Usar uma rede virtual para proteger o tráfego de entrada ou saída para o Gerenciamento de API do Azure
APLICA-SE A: Desenvolvedor | Básico | Padrão | Standard v2 | Premium
Por padrão, o Gerenciamento de API é acessado da Internet em um ponto de extremidade público e atua como um gateway para back-ends públicos. O Gerenciamento de API fornece várias opções para proteger o acesso à sua instância de Gerenciamento de API e fazer back-end de APIs usando uma rede virtual do Azure. As opções disponíveis dependem da camada de serviço da instância de Gerenciamento de API.
Injeção da instância de Gerenciamento de API em uma sub-rede na rede virtual, permitindo que o gateway acesse recursos na rede.
Você pode escolher um dos dois modos de injeção: externo ou interno. Eles diferem se a conectividade de entrada com o gateway e outros pontos de extremidade de Gerenciamento de API é permitida na Internet ou somente de dentro da rede virtual.
integração de sua instância de Gerenciamento de API com uma sub-rede em uma rede virtual para que o gateway de Gerenciamento de API possa fazer solicitações de saída para back-ends de API isolados na rede.
Habilitar a conectividade de entrada segura e privada para o gateway de Gerenciamento de API usando um ponto de extremidade privado.
A tabela a seguir compara as opções de rede virtual. Para obter mais informações, consulte as seções posteriores deste artigo e os links para diretrizes detalhadas.
| Modelo de rede | Camadas com suporte | Componentes com suporte | Tráfego com suporte | Cenário de uso |
|---|---|---|---|---|
| Injeção de rede virtual – externo | Desenvolvedor, Premium | Portal do Desenvolvedor, gateway, plano de gerenciamento e repositório Git. | O tráfego de entrada e saída pode ter permissão para conexões à Internet, redes virtuais emparelhadas, Rota Expressa e VPN S2S. | Acesso externo a back-ends privados e locais |
| Injeção de rede virtual – interno | Desenvolvedor, Premium | Portal do Desenvolvedor, gateway, plano de gerenciamento e repositório Git. | O tráfego de entrada e saída pode ter permissão para conexões de redes virtuais emparelhadas, Rota Expressa e VPN S2S. | Acesso interno a back-ends privados e locais |
| Integração de saída | Standard v2 | Somente gateway | O tráfego de solicitação de saída pode alcançar APIs hospedadas em uma sub-rede delegada de uma rede virtual. | Acesso externo a back-ends privados e locais |
| Ponto de extremidade privado de entrada | Desenvolvedor, Básico, Standard e Premium | Somente gateway (gateway gerenciado com suporte, gateway auto-hospedado sem suporte) | Apenas tráfego de entrada pode ter permissão para conexões à Internet, redes virtuais emparelhadas, Rota Expressa e VPN S2S. | Proteger a conexão do cliente com o gateway de Gerenciamento de API |
Injeção da rede virtual
Com a injeção VNet, implemente ("injete") a sua instância de Gerenciamento de API em uma sub-rede numa rede não roteável pela Internet à qual controla o acesso. Na rede virtual, sua instância de Gerenciamento de API pode acessar com segurança outros recursos do Azure em rede e também se conectar a redes locais usando várias tecnologias de VPN. Para saber mais sobre as VNets do Azure, confira a Visão geral da Rede Virtual do Azure.
Você pode usar o portal do Azure, a CLI do Azure, modelos do Azure Resource Manager ou outras ferramentas para a configuração. Você controla o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando grupos de segurança de rede.
Para etapas detalhadas de implantação e configuração de rede, confira:
- Implantar sua instância de Gerenciamento de API em uma rede virtual – modo externo.
- Implantar sua instância de Gerenciamento de API em uma rede virtual – modo interno.
- Requisitos de recursos de rede para injeção do Gerenciamento de API em uma rede virtual.
Opções de acesso
Usando uma rede virtual, você pode configurar o portal do desenvolvedor, o gateway de API e outros pontos de extremidade do Gerenciamento de API para serem acessíveis a partir da Internet (modo externo) ou apenas dentro da VNet (modo interno).
