บทนำ

เสร็จสมบูรณ์เมื่อ

Contoso Retail แสดง API ที่ต้องเผชิญกับคู่ค้าผ่าน Azure API Management ที่ให้การเข้าถึงแค็ตตาล็อกผลิตภัณฑ์ ราคา และข้อมูลสินค้าคงคลัง ผู้โทรที่มี URL ที่ถูกต้องจะส่งคําขอได้โดยไม่ต้องใช้คีย์การสมัครใช้บริการ ไม่มีการบังคับใช้การตรวจสอบโทเค็น และไม่มีการจํากัดอัตรา API แบ็กเอนด์ยอมรับคําขอ HTTPS ขาเข้าโดยไม่ต้องยืนยันตัวตนของผู้โทรในระดับการเชื่อมต่อ

ทีมงานยังประเมินการจัดการ API เป็นเกตเวย์ที่ปลอดภัยสําหรับเอ็นจิ้นการแนะนําผลิตภัณฑ์ที่ใช้ Azure OpenAI ใหม่ที่ให้บริการแอปพลิเคชันภายใน แต่ละรายการแสดงถึงช่องว่างด้านความปลอดภัยที่แตกต่างกันซึ่งคุณต้องปิด

การจัดการ API ไม่ได้ปกป้อง API โดยอัตโนมัติ แพลตฟอร์มนี้มีนโยบาย การควบคุมเครือข่าย การจัดการใบรับรอง และความสามารถเฉพาะของ AI เพื่อสร้างการรักษาความปลอดภัย API ที่แข็งแกร่ง แต่การป้องกันนั้นต้องได้รับการกําหนดค่าโดยเจตนา การเปิดช่องว่างเหล่านี้ทิ้งไว้หมายความว่าข้อมูลประจําตัวของพันธมิตรที่รั่วไหลจะให้สิทธิ์การเข้าถึงแบบไม่จํากัด

โมดูลนี้จะอธิบายการรักษาความปลอดภัย API สี่ชั้นที่จัดการกับช่องว่างของ Contoso คุณเริ่มต้นด้วยการรับรองความถูกต้องและการอนุญาต โดยกําหนดค่าคีย์การสมัครใช้งาน การตรวจสอบความถูกต้องของโทเค็นเว็บ JSON (JWT) และนโยบายโทเค็น Microsoft Entra ID เพื่อควบคุมว่าใครสามารถเรียกใช้ API ของคุณได้ จากนั้นคุณจะใช้การควบคุมความปลอดภัยของเครือข่าย เช่น การกรอง IP การจํากัดอัตรา และการรวมเครือข่ายเสมือน เพื่อควบคุมปริมาณผู้โทรที่ใช้และจากตําแหน่งที่ตั้งใด จากนั้นคุณจะรักษาความปลอดภัยการเชื่อมต่อแบ็กเอนด์โดยใช้การรับรองความถูกต้องของใบรับรองไคลเอ็นต์และ TLS ร่วมกัน (mTLS) เพื่อให้มั่นใจว่ามีเพียงการจัดการ API เท่านั้นที่สามารถเรียกใช้บริการแบ็กเอนด์ของคุณได้ สุดท้าย คุณกําหนดค่าความสามารถของ AI Gateway เพื่อรักษาความปลอดภัยและควบคุมตําแหน่งข้อมูล Azure OpenAI ที่อยู่เบื้องหลังการจัดการ API โดยใช้ขีดจํากัดอัตราตามโทเค็นและการรับรองความถูกต้องของข้อมูลประจําตัวที่มีการจัดการ

ในตอนท้ายของโมดูลนี้ คุณจะสามารถกําหนดค่านโยบายการรับรองความถูกต้องและการอนุญาต API ใช้การควบคุมความปลอดภัยเครือข่าย บังคับใช้การรักษาความปลอดภัยการเชื่อมต่อแบ็กเอนด์ด้วย TLS ร่วมกัน และตั้งค่าเกตเวย์ AI เพื่อควบคุมปลายทางของโมเดล AI

ในโมดูลนี้ คุณจะ:

  • กําหนดค่านโยบายการรับรองความถูกต้องและการให้สิทธิ์ API รวมถึงการตรวจสอบความถูกต้องของ JWT และ OAuth 2.0 ด้วย Microsoft Entra ID
  • ใช้การควบคุมความปลอดภัยของเครือข่าย รวมถึงการกรอง IP การจํากัดอัตรา และการรวมเครือข่ายเสมือนสําหรับการจัดการ API
  • บังคับใช้การรักษาความปลอดภัยการเชื่อมต่อแบ็กเอนด์โดยใช้การรับรองความถูกต้องของใบรับรองไคลเอ็นต์และ TLS ร่วมกัน
  • กําหนดค่าเกตเวย์ AI ในการจัดการ API เพื่อรักษาความปลอดภัยและควบคุมตําแหน่งข้อมูลของโมเดล AI