Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı kullanarak Azure OpenAI'i koruma

  • Makale

Azure OpenAI API'lerini kullanan kuruluşların sayısı giderek artmaktadır ve web uygulamalarına yönelik güvenlik saldırılarının sayısı ve karmaşıklığı sürekli gelişmektedir. Azure OpenAI API'lerini çeşitli web uygulaması saldırılarından korumak için güçlü bir güvenlik stratejisi gereklidir.

Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarını ve API'leri çeşitli OWASP ilk 10 web saldırısından, Ortak Güvenlik Açıkları ve Açığa Çıkarmalardan (CVE) ve kötü amaçlı bot saldırılarından koruyan bir Azure Ağ ürünüdür.

Bu makalede, Azure OpenAI uç noktalarını korumak için Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı 'nin (WAF) nasıl kullanılacağı açıklanır.

Ön koşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

gpt-35-turbo modelini kullanarak Azure OpenAI örneği oluşturma

İlk olarak bir OpenAI örneği oluşturun.

  1. Azure OpenAI hizmeti kaynağı oluşturup dağıtarak bir Azure OpenAI örneği oluşturun ve gpt-35-turbo modeli dağıtın.

  2. Azure OpenAI uç noktasını ve API anahtarını belirleyin.

    Azure OpenAI studio'yu açın ve Playground altındaki Sohbet seçeneğini açın. Uç noktayı ve API anahtarını görüntülemek için Kodu görüntüle seçeneğini kullanın. Azure AI Studio Sohbet oyun alanının gösterildiği ekran görüntüsü.

    Uç Nokta ve Anahtar ile Azure OpenAI örnek kodunu gösteren ekran görüntüsü.

  3. Postman kullanarak Azure OpenAI çağrısını doğrulayın. Önceki adımlarda bulunan Azure OpenAPI uç noktasını ve api anahtarı değerlerini kullanın. POST gövdesinde şu kod satırlarını kullanın:

    {
"model":"gpt-35-turbo",
"messages": [
{
"role": "user",
"content": "What is Azure OpenAI?"
}
]
}

    Gönderi gövdesini gösteren ekran görüntüsü.

  4. POST'a yanıt olarak 200 Tamam: POST 200Tamam'ı gösteren ekran görüntüsü almalısınız.

    Azure OpenAI ayrıca GPT modelini kullanarak bir yanıt oluşturur.

Azure WAF ile Azure Front Door örneği oluşturma

Şimdi Azure portal kullanarak Azure WAF ile bir Azure Front Door örneği oluşturun.

  1. Aynı kaynak grubunda ilişkili bir WAF güvenlik ilkesiyle Azure Front Door premium için iyileştirilmiş bir katman oluşturun. Özel oluşturma seçeneğini kullanın.

    1. Hızlı Başlangıç: Azure Front Door profili oluşturma - Azure portal

  2. Uç noktalar ve yollar ekleyin.

  3. Kaynak ana bilgisayar adını ekleyin: Kaynak ana bilgisayar adı şeklindedir testazureopenai.openai.azure.com.

  4. WAF ilkesini ekleyin.

Web uygulaması ve API güvenlik açıklarına karşı koruma sağlamak için WAF ilkesi yapılandırma

WAF ilkesini önleme modunda etkinleştirin ve Microsoft_DefaultRuleSet_2.1 ve Microsoft_BotManagerRuleSet_1.0'ın etkinleştirildiğinden emin olun.

WAF ilkesini gösteren ekran görüntüsü.

Azure Front Door uç noktası aracılığıyla Azure OpenAI'ye erişimi doğrulama

Şimdi Azure Front Door uç noktanızı doğrulayın.

  1. Front Door Manager'dan Azure Front Door uç noktasını alın.

    Azure Front Door uç noktasını gösteren ekran görüntüsü.

  2. Azure Front Door uç noktasına POST isteği göndermek için Postman'i kullanın.

    1. Postman POST isteğinde Azure OpenAI uç noktasını AFD uç noktasıyla değiştirin. Son POST'un gösterildiği ekran görüntüsü.

    Azure OpenAI ayrıca GPT modelini kullanarak bir yanıt oluşturur.

WAF'nin OWASP saldırısını engellemesini doğrulama

Azure OpenAI uç noktasında OWASP saldırısı simülasyonu gösteren bir POST isteği gönderin. WAF, çağrıyı 403 Yasak yanıt koduyla engeller.

WAF kullanarak IP kısıtlama kurallarını yapılandırma

Azure OpenAI uç noktasına erişimi gerekli IP adresleriyle kısıtlamak için bkz. Azure Front Door için WAF ile IP kısıtlama kuralı yapılandırma.

Genel sorunlar

Aşağıdaki öğeler, Azure OpenAI'yi Azure Front Door ve Azure WAF ile kullanırken karşılaşabileceğiniz yaygın sorunlardır.

  • Azure OpenAI uç noktanıza POST isteği gönderdiğinizde 401: Erişim Reddedildi iletisi alırsınız.

    Azure OpenAI uç noktanızı oluşturduktan hemen sonra göndermeye çalışırsanız, isteğinizde doğru API anahtarı olsa bile bir 401: Erişim Reddedildi iletisi alabilirsiniz. Bu sorun genellikle herhangi bir doğrudan müdahale olmadan bir süre sonra kendi kendine çözülür.

  • Azure OpenAI uç noktanıza post isteği gönderdiğinizde 415: Desteklenmeyen Medya Türü iletisi alırsınız.

    Content-Type üst bilgisi text/plainile Azure OpenAI uç noktanıza bir POST isteği göndermeye çalışırsanız bu iletiyi alırsınız. Content-Type üst bilginizi application/json Postman'ın üst bilgi bölümünde olarak güncelleştirdiğinden emin olun.