Сводка
В начале этого модуля в API для партнеров Contoso Retail было четыре отдельных пробела в безопасности. Каждый из них касался отдельного уровня контроля, который предоставляет Azure API Management.
Вы настроили политики проверки подлинности и авторизации, которые закрыли первый разрыв. Ключи подписки установили базовый уровень управления доступом, требующий, чтобы вызывающие предоставили общий секрет с каждым запросом. Расширенная политика validate-azure-ad-token с проверкой токенов на основе удостоверений гарантирует, что только приложения, зарегистрированные в утвержденном клиенте Microsoft Entra, могут получать токены, которые проходят через шлюз. Область политики дала вам точный контроль размещения — область продукта для партнерских API, оставляя внутренние конечные точки работоспособности нетронутыми.
Вы применили элементы управления безопасностью сети, которые устраняют второй разрыв. Политика ip-filter ограничивает диапазоны исходных IP-адресов для шлюза. Политики rate-limit и rate-limit-by-key ограничивают потребление для каждой подписки и каждого вызывающего, предотвращая чрезмерное использование. Политика quota предусматривала выполнение ежемесячных обязательств по объему в соответствии с уровнями контрактов партнера. Режимы интеграции с виртуальной сетью — внешние интерфейсы API для интернета, внутренние для полностью частных рабочих нагрузок— дали вам модель снижения или устранения общедоступной области атак для API, для которых не требуется доступ к Интернету.
Вы обеспечили внутренние подключения с помощью клиентских сертификатов и взаимного протокола TLS, которые закрыли третью уязвимость. Управление API отправляет клиентский сертификат серверной части для каждого исходящего вызова, а validate-client-certificate политика требует, чтобы вызывающие предоставляли сертификаты шлюзу. Оба конца подключения теперь криптографически проходят проверку подлинности. Интеграция с Azure Key Vault исключила ручное управление жизненным циклом сертификатов, удалив его из процесса.
Вы настроили возможности шлюза искусственного интеллекта, чтобы закрыть четвертый разрыв. Проверка подлинности с управляемым удостоверением устранила необходимость использования ключей Azure OpenAI API в конфигурации. Политика azure-openai-token-limit управляет потреблением на уровне токена — фактическим драйвером затрат для рабочих нагрузок большой языковой модели (LLM). Семантическое кэширование снижает избыточные вызовы при аналогичных запросах. Все потребители ИИ, включая автономных агентов, проходят через одну точку контроля.
Подробнее
- Обзор аутентификации и авторизации — Azure API Management
- Защитите API с использованием взаимных сертификатов в Azure API Management
- Возможности шлюза искусственного интеллекта в службе "Управление API Azure"