요약
Contoso Retail의 파트너 연결 API는 이 모듈의 시작 부분에 네 가지 보안 격차가 있었습니다. 각각은 Azure API Management에서 제공하는 다른 적용 계층을 다룹니다.
첫 번째 격차를 해소하는 인증 및 권한 부여 정책을 구성했습니다. 구독 키는 호출자가 모든 요청과 공유 비밀을 제시하도록 요구하는 기준 액세스 제어 계층을 설정했습니다.
validate-azure-ad-token 정책은 ID 기반 토큰 유효성 검사를 통해 승인된 Microsoft Entra 테넌트에 등록된 애플리케이션만 게이트웨이를 통과하는 토큰을 가져올 수 있도록 확장했습니다. 정책 범위를 통해 정확한 적용 위치를 제어할 수 있으며, 파트너 API에는 제품 범위를 적용하고 내부 상태 점검 엔드포인트는 그대로 유지합니다.
두 번째 간격을 해결하는 네트워크 보안 컨트롤을 적용했습니다. 이 ip-filter 정책은 게이트웨이에 연결할 수 있는 원본 IP 범위를 제한합니다.
rate-limit 및 rate-limit-by-key 정책은 구독 및 호출자당 사용량을 제한하여 버스트 남용을 방지합니다. 정책은 quota 파트너 계약 계층에 맞춰 월별 볼륨 약정을 적용했습니다. 가상 네트워크 통합 모드(인터넷 연결 API의 경우 외부, 완전 프라이빗 워크로드용 내부)는 인터넷 노출이 필요하지 않은 API에 대한 공용 공격 노출 영역을 줄이거나 제거하는 모델을 제공했습니다.
클라이언트 인증서와 TLS(상호 전송 계층 보안)를 사용하여 백 엔드 연결을 보호하여 세 번째 격차를 좁혔습니다. API Management는 모든 아웃바운드 호출에서 백 엔드에 클라이언트 인증서를 제공하고, validate-client-certificate 정책을 사용하려면 호출자가 게이트웨이에 인증서를 제시해야 합니다. 이제 연결의 양쪽 끝이 암호화 인증됩니다. Azure Key Vault 통합은 수식에서 수동 인증서 수명 주기 관리를 제거했습니다.
네 번째 격차를 해소하기 위해 AI 게이트웨이 기능을 구성했습니다. 관리형 ID 인증으로 구성에서 Azure OpenAI API 키가 제거되었습니다. 정책은 azure-openai-token-limit 토큰 수준에서 소비를 관리하며, 이는 LLM(대규모 언어 모델) 워크로드의 실제 비용을 초래하는 주요 요인입니다. 의미 체계 캐싱은 유사한 프롬프트에 대한 중복 호출을 줄입니다. 자율 에이전트를 비롯한 모든 AI 소비자는 동일한 적용 지점을 통과합니다.
자세한 정보
- 인증 및 권한 부여 개요 - Azure API Management
Azure API Management - Azure API Management의 AI 게이트웨이 기능