Resumen
La API orientada a partners de Contoso Retail tenía cuatro brechas de seguridad distintas al principio de este módulo. Cada uno ha solucionado una capa de cumplimiento diferente que Azure API Management proporciona.
Configuró directivas de autenticación y autorización que cerraron la primera brecha. Las claves de suscripción establecieron una capa de control de acceso básica que requiere a los solicitantes presentar un secreto compartido con cada solicitud. La directiva validate-azure-ad-token se amplió con la validación de tokens basada en identidades, lo que garantiza que solo las aplicaciones registradas en el inquilino aprobado de Microsoft Entra puedan obtener tokens que pasen por la puerta de enlace. El ámbito de la política le ofrecía un control preciso de colocación, mientras que el ámbito del producto era para las API de partners, dejando los puntos de conexión de estado internos intactos.
Ha aplicado controles de seguridad de red que abordan la segunda brecha. La ip-filter directiva restringe los intervalos IP de origen que pueden llegar a la puerta de enlace. Las políticas rate-limit y rate-limit-by-key limitan el consumo por suscripción y por autor de la llamada, lo que evita el abuso por ráfagas. La quota política imponía compromisos mensuales de volumen alineados con los niveles de contrato de socios. Los modos de integración de red virtual( externos para las API accesibles desde Internet, Interno para cargas de trabajo totalmente privadas) le han dado un modelo para reducir o eliminar la superficie expuesta a ataques públicos para las API que no requieren exposición a Internet.
Ha protegido las conexiones de back-end mediante certificados de cliente y seguridad de capa de transporte (TLS) mutua, que cerró la tercera brecha. API Management presenta un certificado de cliente al back-end en cada llamada saliente y la validate-client-certificate directiva requiere que los llamantes presenten certificados a la puerta de enlace. Ambos extremos de la conexión ahora se autentican criptográficamente. La integración de Azure Key Vault eliminó la administración manual del ciclo de vida de los certificados de la ecuación.
Ha configurado las funcionalidades de ai Gateway para cerrar la cuarta brecha. La autenticación de identidad administrada eliminó las claves de API de Azure OpenAI de la configuración. La directiva azure-openai-token-limit rige el consumo a nivel de token, el factor de coste real para cargas de trabajo de modelos de lenguaje grandes (LLM). El almacenamiento en caché semántico reduce las llamadas redundantes para mensajes similares. Todos los consumidores de inteligencia artificial, incluidos los agentes autónomos, pasan por el mismo punto de cumplimiento.