Megosztás a következőn keresztül:

Az Azure OpenAI védelme az Azure Web Application Firewall használatával az Azure Front Dooron

  • Cikk

Egyre több vállalat használja az Azure OpenAI API-kat, és a webalkalmazások elleni biztonsági támadások száma és összetettsége folyamatosan fejlődik. Erős biztonsági stratégiára van szükség az Azure OpenAI API-k különböző webalkalmazás-támadások elleni védelméhez.

Az Azure Web Application Firewall (WAF) egy azure-beli hálózatkezelési termék, amely megvédi a webalkalmazásokat és API-kat a OWASP 10 leggyakoribb webes támadásától, a gyakori biztonsági résektől és kitettségektől (CVE-k) és a kártékony robottámadásoktól.

Ez a cikk bemutatja, hogyan használható az Azure Web Application Firewall (WAF) az Azure Front Dooron az Azure OpenAI-végpontok védelme érdekében.

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Azure OpenAI-példány létrehozása a gpt-35-turbo modellel

Először hozzon létre egy OpenAI-példányt.

  1. Hozzon létre egy Azure OpenAI-példányt, és helyezzen üzembe egy gpt-35-turbo modellt egy Azure OpenAI-szolgáltatás-erőforrás létrehozásával és üzembe helyezésével.

  2. Azonosítsa az Azure OpenAI-végpontot és az API-kulcsot.

    Nyissa meg az Azure OpenAI studiót, és nyissa meg a Csevegés lehetőséget a Játszótér területen. A Kód megtekintése lehetőséggel megjelenítheti a végpontot és az API-kulcsot. Képernyőkép az Azure AI Studio Chat-játszótérről.

    Képernyőkép az Azure OpenAI-mintakódról végponttal és kulccsal.

  3. Azure OpenAI-hívás érvényesítése a Postman használatával. Használja a korábbi lépésekben található Azure OpenAPI-végpontot és api-key értékeket. Használja az alábbi kódsorokat a POST törzsben:

    {
"model":"gpt-35-turbo",
"messages": [
{
"role": "user",
"content": "What is Azure OpenAI?"
}
]
}

    Képernyőkép a bejegyzés törzséről.

  4. A POST-ra válaszul egy 200 OK: Képernyőképet kell kapnia , amelyen a POST 200 OK látható.

    Az Azure OpenAI a GPT-modell használatával is létrehoz egy választ.

Azure Front Door-példány létrehozása az Azure WAF használatával

Most az Azure Portal használatával hozzon létre egy Azure Front Door-példányt az Azure WAF használatával.

  1. Hozzon létre egy prémium szintű Azure Front Door-optimalizált szintet egy társított WAF-biztonsági szabályzattal ugyanabban az erőforráscsoportban. Használja az Egyéni létrehozás lehetőséget.

    1. Rövid útmutató: Azure Front Door-profil létrehozása – Azure Portal

  2. Végpontok és útvonalak hozzáadása.

  3. Adja hozzá a forrás állomásnevét: A forrás állomásneve a következő testazureopenai.openai.azure.com: .

  4. Adja hozzá a WAF-szabályzatot.

WAF-szabályzat konfigurálása webalkalmazások és API-biztonsági rések elleni védelemhez

Engedélyezze a WAF-szabályzatot megelőzési módban, és győződjön meg arról , hogy a Microsoft_DefaultRuleSet_2.1 és a Microsoft_BotManagerRuleSet_1.0 engedélyezve van.

WAF-szabályzat képernyőképe.

Az Azure OpenAI-hoz való hozzáférés ellenőrzése az Azure Front Door végpontján keresztül

Most ellenőrizze az Azure Front Door-végpontot.

  1. Kérje le az Azure Front Door-végpontot a Front Door Managerből.

    Képernyőkép az Azure Front Door-végpontról.

  2. Postman használatával post-kérést küldhet az Azure Front Door-végpontnak.

    1. Cserélje le az Azure OpenAI-végpontot az AFD-végpontra a Postman POST-kérelemben. Képernyőkép az utolsó POST-ról.

    Az Azure OpenAI a GPT-modell használatával is létrehoz egy választ.

WAF-blokkok ellenőrzése OWASP-támadás esetén

Küldjön egy POST-kérést, amely szimulál egy OWASP-támadást az Azure OpenAI-végponton. A WAF letiltja a hívást egy 403 Tiltott válaszkóddal .

IP-korlátozási szabályok konfigurálása a WAF használatával

Az Azure OpenAI-végponthoz való hozzáférés a szükséges IP-címekre való korlátozásához lásd: IP-korlátozási szabály konfigurálása WAF-tal az Azure Front Doorhoz.

Gyakori problémák

Az alábbi elemek gyakori problémák, amelyeket az Azure OpenAI és az Azure Front Door és az Azure WAF használatakor tapasztalhat.

  • 401: Hozzáférés megtagadva üzenet jelenik meg, amikor POST-kérést küld az Azure OpenAI-végpontnak.

    Ha közvetlenül a létrehozása után megkísérli elküldeni a POST-kérést az Azure OpenAI-végpontnak, a 401: Hozzáférés megtagadva üzenet jelenhet meg, még akkor is, ha a kérésben a megfelelő API-kulccsal rendelkezik. Ez a probléma általában egy idő után, közvetlen beavatkozás nélkül megoldódik.

  • 415: Nem támogatott médiatípus üzenet fog kapni, amikor POST-kérést küld az Azure OpenAI-végpontnak.

    Ha POST-kérést próbál küldeni az Azure OpenAI-végpontnak a Content-Type fejléccel text/plain, ezt az üzenetet kapja. Frissítse a Content-Type fejlécet application/json a Postman fejlécszakaszában.