Shrnutí

Dokončeno

Partnerské rozhraní API společnosti Contoso Retail mělo na začátku tohoto modulu čtyři odlišné mezery v zabezpečení. Každá z nich řeší jinou vrstvu vynucení, kterou Azure API Management poskytuje.

Nakonfigurovali jste zásady ověřování a autorizace, které ukončily první mezeru. Klíče předplatného vytvořily základní vrstvu řízení přístupu, která volajícím vyžaduje, aby při každém požadavku předložili sdílený tajný klíč. Zásada validate-azure-ad-token byla rozšířena o ověřování tokenů založené na identitě, čímž bylo zajištěno, že pouze aplikace zaregistrované ve schváleném tenantovi Microsoft Entra mohou získat tokeny, které procházejí bránou. Rozsah zásad vám poskytl přesnou kontrolu nad umístěním – produktový rozsah pro partnerské rozhraní API, přičemž interní koncové body stavu zůstaly nezměněné.

Použili jste kontrolní mechanismy zabezpečení sítě, které řeší druhou mezeru. Zásady ip-filter omezují, které rozsahy zdrojových IP adres se můžou připojit k bráně. rate-limit a rate-limit-by-key zásady omezují spotřebu na jedno předplatné a jednoho volajícího, aby zabránily nárazovému zneužívání. Zásady quota vynucovaly měsíční závazky týkající se objemu v souladu s úrovněmi kontraktů partnerů. Režimy integrace virtuální sítě – externí pro internetová rozhraní API, interní pro plně privátní úlohy – vám poskytl model pro omezení nebo odstranění prostoru pro veřejné útoky pro rozhraní API, která nevyžadují vystavení internetu.

Připojení back-endu jste zabezpečili pomocí klientských certifikátů a vzájemného protokolu TLS (Transport Layer Security), která ukončila třetí mezeru. Služba API Management prezentuje klientský certifikát ke back-endu při každém odchozím volání a zásada validate-client-certificate vyžaduje, aby sami volající předložili certifikáty bráně. Oba konce připojení jsou teď kryptograficky ověřeny. Azure Key Vault integrace z rovnice odebrala ruční správu životního cyklu certifikátů.

Nakonfigurovali jste možnosti služby AI Gateway tak, aby se zavírala čtvrtá mezera. Ověřování pomocí spravované identity odstranilo z konfigurace klíče Azure OpenAI API. Zásady azure-openai-token-limit řídí spotřebu na úrovni tokenu – skutečný činitel nákladů pro úlohy VJM (Velký jazykový model). Sémantické ukládání do mezipaměti snížilo redundantní volání podobných výzev. Všichni spotřebitelé umělé inteligence, včetně autonomních agentů, procházejí stejným bodem vynucení.

Další informace