Usare una rete virtuale per proteggere il traffico in ingresso o in uscita per Azure Gestione API
SI APPLICA A: Sviluppatore | Basic | Standard | Standard v2 | Premium
Per impostazione predefinita, l'Gestione API è accessibile da Internet in un endpoint pubblico e funge da gateway per back-end pubblici. Gestione API offre diverse opzioni per proteggere l'accesso all'istanza di Gestione API e alle API back-end usando una rete virtuale di Azure. Le opzioni disponibili dipendono dal livello di servizio dell'istanza di Gestione API.
Inserimento dell'istanza di Gestione API in una subnet nella rete virtuale, consentendo al gateway di accedere alle risorse nella rete.
È possibile scegliere una delle due modalità di inserimento: esterna o interna. Si differenziano se la connettività in ingresso al gateway e ad altri endpoint di Gestione API è consentita da Internet o solo dall'interno della rete virtuale.
Integrazione dell'istanza di Gestione API con una subnet in una rete virtuale in modo che il gateway Gestione API possa effettuare richieste in uscita ai back-end API isolati nella rete.
Abilitazione della connettività in ingresso sicura e privata al gateway di Gestione API usando un endpoint privato.
Nella tabella seguente vengono confrontate le opzioni di rete virtuale. Per altre informazioni, vedere le sezioni successive di questo articolo e collegamenti a indicazioni dettagliate.
| Modello di rete | Livelli supportati | Componenti supportati | Traffico supportato | Scenario di utilizzo |
|---|---|---|---|---|
| Integrazione di una rete virtuale - esterna | Sviluppatore, Premium | Portale per sviluppatori, gateway, piano di gestione e repository Git | Il traffico in ingresso e in uscita può essere consentito a Internet, reti virtuali con peering, connessioni ExpressRoute e VPN da sito a sito. | Accesso esterno a back-end privati e locali |
| Integrazione di una rete virtuale - interna | Sviluppatore, Premium | Portale per sviluppatori, gateway, piano di gestione e repository Git | Il traffico in ingresso e in uscita può essere consentito a reti virtuali con peering, connessioni ExpressRoute e VPN da sito a sito. | Accesso interno a back-end privati e locali |
| Integrazione in uscita | Standard v2 | Solo gateway | Il traffico delle richieste in uscita può raggiungere le API ospitate in una subnet delegata di una rete virtuale. | Accesso esterno a back-end privati e locali |
| endpoint privato in ingresso | Developer, Basic, Standard, Premium | Solo gateway (gateway gestito supportato, gateway self-hosted non supportato) | Solo il traffico in ingresso può essere consentito da Internet, da reti virtuali con peering, expressroute e connessioni VPN da sito a sito. | Proteggere la connessione client al gateway di Gestione API |
Inserimento della rete virtuale
Con l'inserimento della rete virtuale, distribuire l'istanza di Gestione API in una subnet in una rete non instradabile da Internet a cui si controlla l'accesso. Nella rete virtuale l'istanza di Gestione API può accedere in modo sicuro ad altre risorse di Azure in rete e connettersi anche alle reti locali usando varie tecnologie VPN. Per altre informazioni sulle reti virtuali di Azure, iniziare con le informazioni disponibili in Panoramica della rete virtuale di Azure.
È possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure, i modelli di Azure Resource Manager o altri strumenti per la configurazione. È possibile controllare il traffico in ingresso e in uscita nella subnet in cui Gestione API viene distribuito usando gruppi di sicurezza di rete.
Per i passaggi di distribuzione dettagliati e la configurazione di rete, vedere:
- Distribuire l'istanza di Gestione API in una rete virtuale: modalità esterna.
- Distribuire l'istanza di Gestione API in una rete virtuale: modalità interna.
- Requisiti delle risorse di rete per Gestione API l'inserimento in una rete virtuale.
Opzioni di accesso
Usando una rete virtuale, è possibile configurare il portale per sviluppatori, il gateway API e altri endpoint di Gestione API in modo che siano accessibili da Internet (modalità esterna) o solo all'interno della rete virtuale (modalità interna).
