微软Azure API管理服务开始支持私有连接,增加API安全防护能力

微软Azure API管理服务(API Management)提供Azure私有连接(Private Link)功能预览,让用户简单地在Azure Portal创建可充当前门的API外观(Facade),使得外部和内部应用程序,都可通过该API外观访问位于Azure的后端服务。

Azure API管理服务是一项全托管的服务,可供用户发布、保护、转换、维护和监控API,其使用场景包括现代化老旧系统,借由API来抽象老旧后端,使这些系统能够连接到新的云计算服务和应用程序,或是用在API开发模型中,满足以API为中心的应用程序集成需求,或是也可降低企业对企业的资料交换障碍,由于API消除点对点集成的多余成本,因此已成为B2B集成的重要工具。

而微软更新Azure API管理服务,来提高该服务的安全性。在部署Azure API管理服务时,用户将控制三个主要组件,分别是Azure Portal、网关和管理平面,利用私有连接,能够替网关组件创建一个专用的端点,该端点将通过虚拟网络中的私有IP公开,而这允许入站流量经由私有IP抵达Azure API管理网关。

简单来说,Azure私有连接让用户可以通过虚拟网络中的私有端点,来访问像是Azure Storage以及SQL数据库等Azure PaaS服务,甚至是Azure所托管的用户或其合作伙伴的服务。Azure私有连接让用户的虚拟网络和Azure API管理网关之间的通信,能够在私密且安全的情况下,通过微软骨干网络传输,而不需要将服务对外公开至互联网上,因此也减少了来自互联网的安全风险。

Azure私有连接能够提供与具有私有端点的PaaS服务相同的使用体验,其具体优点,包括能够私密访问来自Azure Virtual Network的资源、同侪网络和企业本地部署网络。另外,Azure私有连接也能受到Azure资源内置的资料泄露保护机制保护,拥有PaaS资源的可预测私有IP地址,同时还能跨PaaS服务获得一致的体验。

由于Azure API管理服务还支持虚拟网络注入(Virtual Network Injection),使用户可以在虚拟网络中部署所有组件,因此加上新功能发布,目前微软提供三种在Azure虚拟网络中集成组件的选项,除了私有端点连接外,还有用来集成虚拟网络外部和内部组件的网络模型,官方表示,这三个是互斥选项,用户无法在虚拟网络集成中,同时使用私有端点连接。

在Azure私有连接功能预览阶段,微软仅支持进入网关的入站流量,以及使用STV2运算平台的执行实例,同时当前Azure私有连接,也仅限于不使用虚拟网络注入的执行实例,但该功能将会在微软评估初步预览反馈后开放。