Utiliser un réseau virtuel pour sécuriser le trafic entrant ou sortant pour Gestion des API Azure
S’APPLIQUE À : Développeur | De base | Standard | Standard v2 | Premium
Par défaut, votre Gestion des API est accessible depuis Internet sur un point de terminaison public et sert de passerelle aux back-ends publics. Gestion des API offre plusieurs options pour sécuriser l’accès à votre instance Gestion des API et aux API de back-end en utilisant un réseau virtuel Azure. Les options disponibles dépendent du niveau de service de votre instance Gestion des API.
Injection de l’instance de Gestion des API dans un sous-réseau du réseau virtuel, ce qui permet à la passerelle d’accéder aux ressources du réseau.
Vous pouvez choisir l’un des deux modes d’injection suivants : externe ou interne. Ils diffèrent quant au fait que la connectivité entrante à la passerelle et à d’autres points de terminaison Gestion des API est autorisée à partir d’Internet ou uniquement à partir du réseau virtuel.
Integration de votre instance Gestion des API avec un sous-réseau dans un réseau virtuel, afin que votre passerelle Gestion des API puisse effectuer des requêtes sortantes vers des back-ends d’API isolés dans le réseau.
Activation de la connectivité entrante sécurisée et privée pour la passerelle Gestion des API à l’aide d’un point de terminaison privé.
Le tableau suivant compare les options de réseau virtuel. Pour plus d’informations, consultez les sections ultérieures de cet article et les liens vers des instructions détaillées.
| Modèle réseau | Niveaux pris en charge | Composants pris en charge | Trafic pris en charge | Scénario d’usage |
|---|---|---|---|---|
| Injection sur le réseau virtuel - externe | Développeur, Premium | Portail des développeurs, passerelle, plan de gestion et dépôt Git | Le trafic entrant et sortant peut être autorisé vers Internet, les réseaux virtuels appairés, Express Route et les connexions VPN S2S. | Accès externe aux back-ends privés et locaux |
| Injection sur le réseau virtuel - interne | Développeur, Premium | Portail des développeurs, passerelle, plan de gestion et dépôt Git | Le trafic entrant et sortant peut être autorisé vers des réseaux virtuels appairés, Express Route et des connexions VPN S2S. | Accès interne aux back-ends privés et locaux |
| Intégration du trafic sortant | Standard v2 | Passerelle uniquement | Le trafic de requêtes sortant peut atteindre les API hébergées dans un sous-réseau délégué d’un réseau virtuel. | Accès externe aux back-ends privés et locaux |
| Point de terminaison privé entrant | Développeur, De base, Standard, Premium | Passerelle uniquement (passerelle managée prise en charge, passerelle auto-hébergée non prise en charge) | Seul le trafic entrant peut être autorisé à partir d’Internet, de réseaux virtuels appairés, d’Express Route et de connexions VPN S2S. | Sécuriser la connexion cliente à la passerelle Gestion des API |
Injection sur le réseau virtuel
Avec l’injection VNet, déployez (« injecter ») votre instance Gestion des API dans un sous-réseau de réseau non routable sur Internet auquel vous contrôlez l’accès. Dans le réseau virtuel, votre instance Gestion des API peut accéder en toute sécurité à d’autres ressources Azure en réseau et se connecter à des réseaux locaux à l’aide de diverses technologies VPN. Pour en savoir plus sur les VNets Azure, commencez par consulter les informations fournies dans Vue d’ensemble du réseau virtuel Azure.
Vous pouvez utiliser le Portail Azure, Azure CLI, les modèles Azure Resource Manager ou d’autres outils pour la configuration. Vous contrôlez le trafic entrant et sortant dans le sous-réseau dans lequel la gestion des API est déployée à l’aide des groupes de sécurité réseau.
Pour obtenir des instructions détaillées sur le déploiement et la configuration du réseau, consultez :
- Déployer votre instance Gestion des API dans un réseau virtuel - en mode externe.
- Déployer votre instance Gestion des API dans un réseau virtuel - en mode interne.
- Exigences en matière de ressources réseau pour l’injection de Gestion des API dans un réseau virtuel
Options d’accès
À l’aide d’un réseau virtuel, vous pouvez configurer le portail des développeurs, la passerelle d’API et d’autres points de terminaison de Gestion des API pour qu’ils soient accessibles à partir d’Internet (mode externe) ou uniquement au sein du VNet (mode interne).