Esterni: gli endpoint di Gestione API sono accessibili dalla rete Internet pubblica tramite un servizio di bilanciamento del carico esterno. Il gateway può accedere alle risorse all'interno della rete virtuale.
Usare Gestione API in modalità esterna per accedere ai servizi back-end distribuiti nella rete virtuale.
Interni: gli endpoint di Gestione API sono accessibili solo dall'interno della rete virtuale tramite un servizio di bilanciamento del carico interno. Il gateway può accedere alle risorse all'interno della rete virtuale.
Usare Gestione API in modalità interna per:
- Rendere le API ospitate nel data center privato in modo sicuro accessibili da terze parti tramite connessioni VPN di Azure o Azure ExpressRoute.
- Abilitare scenari cloud ibridi esponendo le API basate su cloud e locali tramite un gateway comune.
- Gestire le API ospitate in più aree geografiche usando un singolo endpoint del gateway.
Integrazione in uscita
Il livello Standard v2 supporta l'integrazione della rete virtuale per consentire all'istanza di Gestione API di raggiungere i back-end api isolati in una singola rete virtuale connessa. Il gateway di Gestione API, il piano di gestione e il portale per sviluppatori rimangono accessibili pubblicamente da Internet.
L'integrazione in uscita consente all'istanza di Gestione API di raggiungere i servizi back-end pubblici e isolati dalla rete.
Per altre informazioni, vedere Integrare un'istanza di Azure Gestione API con una rete virtuale privata per le connessioni in uscita.
Endpoint privato in ingresso
Gestione API supporta endpoint privati per connessioni client in ingresso sicure all'istanza di Gestione API. Ogni connessione sicura usa un indirizzo IP privato dalla rete virtuale e dal collegamento privato di Azure.
Con un endpoint privato e collegamento privato è possibile:
Creare più connessioni del collegamento privato a un'istanza di Gestione API.
Usare l'endpoint privato per inviare il traffico in ingresso su una connessione sicura.
Usare criteri per distinguere il traffico proveniente dall'endpoint privato.
Limitare il traffico in ingresso solo agli endpoint privati, impedendo l'esfiltrazione di dati.
Importante
È possibile configurare solo una connessione endpoint privato per traffico in ingresso all'istanza di Gestione API. Attualmente, il traffico in uscita non è supportato.
È possibile usare il modello di rete virtuale esterna o interna per stabilire la connettività in uscita agli endpoint privati dall'istanza di Gestione API.
Per abilitare gli endpoint privati in ingresso, l'istanza di Gestione API non può essere inserita in una rete virtuale esterna o interna.
Per altre informazioni, vedere Connettersi privatamente a Gestione API usando un endpoint privato in ingresso.
Configurazioni di rete avanzate
Proteggere gli endpoint di Gestione API con un web application firewall
Si possono avere scenari in cui è necessario un accesso esterno e interno sicuro all'istanza di Gestione API e flessibilità per raggiungere back-end privati e locali. Per questi scenari, è possibile scegliere di gestire l'accesso esterno agli endpoint di un'istanza di Gestione API con un web application firewall (WAF).
Un esempio consiste nel distribuire un'istanza di Gestione API in una rete virtuale interna e instradare l'accesso pubblico usando un gateway applicazione di Azure con connessione Internet:
Per altre informazioni, vedere Distribuire Gestione API in una rete virtuale interna con il gateway applicazione.
Passaggi successivi
Altre informazioni su:
Configurazione della rete virtuale con Gestione API:
- Distribuire l'istanza di Gestione API di Azure in una rete virtuale, ovvero la modalità esterna.
- Distribuire l'istanza di Gestione API di Azure in una rete virtuale, ovvero la modalità interna.
- Connettersi privatamente a Gestione API usando un endpoint privato
- Integrare un'istanza di Azure Gestione API con una rete virtuale privata per le connessioni in uscita
- Difendere l'istanza di Gestione API di Azure dagli attacchi DDoS
Articoli correlati: