Sommario
L'API per i partner di Contoso Retail presenta quattro lacune di sicurezza distinte all'inizio di questo modulo. Ognuno ha affrontato un livello di imposizione diverso che Gestione API di Azure fornisce.
Sono stati configurati criteri di autenticazione e autorizzazione che hanno chiuso il primo gap. Le chiavi di sottoscrizione hanno stabilito un livello di controllo di accesso di base che richiede ai chiamanti di presentare un segreto condiviso con ogni richiesta. I criteri validate-azure-ad-token aggiungono la convalida dei token basata su identità, facendo in modo che solo le applicazioni registrate nel tenant Microsoft Entra approvato possa ottenere token che passano il gateway. L'ambito dei criteri assicurava un controllo di posizionamento preciso, ovvero l'ambito del prodotto per le API partner, lasciando invariati gli endpoint di integrità interni.
Sono stati applicati controlli di sicurezza di rete che risondono il secondo gap. Il ip-filter criterio limita gli intervalli IP di origine che possono raggiungere il gateway. I criteri rate-limit e rate-limit-by-key limitano il consumo per sottoscrizione e per chiamante, prevenendo l'uso improprio di burst. I criteri quota imponevano impegni di volume mensile in linea con i livelli dei contratti dei partner. Modalità di integrazione della rete virtuale: esterna per le API con connessione Internet, Interna per carichi di lavoro completamente privati, offre un modello per ridurre o eliminare la superficie di attacco pubblica per le API che non richiedono l'esposizione a Internet.
Si sono protette le connessioni back-end usando certificati client e TLS (Transport Layer Security) reciproco, risolvendo la terza lacuna. API Management presenta un certificato client al back-end in tutte le chiamate in uscita e i validate-client-certificate criteri richiedono ai chiamanti di presentare i certificati al gateway. Entrambe le estremità della connessione sono ora autenticate in modo crittografico. Azure Key Vault l'integrazione ha rimosso la gestione manuale del ciclo di vita dei certificati dall'equazione.
Sono state configurate le funzionalità del gateway di intelligenza artificiale per chiudere il quarto gap. L'autenticazione tramite identità gestita ha eliminato le chiavi API di Azure OpenAI dalla configurazione. I criteri azure-openai-token-limit disciplinano il consumo a livello di token, il fattore di costo effettivo per i carichi di lavoro dei modelli linguistici di grandi dimensioni. La memorizzazione nella cache semantica ha ridotto le chiamate ridondanti per richieste simili. Tutti i consumatori di intelligenza artificiale, inclusi gli agenti autonomi, passano attraverso lo stesso punto di imposizione.