Introduktion
Contoso Retail eksponerer et partnerrettet API via Azure API Management, som giver adgang til produktkatalog, prisfastsættelse og lagerdata. Enhver kalder med en gyldig URL kan lave anmodninger – ingen abonnementsnøgle kræves, ingen tokenvalidering håndhæves, og ingen hastighedsbegrænsninger anvendes. Backend-API'er accepterer enhver indgående HTTPS-anmodning uden at verificere kalderens identitet på forbindelsesniveau.
Teamet evaluerer også API Management som den sikre gateway til en ny Azure OpenAI-baseret produktanbefalingsmotor, der betjener interne applikationer. Hver af disse repræsenterer et særskilt sikkerhedshul, som du skal lukke.
API Management beskytter ikke API'er automatisk. Platformen leverer politikker, netværkskontroller, certifikathåndtering og AI-specifikke funktioner til at opbygge stærk API-sikkerhed—men denne beskyttelse skal konfigureres bevidst. Hvis disse huller forbliver åbne, giver en lækket partnerlegitimation ubegrænset adgang, backend-tjenester accepterer anmodninger fra enhver opkalder, der omgår gatewayen, og omkostningerne ved AI-modellen kan stige ukontrolleret fra en enkelt forbruger med stort volumen.
Dette modul gennemgår fire lag af API-sikkerhed, der adresserer Contosos huller. Du starter med autentificering og autorisation—konfiguration af abonnementsnøgler, JSON Web Token (JWT)-validering og Microsoft Entra ID-tokenpolitikker for at styre, hvem der kan kalde dine API'er. Derefter anvender du netværkssikkerhedskontroller – IP-filtrering, hastighedsbegrænsning og integration af virtuelle netværk – for at styre, hvor meget opkaldere forbruger og fra hvilken lokation. Du sikrer derefter backend-forbindelser ved hjælp af klientcertifikatautentificering og mutual TLS (mTLS), hvilket sikrer, at kun API-administration kan kalde dine backend-tjenester. Endelig konfigurerer du AI Gateway-funktioner til at sikre og styre Azure OpenAI-endepunkter bag API-styring ved hjælp af tokenbaserede hastighedsgrænser og administreret identitetsautentificering.
Ved slutningen af dette modul kan du konfigurere API-autentificering og autorisationspolitikker, implementere netværkssikkerhedskontroller, håndhæve backend-forbindelsessikkerhed med gensidig TLS og opsætte AI Gateway til at styre AI-modellens endepunkter.
I dette modul skal du:
- Konfigurer API-autentificerings- og autorisationspolitikker, herunder JWT-validering og OAuth 2.0 med Microsoft Entra ID
- Implementér netværkssikkerhedskontroller, herunder IP-filtrering, hastighedsbegrænsning og virtuel netværksintegration til API-styring
- Håndhæv backend-forbindelsessikkerhed ved hjælp af klientcertifikatautentificering og gensidig TLS
- Konfigurer AI Gateway i API Management til at sikre og styre AI-modelendepunkter