Introducción
Contoso Retail expone una API orientada a asociados a través de Azure API Management que proporciona acceso al catálogo de productos, los precios y los datos de inventario. Cualquier autor de llamada con una dirección URL válida puede realizar solicitudes: no se requiere ninguna clave de suscripción, no se aplica ninguna validación de tokens y no se aplican límites de velocidad. Las API de back-end aceptan cualquier solicitud HTTPS entrante sin comprobar la identidad del autor de la llamada en el nivel de conexión.
El equipo también está evaluando API Management como puerta de enlace segura para un nuevo motor de recomendaciones de producto basado en OpenAI Azure que atiende aplicaciones internas. Cada uno de estos representa una brecha de seguridad distinta que debe cerrar.
API Management no protege automáticamente las API. La plataforma proporciona las directivas, controles de red, control de certificados y funcionalidades específicas de inteligencia artificial para crear una seguridad segura de api, pero esa protección debe configurarse deliberadamente. Dejar estas brechas abiertas significa que una credencial de socio filtrada concede acceso ilimitado, los servicios de backend aceptan solicitudes de cualquier solicitante que omita la puerta de enlace, y los costes del modelo de IA pueden escalar sin control desde un único consumidor de alto volumen.
En este módulo se describen cuatro capas de seguridad de API que abordan las brechas de Contoso. Comience con la autenticación y la autorización: configurar claves de suscripción, validación de JSON Web Token (JWT) y directivas de token de Microsoft Entra ID para controlar quién puede llamar a las API. Después, aplique controles de seguridad de red (filtrado ip, limitación de velocidad y integración de red virtual) para controlar la cantidad de llamadas que consumen y desde qué ubicación. Después, se protegen las conexiones de back-end mediante la autenticación de certificados de cliente y TLS mutua (mTLS), lo que garantiza que solo API Management pueda llamar a los servicios de back-end. Por último, configure las funcionalidades de pasarela de IA para proteger y controlar los puntos de conexión de Azure OpenAI detrás de API Management, mediante límites de tasa basados en tokens y autenticación de identidad administrada.
Al final de este módulo, podrá configurar directivas de autenticación y autorización de API, implementar controles de seguridad de red, aplicar la seguridad de conexión de back-end con TLS mutuo y configurar AI Gateway para controlar los puntos de conexión del modelo de IA.
En este módulo, aprenderá a:
- Configuración de directivas de autenticación y autorización de API, incluida la validación de JWT y OAuth 2.0 con Microsoft Entra ID
- Implementar controles de seguridad de red, como el filtrado IP, la limitación de velocidad y la integración de red virtual para API Management
- Aplicación de seguridad de conexión de back-end mediante la autenticación de certificados de cliente y TLS mutua
- Configuración de AI Gateway en API Management para proteger y controlar los puntos de conexión del modelo de IA