Použití virtuální sítě k zabezpečení příchozího nebo odchozího provozu pro Azure API Management
PLATÍ PRO: Vývojář | Základní | Standardní | Standard v2 | Premium
Ve výchozím nastavení se služba API Management přistupuje z internetu na veřejném koncovém bodu a funguje jako brána pro veřejné back-endy. Služba API Management nabízí několik možností zabezpečení přístupu k vaší instanci služby API Management a back-endovým rozhraním API pomocí virtuální sítě Azure. Dostupné možnosti závisí na úrovni služby vaší instance služby API Management.
Injektáž instance služby API Management do podsítě ve virtuální síti, která bráně umožňuje přístup k prostředkům v síti.
Můžete zvolit jeden ze dvou režimů injektáže: externí nebo interní. Liší se v tom, jestli je povolené příchozí připojení k bráně a dalším koncovým bodům služby API Management z internetu nebo jenom z virtuální sítě.
Integrace instance služby API Management s podsítí ve virtuální síti, aby brána služby API Management mohl provádět odchozí požadavky na back-endy rozhraní API, které jsou izolované v síti.
Povolení zabezpečeného a privátního příchozího připojení k bráně služby API Management pomocí privátního koncového bodu
Následující tabulka porovnává možnosti virtuálních sítí. Další informace najdete v dalších částech tohoto článku a odkazy na podrobné pokyny.
| Síťový model | Podporované úrovně | Podporované komponenty | Podporovaný provoz | Scénář použití |
|---|---|---|---|---|
| Injektáž virtuální sítě – externí | Vývojář, Premium | Portál pro vývojáře, brána, rovina správy a úložiště Git | Příchozí a odchozí provoz je možné povolit pro připojení k internetu, partnerským virtuálním sítím, ExpressRoute a S2S VPN. | Externí přístup k privátním a místním back-endům |
| Injektáž virtuální sítě – interní | Vývojář, Premium | Portál pro vývojáře, brána, rovina správy a úložiště Git | Příchozí a odchozí provoz je možné povolit pro partnerské virtuální sítě, ExpressRoute a připojení VPN typu S2S. | Interní přístup k privátním a místním back-endům |
| Odchozí integrace | Standard v2 | Pouze brána | Odchozí provoz požadavků může dosáhnout rozhraní API hostovaných v delegované podsíti virtuální sítě. | Externí přístup k privátním a místním back-endům |
| Příchozí privátní koncový bod | Vývojář, Basic, Standard, Premium | Pouze brána (podporovaná spravovaná brána, brána v místním prostředí se nepodporuje) | Z internetu, partnerských virtuálních sítí, ExpressRoute a připojení VPN S2S je možné povolit pouze příchozí provoz. | Zabezpečení připojení klienta k bráně služby API Management |
Injektáž virtuální sítě
Pomocí injektáže virtuální sítě nasaďte instanci služby API Management do podsítě v jiné než internetové směrovatelné síti, do které řídíte přístup. Ve virtuální síti může vaše instance služby API Management bezpečně přistupovat k dalším síťovým prostředkům Azure a také se připojovat k místním sítím pomocí různých technologií VPN. Pokud chcete získat další informace o virtuálních sítích Azure, začněte informacemi v přehledu služby Azure Virtual Network.
Pro konfiguraci můžete použít Azure Portal, Azure CLI, šablony Azure Resource Manageru nebo jiné nástroje. Řídíte příchozí a odchozí provoz do podsítě, ve které je služba API Management nasazená pomocí skupin zabezpečení sítě.
Podrobné kroky nasazení a konfigurace sítě najdete v následujících tématech:
- Nasaďte instanci služby API Management do virtuální sítě – externí režim.
- Nasaďte instanci služby API Management do virtuální sítě – interní režim.
- Požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě
Možnosti přístupu
Pomocí virtuální sítě můžete nakonfigurovat portál pro vývojáře, bránu rozhraní API a další koncové body služby API Management tak, aby byly přístupné buď z internetu (externího režimu), nebo jenom v rámci virtuální sítě (interního režimu).
Externí – Koncové body služby API Management jsou přístupné z veřejného internetu prostřednictvím externího nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům v rámci virtuální sítě.
Použití služby API Management v externím režimu pro přístup k back-endovým službám nasazených ve virtuální síti.
Interní – Koncové body služby API Management jsou přístupné jenom z virtuální sítě prostřednictvím interního nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům v rámci virtuální sítě.
Použití služby API Management v interním režimu k:
- Zajistěte, aby rozhraní API hostovaná ve vašem privátním datacentru byla zabezpečená přístupná třetími stranami pomocí připojení Azure VPN nebo Azure ExpressRoute.
- Povolte hybridní cloudové scénáře zveřejněním cloudových rozhraní API a místních rozhraní API prostřednictvím společné brány.
- Spravujte svá rozhraní API hostovaná v několika geografických umístěních pomocí jednoho koncového bodu brány.
Odchozí integrace
Úroveň Standard v2 podporuje integraci virtuální sítě, která umožňuje vaší instanci služby API Management dosáhnout back-endů rozhraní API, které jsou izolované v jedné připojené virtuální síti. Brána služby API Management, rovina správy a portál pro vývojáře zůstávají veřejně přístupné z internetu.
Odchozí integrace umožňuje instanci služby API Management oslovit jak veřejné, tak i síťové izolované back-endové služby.
Další informace najdete v tématu Integrace instance služby Azure API Management s privátní virtuální sítí pro odchozí připojení.
Příchozí privátní koncový bod
Služba API Management podporuje privátní koncové body pro zabezpečená příchozí klientská připojení k vaší instanci služby API Management. Každé zabezpečené připojení používá privátní IP adresu z vaší virtuální sítě a Azure Private Linku.
S privátním koncovým bodem a službou Private Link můžete:
Vytvořit více připojení Private Link k instanci služby API Management.
Používat privátní koncový bod k odesílání příchozích přenosů v zabezpečeném připojení.
Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.
Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.
Důležité
Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management. Odchozí provoz se v současné době nepodporuje.
Model externí nebo interní virtuální sítě můžete použít k navázání odchozího připojení k privátním koncovým bodům z vaší instance služby API Management.
Pokud chcete povolit příchozí privátní koncové body, instance služby API Management se nedá vložit do externí nebo interní virtuální sítě.
Další informace najdete v tématu Připojení soukromě do služby API Management pomocí příchozího privátního koncového bodu.
Pokročilé konfigurace sítí
Zabezpečení koncových bodů služby API Management pomocí firewallu webových aplikací
Můžete mít scénáře, kdy potřebujete zabezpečený externí i interní přístup k instanci služby API Management a flexibilitu pro přístup k privátním i místním back-endům. V těchto scénářích se můžete rozhodnout spravovat externí přístup ke koncovým bodům instance služby API Management pomocí firewallu webových aplikací (WAF).
Jedním z příkladů je nasazení instance služby API Management v interní virtuální síti a směrování veřejného přístupu k ní pomocí internetové brány Aplikace Azure:
Další informace najdete v tématu Nasazení služby API Management v interní virtuální síti se službou Application Gateway.
Další kroky
Přečtěte si další informace:
Konfigurace virtuální sítě pomocí služby API Management:
- Nasaďte instanci služby Azure API Management do virtuální sítě – externí režim.
- Nasaďte instanci služby Azure API Management do virtuální sítě – interní režim.
- Připojení soukromě do služby API Management pomocí privátního koncového bodu
- Integrace instance služby Azure API Management s privátní virtuální sítí pro odchozí připojení
- Obrana instance služby Azure API Management před útoky DDoS
Související články: