Condividi tramite


Usare una rete virtuale per proteggere il traffico in ingresso o in uscita per Azure Gestione API

SI APPLICA A: Sviluppatore | Basic | Standard | Standard v2 | Premium

Per impostazione predefinita, l'Gestione API è accessibile da Internet in un endpoint pubblico e funge da gateway per back-end pubblici. Gestione API offre diverse opzioni per proteggere l'accesso all'istanza di Gestione API e alle API back-end usando una rete virtuale di Azure. Le opzioni disponibili dipendono dal livello di servizio dell'istanza di Gestione API.

  • Inserimento dell'istanza di Gestione API in una subnet nella rete virtuale, consentendo al gateway di accedere alle risorse nella rete.

    È possibile scegliere una delle due modalità di inserimento: esterna o interna. Si differenziano se la connettività in ingresso al gateway e ad altri endpoint di Gestione API è consentita da Internet o solo dall'interno della rete virtuale.

  • Integrazione dell'istanza di Gestione API con una subnet in una rete virtuale in modo che il gateway Gestione API possa effettuare richieste in uscita ai back-end API isolati nella rete.

  • Abilitazione della connettività in ingresso sicura e privata al gateway di Gestione API usando un endpoint privato.

Nella tabella seguente vengono confrontate le opzioni di rete virtuale. Per altre informazioni, vedere le sezioni successive di questo articolo e collegamenti a indicazioni dettagliate.

Modello di rete Livelli supportati Componenti supportati Traffico supportato Scenario di utilizzo
Integrazione di una rete virtuale - esterna Sviluppatore, Premium Portale per sviluppatori, gateway, piano di gestione e repository Git Il traffico in ingresso e in uscita può essere consentito a Internet, reti virtuali con peering, connessioni ExpressRoute e VPN da sito a sito. Accesso esterno a back-end privati e locali
Integrazione di una rete virtuale - interna Sviluppatore, Premium Portale per sviluppatori, gateway, piano di gestione e repository Git Il traffico in ingresso e in uscita può essere consentito a reti virtuali con peering, connessioni ExpressRoute e VPN da sito a sito. Accesso interno a back-end privati e locali
Integrazione in uscita Standard v2 Solo gateway Il traffico delle richieste in uscita può raggiungere le API ospitate in una subnet delegata di una rete virtuale. Accesso esterno a back-end privati e locali
endpoint privato in ingresso Developer, Basic, Standard, Premium Solo gateway (gateway gestito supportato, gateway self-hosted non supportato) Solo il traffico in ingresso può essere consentito da Internet, da reti virtuali con peering, expressroute e connessioni VPN da sito a sito. Proteggere la connessione client al gateway di Gestione API

Inserimento della rete virtuale

Con l'inserimento della rete virtuale, distribuire l'istanza di Gestione API in una subnet in una rete non instradabile da Internet a cui si controlla l'accesso. Nella rete virtuale l'istanza di Gestione API può accedere in modo sicuro ad altre risorse di Azure in rete e connettersi anche alle reti locali usando varie tecnologie VPN. Per altre informazioni sulle reti virtuali di Azure, iniziare con le informazioni disponibili in Panoramica della rete virtuale di Azure.

È possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure, i modelli di Azure Resource Manager o altri strumenti per la configurazione. È possibile controllare il traffico in ingresso e in uscita nella subnet in cui Gestione API viene distribuito usando gruppi di sicurezza di rete.

Per i passaggi di distribuzione dettagliati e la configurazione di rete, vedere:

Opzioni di accesso

Usando una rete virtuale, è possibile configurare il portale per sviluppatori, il gateway API e altri endpoint di Gestione API in modo che siano accessibili da Internet (modalità esterna) o solo all'interno della rete virtuale (modalità interna).

  • Esterni: gli endpoint di Gestione API sono accessibili dalla rete Internet pubblica tramite un servizio di bilanciamento del carico esterno. Il gateway può accedere alle risorse all'interno della rete virtuale.

    Diagramma che mostra una connessione a una rete virtuale esterna.

    Usare Gestione API in modalità esterna per accedere ai servizi back-end distribuiti nella rete virtuale.

  • Interni: gli endpoint di Gestione API sono accessibili solo dall'interno della rete virtuale tramite un servizio di bilanciamento del carico interno. Il gateway può accedere alle risorse all'interno della rete virtuale.

    Diagramma che mostra una connessione alla rete virtuale interna.

    Usare Gestione API in modalità interna per:

    • Rendere le API ospitate nel data center privato in modo sicuro accessibili da terze parti tramite connessioni VPN di Azure o Azure ExpressRoute.
    • Abilitare scenari cloud ibridi esponendo le API basate su cloud e locali tramite un gateway comune.
    • Gestire le API ospitate in più aree geografiche usando un singolo endpoint del gateway.

Integrazione in uscita

Il livello Standard v2 supporta l'integrazione della rete virtuale per consentire all'istanza di Gestione API di raggiungere i back-end api isolati in una singola rete virtuale connessa. Il gateway di Gestione API, il piano di gestione e il portale per sviluppatori rimangono accessibili pubblicamente da Internet.

L'integrazione in uscita consente all'istanza di Gestione API di raggiungere i servizi back-end pubblici e isolati dalla rete.

Diagramma dell'integrazione di Gestione API'istanza con una subnet delegata.

Per altre informazioni, vedere Integrare un'istanza di Azure Gestione API con una rete virtuale privata per le connessioni in uscita.

Endpoint privato in ingresso

Gestione API supporta endpoint privati per connessioni client in ingresso sicure all'istanza di Gestione API. Ogni connessione sicura usa un indirizzo IP privato dalla rete virtuale e dal collegamento privato di Azure.

Diagramma che mostra una connessione sicura a Gestione API usando l'endpoint privato.

Con un endpoint privato e collegamento privato è possibile:

  • Creare più connessioni del collegamento privato a un'istanza di Gestione API.

  • Usare l'endpoint privato per inviare il traffico in ingresso su una connessione sicura.

  • Usare criteri per distinguere il traffico proveniente dall'endpoint privato.

  • Limitare il traffico in ingresso solo agli endpoint privati, impedendo l'esfiltrazione di dati.

Importante

  • È possibile configurare solo una connessione endpoint privato per traffico in ingresso all'istanza di Gestione API. Attualmente, il traffico in uscita non è supportato.

    È possibile usare il modello di rete virtuale esterna o interna per stabilire la connettività in uscita agli endpoint privati dall'istanza di Gestione API.

  • Per abilitare gli endpoint privati in ingresso, l'istanza di Gestione API non può essere inserita in una rete virtuale esterna o interna.

Per altre informazioni, vedere Connettersi privatamente a Gestione API usando un endpoint privato in ingresso.

Configurazioni di rete avanzate

Proteggere gli endpoint di Gestione API con un web application firewall

Si possono avere scenari in cui è necessario un accesso esterno e interno sicuro all'istanza di Gestione API e flessibilità per raggiungere back-end privati e locali. Per questi scenari, è possibile scegliere di gestire l'accesso esterno agli endpoint di un'istanza di Gestione API con un web application firewall (WAF).

Un esempio consiste nel distribuire un'istanza di Gestione API in una rete virtuale interna e instradare l'accesso pubblico usando un gateway applicazione di Azure con connessione Internet:

Diagramma che mostra gateway applicazione davanti all'istanza di Gestione API.

Per altre informazioni, vedere Distribuire Gestione API in una rete virtuale interna con il gateway applicazione.

Passaggi successivi

Altre informazioni su:

Configurazione della rete virtuale con Gestione API:

Articoli correlati: