Resumé

Fuldført

Contoso Retails partnerrettede API havde fire tydelige sikkerhedshuller ved starten af dette modul. Hver af dem omhandlede et forskelligt håndhævelseslag, som Azure API Management leverer.

Du konfigurerede autentificerings- og autorisationspolitikker, der lukkede det første hul. Abonnementnøgler etablerede et grundlæggende adgangskontrollag, der kræver, at opkaldere præsenterer en delt hemmelighed ved hver anmodning. validate-azure-ad-token-politikken udvidede dette med identitetsbaseret tokenvalidering, så kun applikationer registreret i den godkendte Microsoft Entra lejer kan få tokens, der passerer gatewayen. Policy scope gav dig præcis placeringskontrol – produktscope for partner-API'er, så interne sundhedsendpoints blev uberørt.

Du har anvendt netværkssikkerhedskontroller, der adresserer det andet hul. Politikken ip-filter begrænser, hvilke kilde-IP-områder der kan nå gatewayen. Politikkerne rate-limitrate-limit-by-key sætter et loft for forbruget pr. abonnement og pr. opkalder, hvilket forhindrer burst-misbrug. Politikken quota håndhævede månedlige volumenforpligtelser, der var tilpasset partnerkontraktniveauer. Virtuelle netværksintegrationsformer – eksterne for internet-orienterede API'er, interne for fuldt private arbejdsbelastninger – gav dig en model til at reducere eller eliminere den offentlige angrebsflade for API'er, der ikke kræver interneteksponering.

Du sikrede backend-forbindelser ved hjælp af klientcertifikater og mutual Transport Layer Security (TLS), hvilket lukkede det tredje hul. API Management præsenterer et klientcertifikat til backend ved hvert udgående kald, og politikken validate-client-certificate kræver, at kaldere præsenterer certifikater til gatewayen. Begge ender af forbindelsen er nu kryptografisk autentificeret. Integration med Azure Key Vault fjernede manuel styring af certifikatlivscyklus fra ligningen.

Du konfigurerede AI Gateway-funktioner til at lukke det fjerde hul. Administreret identitetsautentificering fjernede Azure OpenAI API-nøgler fra konfigurationen. Politikken azure-openai-token-limit styrer forbruget på token-niveau—den faktiske omkostningsdriver for Large Language Model (LLM) arbejdsbelastninger. Semantisk caching reducerede redundante kald til lignende prompts. Alle AI-forbrugere, inklusive autonome agenter, passerer gennem det samme håndhævelsespunkt.

Lær mere