Configuración de un firewall de IP para Azure Cognitive Search
Azure Cognitive Search admite reglas de IP para el acceso de entrada a través de un firewall, de forma similar a las reglas de IP que encontrará en un grupo de seguridad de red virtual de Azure. Al aprovechar las reglas de IP, puede restringir el acceso del servicio de búsqueda a un conjunto aprobado de máquinas y servicios en la nube. El acceso a los datos almacenados en el servicio de búsqueda desde los conjuntos aprobados de máquinas y servicios seguirá necesitando que el autor de la llamada presente un token de autorización válido.
Puede establecer reglas de IP en Azure Portal, como se describe en este artículo, en los servicios de búsqueda aprovisionados en el nivel Básico y superiores. También puede usar la API de REST de administración, versión 2020-03-13, Azure PowerShell o la CLI de Azure.
Establecimiento de intervalos IP en Azure Portal
Para establecer la directiva de control de acceso IP en Azure Portal, vaya a la página del servicio Azure Cognitive Search y seleccione Redes en el panel de navegación izquierdo. La conectividad de red del punto de conexión debe ser Acceso público. Si la conectividad está establecida en Acceso privado o Shared Private Access (Acceso privado compartido), solo puede obtener acceso al servicio de búsqueda a través de un punto de conexión privado.
Azure Portal proporciona la capacidad para especificar direcciones IP e intervalos de direcciones IP en formato CIDR. Un ejemplo de notación CIDR es 8.8.8.0/24, que representa las direcciones IP que van de 8.8.8.0 a 8.8.8.255.
Después de habilitar la directiva de control de acceso de direcciones IP en el servicio de Azure Cognitive Search, se rechazan todas las solicitudes al plano de datos desde máquinas que estén fuera de la lista permitida de rangos de direcciones IP.
Permitir el acceso desde Azure Portal
De forma predeterminada, cuando se configuran reglas de IP, algunas características de Azure Portal están deshabilitadas. Podrá ver y administrar la información de nivel de servicio, pero el acceso del portal a índices, indexadores y otros recursos de nivel superior está restringido.
Para conservar la administración del servicio a través del portal, en Excepciones, seleccione la opción "Permitir acceso". Como alternativa, use la extensión de VS Code para administrar el contenido.
Permitir el acceso desde el cliente
Las aplicaciones cliente que insertan solicitudes de indexación y consulta en el servicio de búsqueda deben representarse en un intervalo IP. En Azure, generalmente puede determinar la dirección IP haciendo ping al FQDN de un servicio (por ejemplo, ping <your-search-service-name>.search.windows.net devolverá la dirección IP de un servicio de búsqueda).
Proporcionar direcciones IP para los clientes garantiza que la solicitud no se rechace directamente; sin embargo, para un acceso correcto al contenido y las operaciones, también es necesaria la autorización. Use una de las metodologías siguientes para autenticar la solicitud:
- Autenticación basada en claves, donde se proporciona una clave de API de consulta o administrador en la solicitud
- Autorización basada en roles, donde el autor de la llamada es miembro de un rol de seguridad en un servicio de búsqueda y la aplicación registrada presenta un token de OAuth desde Azure Active Directory.
Solicitudes rechazadas
Cuando las solicitudes proceden de direcciones IP que no están en la lista de permitidas, se devuelve una respuesta genérica 403 Prohibido sin detalles adicionales.
Pasos siguientes
Si la aplicación cliente es una aplicación web estática en Azure, aprenda a determinar su intervalo IP para su inclusión en una regla de firewall de IP del servicio de búsqueda.