fontes de dados do seu indexador, as Foundry Tools ou a lógica de habilidades personalizadas estiverem fora do perímetro de segurança da rede, deve criar uma regra de acesso de saída que permita ao seu serviço de pesquisa fazer a ligação.

Lembre-se de que, na visualização pública, o Azure AI Search só pode se conectar ao Armazenamento do Azure ou ao Azure Cosmos DB dentro do perímetro de segurança. Se os indexadores usarem outras fontes de dados, você precisará de uma regra de acesso de saída para dar suporte a essa conexão.

O perímetro de segurança de rede suporta regras de acesso de saída com base no FQDN (Nome de Domínio Totalmente Qualificado) do destino. Por exemplo, pode permitir acesso externo de qualquer serviço associado ao perímetro de segurança da rede a um FQDN, como mystorageaccount.blob.core.windows.net.

Para adicionar uma regra de acesso de saída no portal do Azure:

1. Vá para seu recurso de perímetro de segurança de rede no portal do Azure.

2. No painel esquerdo, selecione Perfis de configurações>.

   

3. Selecione o perfil que está a utilizar no perímetro de segurança da rede

   

4. No painel esquerdo, selecione Configurações>Regras de acesso de saída.

   

5. Selecione Adicionar.

   

6. Introduza ou selecione os seguintes valores:

   Configuração	Valor
   Nome da regra	O nome da regra de acesso de saída, por exemplo, "MyOutboundAccessRule".
   Tipo de destino	Deixe como FQDN.
   Destinos permitidos	Insira uma lista separada por vírgulas de FQDNs aos quais você deseja permitir o acesso de saída.

7. Selecione Adicionar para criar a regra de acesso de saída.

   

Teste a sua ligação através do perímetro de segurança de rede

Para testar sua conexão por meio do perímetro de segurança de rede, você precisa acessar um navegador da Web, seja em um computador local com uma conexão com a Internet ou uma VM do Azure.

1. Altere sua associação de perímetro de segurança de rede para o modo imposto para começar a aplicar os requisitos de perímetro de segurança de rede para acesso à rede ao seu serviço de pesquisa.

2. Decida se deseja usar um computador local ou uma VM do Azure.

   1. Se estiver a utilizar um computador local, precisa de saber o seu endereço IP público.
   2. Se você estiver usando uma VM do Azure, poderá usar o link privado ou verificar o endereço IP usando o portal do Azure.

3. Usando o endereço IP, pode criar uma regra de acesso de entrada para esse endereço IP para permitir o acesso. Você pode pular esta etapa se estiver usando o link privado.

4. Por fim, tente navegar até o serviço de pesquisa no portal do Azure. Se você puder exibir os índices com êxito, o perímetro de segurança de rede está configurado corretamente.

Visualizar e gerenciar a configuração do perímetro de segurança da rede

Você pode usar as APIs REST de Configuração do Perímetro de Segurança de Rede para revisar e reconciliar configurações de perímetro.

Certifique-se de usar 2025-05-01, que é a versão estável mais recente da API REST. Saiba como chamar as APIs REST do Gerenciamento de Pesquisa.

Conteúdo relacionado

• Usar o controlo de acesso baseado em funções do Azure na pesquisa de IA do Azure