Introduction

  • 2 мин

Contoso Retail предоставляет API для партнеров через Azure API Management, предоставляющий доступ к каталогу продуктов, ценам и данным инвентаризации. Любой вызывающий объект с допустимым URL-адресом может выполнять запросы — ключ подписки не требуется, проверка маркера не осуществляется, и ограничения на количество запросов не применяются. Внутренние API принимают любой входящий HTTPS-запрос, не проверяя удостоверение вызывающего на уровне подключения.

Команда также оценивает управление API в качестве безопасного шлюза для нового модуля рекомендаций по продуктам на основе OpenAI Azure, который обслуживает внутренние приложения. Каждая из них представляет собой отдельный разрыв безопасности, который необходимо закрыть.

Управление API не защищает API автоматически. Платформа предоставляет политики, сетевые элементы управления, обработку сертификатов и возможности ИИ для создания надежной безопасности API, но эта защита должна быть настроена намеренно. Оставление этих пробелов открытыми означает, что утечка учетных данных партнера предоставляет неограниченный доступ, внутренние службы принимают запросы от любого вызывающего объекта, который обходит шлюз, и затраты на модель ИИ могут неконтролируемо расти из-за одного потребителя с высоким объемом.

В этом модуле рассматриваются четыре уровня безопасности API, которые устраняют пробелы Компании Contoso. Начните с проверки подлинности и авторизации — настройка ключей подписки, проверка JSON веб-токена (JWT) и правила маркеров Microsoft Entra ID для управления доступом к API. Затем вы применяете элементы управления безопасностью сети — фильтрацию IP-адресов, ограничение скорости и интеграцию виртуальной сети, чтобы контролировать, сколько ресурсов потребляют вызывающие абоненты и из какого местоположения. Затем вы защищаете бэкенд-подключения с помощью аутентификации клиентских сертификатов и взаимной TLS (mTLS), гарантируя, что только API Management может вызывать ваши бэкенд-сервисы. Наконец, вы настроите возможности шлюза ИИ для защиты и управления конечными точками Azure OpenAI за управлением API Management, используя ограничения скорости на основе маркеров и аутентификацию управляемых идентификаторов.

В конце этого модуля вы можете настроить политики проверки подлинности и авторизации API, реализовать элементы управления безопасностью сети, обеспечить безопасность внутреннего подключения с помощью взаимной TLS и настроить шлюз ИИ для управления конечными точками модели ИИ.

Изучив этот модуль, вы сможете:

  • Настройка политик проверки подлинности и авторизации API, включая проверку JWT и OAuth 2.0 с помощью Microsoft Entra ID
  • Реализация элементов управления безопасностью сети, включая фильтрацию IP-адресов, ограничение скорости и интеграцию виртуальной сети для управления API
  • Обеспечение безопасности соединения с сервером с помощью аутентификации сертификата клиента и взаимной аутентификации TLS.
  • Настройка шлюза искусственного интеллекта в службе управления API для защиты конечных точек модели ИИ и управления ими