Uso de una red virtual para proteger el tráfico entrante y saliente para Azure API Management
SE APLICA A: Desarrollador | Básico | Estándar | Estándar v2 | Premium
De forma predeterminada, se accede a API Management desde Internet en un punto de conexión público y actúa como puerta de enlace a los back-end públicos. API Management proporciona varias opciones para proteger el acceso a la instancia de API Management y a las API de back-end mediante una red virtual de Azure. Las opciones disponibles dependen del nivel de servicio de la instancia de API Management.
Inserción de la instancia de API Management en una subred de la red virtual, lo que permite que la puerta de enlace acceda a los recursos de la red.
Puede elegir uno de los dos modos de inserción: externo o interno. Difieren en si la conectividad entrante a la puerta de enlace y otros puntos de conexión de API Management se permite desde Internet o solo desde dentro de la red virtual.
Integración de la instancia de API Management con una subred en una red virtual para que la puerta de enlace de API Management pueda realizar solicitudes salientes a los back-end de API aislados en la red.
Habilitación de la conectividad entrante segura y privada a la puerta de enlace de API Management mediante un punto de conexión privado.
En la tabla siguiente se comparan las opciones de red virtual. Para más información, vea las secciones posteriores de este artículo y los vínculos a instrucciones detalladas.
Modelo de redes | Niveles que se admiten | Componentes admitidos | Tráfico admitido | Escenario de uso |
---|---|---|---|---|
Inserción de red virtual: modo externo | Desarrollador, Premium | Portal para desarrolladores, puerta de enlace, plano de administración y repositorio de Git | Se puede permitir el tráfico entrante y saliente a Internet, redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Acceso externo a back-end privados y locales |
Inserción de la red virtual - modo interno | Desarrollador, Premium | Portal para desarrolladores, puerta de enlace, plano de administración y repositorio de Git | Se puede permitir el tráfico entrante y saliente a redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Acceso interno a back-end privados y locales |
Integración saliente | Estándar v2 | Solo puerta de enlace | El tráfico de solicitud saliente puede llegar a las API hospedadas en una subred delegada de una red virtual. | Acceso externo a back-end privados y locales |
Punto de conexión privado entrante | Desarrollador, Básico, Estándar, Premium | Solo puerta de enlace (puerta de enlace administrada compatible, puerta de enlace autohospedada no compatible) | Solo se puede permitir el tráfico entrante desde Internet, redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Protección de la conexión de cliente a la puerta de enlace de API Management |
Inserción de red virtual
Con la inyección de red virtual, implemente ("inserte") la instancia de API Management en una subred de una red que no sea enrutable a Internet en la que se controla el acceso. En la red virtual, la instancia de API Management puede acceder de forma segura a otros recursos de Azure en red y también conectarse a las redes locales mediante diversas tecnologías VPN. Para más información sobre las redes virtuales de Azure, empiece con la información que se muestra en Información general sobre Azure Virtual Network.
Puede usar Azure Portal, la CLI de Azure, plantillas de Azure Resource Manager u otras herramientas para la configuración. Puede controlar el tráfico entrante y saliente en la subred en la que se implementa API Management mediante grupos de seguridad de red.
Para conocer los pasos detallados de implementación y la configuración de red, consulte:
- Implementación de la instancia de API Management en una red virtual: modo externo.
- Implementación de la instancia de API Management en una red virtual: modo interno.
- Requisitos de recursos de red para la inserción de API Management en una red virtual.
Opciones de acceso
Mediante una red virtual, puede configurar el portal para desarrolladores, la puerta de enlace de API y otros puntos de conexión de API Management para que sean accesibles desde Internet (modo externo) o solo dentro de la red virtual (modo interno).
Externo: los puntos de conexión de API Management son accesibles públicamente desde Internet con un equilibrador de carga externo. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo externo para acceder a los servicios back-end implementados en la red virtual.
Interno: los puntos de conexión de API Management solo son accesibles desde la red virtual con un equilibrador de carga interno. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo interno para:
- Conseguir que las API hospedadas en el centro de datos privado sean accesibles para terceros de forma segura desde este centro mediante conexiones de VPN de Azure o Azure ExpressRoute.
- Puede permitir escenarios de nube híbrida exponiendo las API basadas en la nube y las API locales a través de una puerta de enlace común.
- Administrar las API hospedadas en diversas ubicaciones geográficas, mediante un único punto de conexión de puerta de enlace.
Integración saliente
El nivel Estándar v2 admite la integración de red virtual para permitir que la instancia de API Management llegue a los back-end de API aislados en una sola red virtual conectada. La puerta de enlace de API Management, el plano de administración y el portal para desarrolladores siguen siendo accesibles públicamente desde Internet.
La integración saliente permite que la instancia de API Management llegue a los servicios back-end públicos y aislados de red.
Para más información, consulte Integración de una instancia de Azure API Management con una red virtual privada para conexiones salientes.
Punto de conexión privado entrante
API Management admite puntos de conexión privados para conexiones de cliente entrantes seguras a la instancia de API Management. Cada conexión segura usa una dirección IP privada de la red virtual y Azure Private Link.
Con un punto de conexión privado y Private Link, puede:
Crear varias conexiones de Private Link a una instancia de API Management.
Usar el punto de conexión privado para enviar tráfico de entrada a una conexión segura.
Usar la directiva para distinguir el tráfico que procede de un punto de conexión privado.
Limitar el tráfico de entrada solo a los puntos de conexión privados, lo que impide la filtración de datos.
Importante
Solo puede configurar una conexión de punto de conexión privado para el tráfico entrante a la instancia de API Management. Actualmente, no se admite el tráfico de salida.
Puede usar el modelo de red virtual externa o interna para establecer la conectividad saliente a puntos de conexión privados desde la instancia de API Management.
Para habilitar los puntos de conexión privados de entrada, la instancia de API Management no se puede insertar en una red virtual externa o interna.
Para más información, vea Conexión privada a API Management con un punto de conexión privado entrante.
Configuraciones de red avanzadas
Protección de puntos de conexión de API Management con un firewall de aplicaciones web
Es posible que tenga escenarios en los que necesite acceso externo e interno seguro a la instancia de API Management y flexibilidad para acceder a back-ends privados y locales. En estos escenarios, puede optar por administrar el acceso externo a los puntos de conexión de una instancia de API Management con un firewall de aplicaciones web (WAF).
Un ejemplo consiste en implementar una instancia de API Management en una red virtual interna y enrutar el acceso público a ella mediante una instancia de Azure Application Gateway accesible desde Internet:
Para más información, consulte Implementación de API Management en una red virtual interna con Application Gateway.
Pasos siguientes
Más información sobre:
Configuración de redes virtuales con API Management:
- Implementación de la instancia de Azure API Management en una red virtual: modo externo.
- Implementación de la instancia de Azure API Management en una red virtual: modo interno.
- Conexión privada a API Management con un punto de conexión privado
- Integración de una instancia de Azure API Management con una red virtual privada para conexiones salientes
- Defensa de una instancia de Azure API Management contra ataques de denegación de servicio distribuido
Artículos relacionados: