Passer la navigation

Sécuriser vos API avec la prise en charge de Private Link pour Gestion des API Azure

Publié le 16 mars, 2022

Sr. Program Manager, Azure API Management

Gestion des API Azure est un service entièrement managé qui permet aux clients de publier, sécuriser, transformer, maintenir et surveiller les API. En quelques clics sur le portail Azure, vous pouvez créer une façade d'API constituant une « porte d'entrée » par laquelle des applications externes et internes peuvent accéder aux données ou à la logique métier implémentée par vos services backend personnalisés, fonctionnant sur Azure (sur Azure App Service ou Azure Kubernetes Service, par exemple) ou hébergée en dehors d'Azure, dans un centre de données privé ou localement. Le service Gestion des API Azure gère toutes les tâches associées à la médiation des appels d'API, notamment l'authentification et l'autorisation des requêtes, l'application des limites de débit et des quotas, la transformation des requêtes et des réponses, la journalisation et le traçage, ainsi que la gestion des versions des API.

Gestion des API Azure vous aide aux fins suivantes :

  • Déverrouiller des ressources héritées : les API sont utilisées pour extraire et moderniser les backends hérités et les rendre accessibles à partir de nouveaux services cloud et d’applications modernes. Les API permettent d’innover sans les risques, les coûts et les retards inhérents à la migration.
  • Créer une intégration d’application centrée sur l’API : les API sont faciles à consommer, basées sur des normes et des mécanismes auto-descriptifs pour l’exposition et l’accès aux données, applications et processus. Elles simplifient et réduisent le coût de l’intégration d’applications.
  • Activer les API multi-canaux : les API sont fréquemment utilisées pour activer des expériences utilisateur telles que des applications web, mobiles, portables ou IoT (Internet des objets). Réutilisez les API pour accélérer le développement et le retour sur investissement (ROI).
  • Intégration B2B (Business-to-Business) : les API exposées aux partenaires et aux clients réduisent la barrière à l’intégration de processus métier et à l’échange de données entre les entités métier. Les API éliminent la surcharge inhérente à l’intégration de point à point. En particulier, avec la découverte et l’intégration en libre-service activées, les API sont les outils principaux pour la mise à l’échelle de l’intégration B2B.

Nous sommes heureux d’annoncer la préversion de la prise en charge d’Azure Private Link pour le service Gestion des API Azure. Si vous n’êtes pas familiarisé avec Gestion des API Azure, lorsque vous déployez ce service, vous disposez de trois composants principaux : Portail Azure, passerelle et plan de gestion. Avec Azure Private Link, nous pouvons créer un point de terminaison privé pour le composant de passerelle, qui sera exposé via une adresse IP privée au sein de votre réseau virtuel. Cela autorise le trafic entrant arrivant vers l’adresse IP privée à atteindre la passerelle Gestion des API Azure.

Liaison privée Azure

Avec Azure Private Link, les communications entre votre réseau virtuel et la passerelle Gestion des API Azure transitent sur le réseau principal de Microsoft de façon privée et sécurisée, ce qui évite d’avoir à exposer le service à l’Internet public. Pour en savoir plus sur la technologie Azure Private Link et les services PaaS (Platform as a service) qui la prennent en charge, vous pouvez consulter notre documentation Azure Private Link.

Principaux avantages d’Azure Private Link

Avec cette fonctionnalité, nous fournissons la même expérience cohérente que celle des autres services PaaS avec des points de terminaison privés :

  • Accès privé à partir des ressources du réseau virtuel Azure, des réseaux homologues et des réseaux locaux.
  • Protection intégrée contre l’exfiltration des données pour les ressources Azure.
  • Adresses IP privées prévisibles pour les ressources PaaS.
  • Expérience cohérente et unifiée entre les services PaaS.

Points de terminaison privés et publics

Diagramme d’architecture montrant la connectivité sécurisée et privée à la passerelle Gestion des API Azure, lors de l’utilisation d’Azure Private Link.

Figure 1 : Diagramme d’architecture montrant la connectivité sécurisée et privée à la passerelle Gestion des API Azure, lors de l’utilisation d’Azure Private Link.

Azure Private Link fournit des points de terminaison privés via des adresses IP privées. Dans le cas ci-dessus, la passerelle contoso.azure-api.net possède l’adresse IP privée 10.0.0.6, qui est uniquement disponible pour les ressources dans contoso-apim-eastus-vnet. Cela permet aux ressources de ce réseau virtuel de communiquer de façon sécurisée. Les autres ressources peuvent être limitées aux ressources qui se situent uniquement au sein du réseau virtuel.

En même temps, le point de terminaison public de la passerelle contoso.azure-api.net peut encore être public pour l’équipe de développement. Dans cette version, Azure Private Link prend en charge la désactivation du point de terminaison public, limitant l’accès aux seuls points de terminaison privés configurés sous Private Link.

Comment choisir le modèle de mise en réseau à utiliser avec Gestion des API Azure ?

Gestion des API Azure prend également en charge l’injection de réseau virtuel, ce qui permet de déployer tous les composants au sein d’un réseau virtuel. Avec l’ajout de points de terminaison privés, nous disposons des options suivantes pour l’intégration à l’intérieur d’un réseau virtuel Azure personnalisé :

 

Modèle de réseau

Niveaux pris en charge

Composants pris en charge

Trafic pris en charge

Réseau virtuel, externe

Développeur et Premium.

Portail Azure, passerelle, plan de gestion et dépôt Git.

Le trafic entrant et sortant peut être autorisé pour les connexions Internet, les réseaux virtuels homologués, Express Route et les connexions S2S VPN.

Réseau virtuel, interne

Développeur et Premium.

Portail des développeurs, passerelle, plan de gestion et dépôt Git.

Le trafic entrant et sortant peut être autorisé pour les réseaux virtuels homologués, Express Route et les connexions S2S VPN.

Connexion de point de terminaison privé (préversion)

Développeur, De base, Standard et Premium.

Passerelle uniquement (passerelle gérée prise en charge, passerelle auto-hébergée non prise en charge).

Seul le trafic entrant peut être autorisé pour les connexions Internet, les réseaux virtuels homologués, Express Route et les connexions S2S VPN.

À ce stade, ces trois options s’excluent mutuellement et vous ne pouvez pas choisir une option d’intégration de réseau virtuel (externe ou interne) en association avec les connexions de point de terminaison privé. Notez également que seules nos passerelles gérées prendront en charge les connexions de point de terminaison privé. La passerelle auto-hébergée ne prend pas en charge les points de terminaison privés dans Azure.

Limitations de la préversion

Pendant la période de la préversion, nous ne prenons en charge que le trafic entrant dans la passerelle, les instances utilisant la plateforme de calcul STV2, tous les niveaux tarifaires sauf Consommation et Azure Private Link est limité aux instances n’utilisant pas l’injection de réseau virtuel (interne ou externe). La fonctionnalité passera en disponibilité générale quand nous aurons évalué les commentaires.

Avec la préversion d’Azure Private Link pour Gestion des API Azure, vous êtes à présent habilité à placer vos instances Gestion des API Azure sur un réseau virtuel à l’aide de la même expérience cohérente qui existe déjà avec les autres services PaaS Azure. Vous pouvez créer et gérer des points de terminaison privés pour la passerelle de votre instance Gestion des API Azure. Nous partagerons davantage de mises à jour et de contenu à l’avenir. Restez à l’écoute pour connaître les nouvelles mises à jour de la mise à la disposition générale de cette fonctionnalité.

En savoir plus