Monday, March 7, 2022

Protegendo o backend com Azure API Management

Protegendo o backend com o Azure API Management

 

O Azure API Management é uma excelente opção para projetos que lidam com APIs. Estratégias como centralização, monitoria, gerenciamento e documentação são características que o APIM ajuda você a entregar. saiba mais.

 

No entanto muitas vezes esquecemos que nossos backends precisam estar protegidos de acessos externos. Pensando nisso vamos mostrar uma forma muito simples de proteger seu backend usando o recurso de private endpoint, VNETS e sub-redes. Assim podemos impedir chamadas públicas da internet no seu backend, porém permitindo que o APIM o acesse de forma simples e transparente.

 

O primeiro passo é entender a VNET, que é a representação virtual de uma rede de computadores, ela permite que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Como em qualquer rede, ela pode ser segmentada em partes menores chamadas sub-redes. Essa segmentação nos ajuda a definir a quantidade de endereços disponíveis em cada sub-redes, evitando conflitos entre essas redes e diminuindo o tráfego delas. Observe o desenho abaixo:

 

Diagrama com uma VNET de CIDR 10.0.0.0/16 e duas sub-redes com CIDR 10.0.0.0/24 e 10.0.1.0/24.Diagrama com uma VNET de CIDR 10.0.0.0/16 e duas sub-redes com CIDR 10.0.0.0/24 e 10.0.1.0/24.

 

É importante entender quais opções de conexão com uma VNET (Modos) o APIM oferece:

  1. Off: Esse é o padrão sem rede virtual com os endpoints abertos para a internet.
  2. Externa: O portal de desenvolvedor e o gateway podem ser acessados pela Internet pública, e o gateway pode acessar recursos dentro da rede virtual e da internet.
  3. Interna: O portal de desenvolvedor e o gateway só podem ser acessados pela rede interna. e o gateway pode acessar recursos dentro da rede virtual e da internet.

 

Em um ambiente de produção essa arquitetura contaria com um firewall de borda, tal como um Application Gateway ou um Front Door, essas ferramentas aumentam a segurança do circuito oferecendo proteções automáticas contra os ataques comuns, por exemplo, SQL Injection, XSS Attack (cross-site scripting) entre outros. No entanto para fins de simplificação vamos ficar sem essa proteção.

 

A configuração de rede do APIM pode ser feita no menu lateral Virtual Networking, no portal de gerenciamento do Azure.

APIM com configuração externa na VNET vnet_apim e sub-rede SUBNET_APIMAPIM com configuração externa na VNET vnet_apim e sub-rede SUBNET_APIM

 

Depois de configurar o APIM, devemos configurar o App Services. Nele vamos até o menu Networking e configuramos um private endpoint, é com esse recurso que associamos um App Services a uma VNET e uma sub-rede. Durante essa configuração é importante marcamos a opção que integra com um DNS privado, para garantir a resolução de nomes dentro da rede privada.

 

 

Portal do Azure, configuração do private endpoint  do App ServicesPortal do Azure, configuração do private endpoint do App Services

 

Agora podemos conferir que foi criado um private zone para o domínio azure.websites.net apontando para o IP privado do App Services, isso permite que o APIM acesse o App Services de forma transparente, assim como era antes da implementação da VNET.

 

Para realmente termos certeza de que nosso App Services está protegido, podemos tentar acessar seu endereço pelo navegador, algo como a imagem abaixo deve acontecer. Não vamos conseguir resolver esse DNS.

 

 

Acessando URL do APP Services pelo navegador, e recebendo um erro de resolução de DNS.Acessando URL do APP Services pelo navegador, e recebendo um erro de resolução de DNS.

 

No entanto as APIs do APIM continuam funcionando com o mesmo endereço, já que o APIM está na mesma VNET que o App Services e o DNS privado resolve os nomes para endereços dessa VNET.

 

Tela do APIM com mesmo backend que não pode ser acessado pelo browser.Tela do APIM com mesmo backend que não pode ser acessado pelo browser.

 

 

Usando a ferramenta de Teste do APIM podemos confirmar que o APIM consegue acessar o back-end.

 

Explorando a opção de Teste do APIM.Explorando a opção de Teste do APIM.

 

Conclusão

 

A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de gerenciamento de API em uma rede protegida da Internet. Todos os acessos como portas e serviços podem ser controlados pelo NSG da VNET, dessa forma você garante que suas APIS serão acessadas apenas pelo endpoint de gateway do APIM. 

Referências

 

  1. https://docs.microsoft.com/pt-br/azure/api-management/api-management-using-with-vnet
  2. https://docs.microsoft.com/en-us/azure/api-management/api-management-using-with-internal-vnet
  3. https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-overview
Posted at https://sl.advdat.com/3hJEWwbhttps://sl.advdat.com/3hJEWwb