Externe : les points de terminaison de la Gestion des API sont accessibles à partir de l’Internet public via un équilibreur de charge externe. La passerelle peut accéder aux ressources au sein du VNet.
Utilisez la Gestion des API en mode externe pour accéder aux services principaux déployés dans le réseau virtuel.
Interne : les points de terminaison de la Gestion des API sont accessibles uniquement au sein du VNet via un équilibreur de charge interne. La passerelle peut accéder aux ressources au sein du VNet.
Utilisez la Gestion des API en mode interne pour :
- Rendre les API hébergées dans votre centre de données privé accessibles en toute sécurité à des tiers à l’aide de connexions Azure VPN ou Azure ExpressRoute.
- Activer les scénarios de cloud hybride en exposant vos API cloud et sur site par le biais d’une passerelle commune.
- Gérer vos API hébergées dans plusieurs localisations géographiques à l’aide d’un seul point de terminaison de passerelle.
Intégration du trafic sortant
Le niveau Standard v2 prend en charge l’intégration de réseau virtuel pour permettre à votre instance Gestion des API d’atteindre les back-ends d’API isolés dans un seul réseau virtuel connecté. La passerelle de Gestion des API, le plan de gestion et le portail des développeurs restent accessibles au public depuis Internet.
L’intégration du trafic sortant permet à l’instance Gestion des API d’atteindre les services back-ends publics et isolés du réseau.
Pour plus d’informations, consultez Intégrer une instance Gestion des API Azure à un réseau virtuel privé pour les connexions de trafic sortant.
Point de terminaison privé entrant
Gestion des API prend en charge les points de terminaison privés pour sécuriser les connexions entrantes de clients à votre instance de Gestion des API. Chaque connexion sécurisée utilise une adresse IP privée de votre réseau virtuel et Azure Private Link.
Grâce à un point de terminaison privé et Private Link, vous pouvez :
Créer plusieurs connexions Private Link à une instance de Gestion des API.
Utiliser le point de terminaison privé pour envoyer le trafic entrant sur une connexion sécurisée.
Utiliser une stratégie pour distinguer le trafic qui provient du point de terminaison privé.
Limiter le trafic entrant uniquement aux points de terminaison privés, afin d’éviter l’exfiltration de données.
Important
Vous pouvez uniquement configurer une connexion de point de terminaison privé pour le trafic entrant vers l’instance Gestion des API. Le trafic sortant n’est actuellement pas pris en charge.
Vous pouvez utiliser le modèle réseau virtuel externe ou interne pour établir une connectivité sortante vers des points de terminaison privés à partir de votre instance Gestion des API.
Pour activer les points de terminaison privés entrants, l'instance de gestion des API ne peut pas être injectée dans un réseau virtuel externe ou interne.
Pour plus d’informations, consultez Se connecter en privé à Gestion des API à l’aide d’un point de terminaison privé entrant.
Configurations réseau avancées
Sécuriser les points de terminaison Gestion des API avec un pare-feu d’applications web
Vous pouvez avoir des scénarios dans lesquels vous avez besoin d’un accès externe et interne sécurisé à votre instance de Gestion des API, et de flexibilité pour joindre des back-ends privés et locaux. Pour ces scénarios, vous pouvez choisir de gérer l’accès externe aux points de terminaison d’une instance de Gestion des API avec un pare-feu d’applications web (WAF).
Par exemple, déployez une instance de Gestion des API dans un réseau virtuel interne, et routez l’accès public à celui-ci à l’aide d’une passerelle Azure Application Gateway accessible sur Internet :
Pour plus d’informations, consultez Déployer le service Gestion des API dans un réseau virtuel interne avec Application Gateway.
Étapes suivantes
Pour en savoir plus :
Configuration de réseau virtuel avec Gestion des API :
- Déployer votre instance Gestion des API Azure dans un réseau virtuel - en mode externe.
- Déployer votre instance Gestion des API Azure dans un réseau virtuel - en mode interne.
- Se connecter en privé à Gestion des API à l’aide d’un point de terminaison privé
- Intégrer une instance Gestion des API Azure à un réseau virtuel privé pour les connexions de trafic sortant
- Défendre votre instance Gestion des API Azure contre les attaques DDoS
Articles connexes :