Ansichten:

Konfigurieren Sie den Reverse-Proxy-Modus auf einem Internet Access On-Premises Gateway, um die Nutzung Ihrer privaten allgemeinen oder generativen KI-Anwendungen zu sichern.

Der Reverse-Proxy-Modus für das Internet Access On-Premises Gateway ermöglicht zusätzliche Sicherheit und verbesserte Leistung für die privaten allgemeinen oder generativen KI-Anwendungen Ihrer Organisation. Das On-Premises-Gateway akzeptiert HTTP- oder HTTPS-Anfragen von Endpunkten und verteilt die Anfragen gemäß Ihren Vorgaben an Ihre Anwendung oder Dienstleistung.
Wenn konfiguriert, um eine allgemeine private Anwendung zu schützen, ermöglicht der Reverse-Proxy-Modus die Erstellung und Anwendung von Internetzugriffsregeln für das spezifische lokale Gateway, das die private Anwendung schützt. Sie können Zugriffskontrolle, Bedrohungsschutz und Prävention vor Datenverlust (DLP) speziell auf Anfragen an die geschützte Anwendung durchsetzen.
Wenn konfiguriert, um einen privaten generativen KI-Dienst zu schützen, ermöglicht der Reverse-Proxy-Modus, KI-Dienstzugriffs- und Ratenbegrenzungsregeln speziell für den geschützten privaten generativen KI-Dienst zu erstellen und anzuwenden. Das lokale Gateway empfängt Anfragen an Ihren privaten generativen KI-Dienst und kann Content-Filter anwenden, Prompt-Injektionen verhindern und potenzielle Denial-of-Service-Angriffe mit Ratenbegrenzungsregeln stoppen.
Beim Schutz eines privaten generativen KI-Dienstes muss das lokale Gateway im Reverse-Proxy-Modus vor dem Server, der den Dienst hostet, bereitgestellt werden, um Anfragen zu empfangen und zu verwalten.
Beim Bereitstellen der privaten KI-Zugriffskontrolle können Sie die Zugriffskontrolle basierend auf dem Benutzer mithilfe der Option X-Authenticated-User festlegen. Standardmäßig ist die Option X-Authenticated-User nicht aktiviert, und ein lokales Gateway im Reverse-Proxy-Modus kann nur IP-basierte KI-Dienstzugriffsregeln anwenden.
Um diese Option zu nutzen, muss ein X-Authenticated-User-Header von einer nachgelagerten App eingefügt werden, die vor dem lokalen Gateway bereitgestellt wird. Der Wert dieses X-Authenticated-User ist die UPN-Information des Endbenutzers. Diese UPN muss mit dem Benutzer/der Gruppe verknüpft sein, die zur Erstellung der benutzerbasierten KI-Dienstzugriffsregel verwendet wird. Das Format des Headers ist:
X-Authenticated-User: example@domain.com
Wenn diese Option aktiviert ist, aber die nachgelagerte App den Header nicht in den weitergeleiteten Datenverkehr einfügt, wendet das lokale Gateway jede benutzer- oder IP-basierte KI-Dienstzugriffsregel für diesen Datenverkehr an.
reverseProxy=GUID-9dcb397e-a870-4a2a-af48-2fbe58450bdd.jpg
Wichtig
Wichtig
  • Um den Reverse-Proxy-Modus auf einem lokalen Gateway zu aktivieren, müssen sowohl das entsprechende Service-Gateway als auch der Internetzugang-Lokales-Gateway-Dienst auf die neueste Version aktualisiert werden.
  • Wenn Sie den Reverse-Proxy-Modus verwenden, um einen generativen KI-Dienst zu schützen, müssen Sie den Server, der Anfragen von Endpunkten empfängt, so konfigurieren, dass er Endpunkt-IP-Adressen zum X-Forwarded-For-Feld im Anfrage-Header hinzufügt. Andernfalls ist das lokale Gateway nicht in der Lage, Endpunkte zu identifizieren und Zugriffskontrolle oder Funktionen zur Ratenbegrenzung durchzuführen.

Prozedur

  1. In Internet Access and AI Service Access Configuration einen neuen lokalen Gateway bereitstellen oder auf das Bearbeitungssymbol (modify_connector=d7163417-a1d8-4a5a-8e4b-a8babe128751.jpg) neben einem vorhandenen lokalen Gateway klicken.
  2. Im Erweiterte Einstellungen-Tab wählen Sie Reverse proxy als Servicemodus aus. Der Standard-HTTP-Listening-Port ist 8088.
    Hinweis
    Hinweis
    Das Aktivieren des Reverse-Proxy-Modus führt dazu, dass der Internetzugang und der KI-Dienstzugang die Benutzeranzahl basierend auf der Gesamtanzahl der vCPUs bestimmen, die dem entsprechenden Service-Gateway zugewiesen sind. Die neue Kreditberechnung tritt in 24 Stunden in Kraft.
  3. Bei Bedarf HTTPS-Abhören aktivieren. Der Standardport für HTTPS-Abhören ist 8443.
    1. Für HTTPS-Anfragen wählen Sie, ob das standardmäßige SSL-Zertifikat verwendet oder ein benutzerdefiniertes Zertifikat mit privatem Schlüssel und Passphrase bereitgestellt werden soll.
  4. (Optional) Geben Sie den Namen der App an, die Sie schützen möchten.
  5. (Optional) Geben Sie an, ob die geschützte App eine allgemeine private App oder ein privater generativer KI-Dienst ist.
    Wenn Sie einen privaten generativen KI-Dienst angeben, können Sie X-Authenticated-Users verwenden. Dies erfordert eine KI-Dienstregel. Weitere Informationen finden Sie unter Erstellen einer KI-Dienstzugriffsregel.
    Wichtig
    Wichtig
    Ratenbegrenzungsregeln können nur auf lokale Gateways im Reverse-Proxy-Modus angewendet werden, die einen privaten generativen KI-Dienst schützen.
  6. (Optional) Geben Sie bis zu 10 FQDNs oder IP-Adressen und Ports an, die zur Verbindung mit Ihrer geschützten App verwendet werden.
    1. Geben Sie das Gewicht des Datenverkehrs an, von 0 bis 100 Prozent, das über jeden angegebenen FQDN oder jede angegebene IP-Adresse geleitet werden soll.
  7. Klicken Sie auf Save.
Zugehörige Informationen