Az Azure OpenAI védelme az Azure Web Application Firewall használatával az Azure Front Dooron
Egyre több vállalat használja az Azure OpenAI API-kat, és a webalkalmazások elleni biztonsági támadások száma és összetettsége folyamatosan fejlődik. Erős biztonsági stratégiára van szükség az Azure OpenAI API-k különböző webalkalmazás-támadások elleni védelméhez.
Az Azure Web Application Firewall (WAF) egy azure-beli hálózatkezelési termék, amely megvédi a webalkalmazásokat és API-kat a OWASP 10 leggyakoribb webes támadásától, a gyakori biztonsági résektől és kitettségektől (CVE-k) és a kártékony robottámadásoktól.
Ez a cikk bemutatja, hogyan használható az Azure Web Application Firewall (WAF) az Azure Front Dooron az Azure OpenAI-végpontok védelme érdekében.
Előfeltételek
Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
Azure OpenAI-példány létrehozása a gpt-35-turbo modellel
Először hozzon létre egy OpenAI-példányt.
Hozzon létre egy Azure OpenAI-példányt, és helyezzen üzembe egy gpt-35-turbo modellt egy Azure OpenAI-szolgáltatás-erőforrás létrehozásával és üzembe helyezésével.
Azonosítsa az Azure OpenAI-végpontot és az API-kulcsot.
Nyissa meg az Azure OpenAI studiót, és nyissa meg a Csevegés lehetőséget a Játszótér területen. A Kód megtekintése lehetőséggel megjelenítheti a végpontot és az API-kulcsot.
Azure OpenAI-hívás érvényesítése a Postman használatával. Használja a korábbi lépésekben található Azure OpenAPI-végpontot és api-key értékeket. Használja az alábbi kódsorokat a POST törzsben:
{ "model":"gpt-35-turbo", "messages": [ { "role": "user", "content": "What is Azure OpenAI?" } ] }
A POST-ra válaszul egy 200 OK: Képernyőképet kell kapnia
Az Azure OpenAI a GPT-modell használatával is létrehoz egy választ.
Azure Front Door-példány létrehozása az Azure WAF használatával
Most az Azure Portal használatával hozzon létre egy Azure Front Door-példányt az Azure WAF használatával.
Hozzon létre egy prémium szintű Azure Front Door-optimalizált szintet egy társított WAF-biztonsági szabályzattal ugyanabban az erőforráscsoportban. Használja az Egyéni létrehozás lehetőséget.
Végpontok és útvonalak hozzáadása.
Adja hozzá a forrás állomásnevét: A forrás állomásneve a következő
testazureopenai.openai.azure.com
: .Adja hozzá a WAF-szabályzatot.
WAF-szabályzat konfigurálása webalkalmazások és API-biztonsági rések elleni védelemhez
Engedélyezze a WAF-szabályzatot megelőzési módban, és győződjön meg arról , hogy a Microsoft_DefaultRuleSet_2.1 és a Microsoft_BotManagerRuleSet_1.0 engedélyezve van.
Az Azure OpenAI-hoz való hozzáférés ellenőrzése az Azure Front Door végpontján keresztül
Most ellenőrizze az Azure Front Door-végpontot.
Kérje le az Azure Front Door-végpontot a Front Door Managerből.
Postman használatával post-kérést küldhet az Azure Front Door-végpontnak.
Az Azure OpenAI a GPT-modell használatával is létrehoz egy választ.
WAF-blokkok ellenőrzése OWASP-támadás esetén
Küldjön egy POST-kérést, amely szimulál egy OWASP-támadást az Azure OpenAI-végponton. A WAF letiltja a hívást egy 403 Tiltott válaszkóddal .
IP-korlátozási szabályok konfigurálása a WAF használatával
Az Azure OpenAI-végponthoz való hozzáférés a szükséges IP-címekre való korlátozásához lásd: IP-korlátozási szabály konfigurálása WAF-tal az Azure Front Doorhoz.
Gyakori problémák
Az alábbi elemek gyakori problémák, amelyeket az Azure OpenAI és az Azure Front Door és az Azure WAF használatakor tapasztalhat.
401: Hozzáférés megtagadva üzenet jelenik meg, amikor POST-kérést küld az Azure OpenAI-végpontnak.
Ha közvetlenül a létrehozása után megkísérli elküldeni a POST-kérést az Azure OpenAI-végpontnak, a 401: Hozzáférés megtagadva üzenet jelenhet meg, még akkor is, ha a kérésben a megfelelő API-kulccsal rendelkezik. Ez a probléma általában egy idő után, közvetlen beavatkozás nélkül megoldódik.
415: Nem támogatott médiatípus üzenet fog kapni, amikor POST-kérést küld az Azure OpenAI-végpontnak.
Ha POST-kérést próbál küldeni az Azure OpenAI-végpontnak a Content-Type fejléccel
text/plain
, ezt az üzenetet kapja. Frissítse a Content-Type fejlécetapplication/json
a Postman fejlécszakaszában.