Externo: os pontos de extremidade de gerenciamento de API podem ser acessados na Internet pública por meio de um balanceador de carga externo. O gateway pode acessar recursos na VNet.
Use o gerenciamento de API no modo externo para acessar os serviços de back-end implantados na rede virtual.
Interno: os pontos de extremidade do Gerenciamento de API só podem ser acessados de dentro da VNet por meio de um balanceador de carga interno. O gateway pode acessar recursos na VNet.
Use o Gerenciamento de API no modo interno para:
- Torne as APIs hospedadas no seu datacenter privado seguras e acessíveis por terceiros usando as conexões VPN do Azure ou o Azure ExpressRoute.
- Habilite cenários de nuvem híbrida expondo as APIs baseadas em nuvem e as APIs locais por meio de um gateway comum.
- Gerencie suas APIs hospedadas em várias localizações geográficas usando um único ponto de extremidade de gateway.
Integração de saída
A camada Standard v2 dá suporte à integração VNet para permitir que sua instância de Gerenciamento de API alcance back-ends de API isolados em uma única VNet conectada. O gateway de Gerenciamento de API, o plano de gerenciamento e o portal do desenvolvedor permanecem publicamente acessíveis pela Internet.
A integração de saída permite que a instância de Gerenciamento de API alcance serviços de back-end públicos e isolados de rede.
Para obter mais informações, consulte Integrar uma instância do Gerenciamento de API do Azure com uma VNet privada para conexões de saída.
Ponto de extremidade privado de entrada
Gerenciamento de API dá suporte a pontos de extremidade privados para conexões de cliente de entrada seguras com sua instância de Gerenciamento de API. Cada conexão segura usa um endereço IP privado de sua rede virtual e Link Privado do Azure.
Com um ponto de extremidade privado e um Link Privado, você pode:
Criar várias conexões de Link Privado com uma instância de Gerenciamento de API.
Usar o ponto de extremidade privado para enviar tráfego de entrada em uma conexão segura.
Usar a política para distinguir o tráfego proveniente do ponto de extremidade privado.
Limitar o tráfego de entrada somente para pontos de extremidade privados, impedindo exfiltração de dados.
Importante
Você só pode configurar uma conexão de ponto de extremidade privado para o tráfego de entrada para a instância de Gerenciamento de API. Atualmente, não há suporte para o tráfego de saída.
Você pode usar o modelo de rede virtual externa ou interna para estabelecer a conectividade de saída para pontos de extremidade privados a partir da sua instância de Gerenciamento de API.
Para habilitar pontos de extremidade privados de entrada, a instância do Gerenciamento de API não pode ser injetada em uma rede virtual interna ou externa.
Para mais informações, consulte Conexão de maneira privada ao Gerenciamento de API usando um ponto de extremidade privado de entrada.
Configurações de rede avançadas
Proteger pontos de extremidade de Gerenciamento de API com um firewall de aplicativo Web
Você pode ter cenários em que precisa de acesso externo e interno seguro à sua instância de Gerenciamento de API e flexibilidade para alcançar back-ends privados e locais. Para esses cenários, você pode optar por gerenciar o acesso externo aos pontos de extremidade de uma instância de Gerenciamento de API com um WAF (firewall de aplicativo Web).
Um exemplo é implantar uma instância de Gerenciamento de API em uma rede virtual interna e rotear o acesso público a ela usando um Gateway de Aplicativo do Azure voltada para a Internet:
Para mais informações, consulte Como implantar o Gerenciamento de API em uma rede virtual interna com o Gateway de Aplicativo.
Próximas etapas
Saiba mais sobre:
Configuração de rede virtual com Gerenciamento de API:
- Implantar sua instância de Gerenciamento de API do Azure em uma rede virtual – modo externo.
- Implantar sua instância de Gerenciamento de API do Azure em uma rede virtual – modo interno.
- Conexão de maneira privada ao Gerenciamento de API usando um ponto de extremidade privado
- integrar uma instância de Gerenciamento de API do Azure a uma VNet privada para conexões de saída
- Defender a instância de Gerenciamento de API do Azure contra ataques de DDoS
Artigos relacionados: