ビュー:

インターネットアクセスオンプレミスゲートウェイでリバースプロキシモードを構成して、プライベートな一般または生成AIアプリケーションの使用を保護します。

インターネットアクセスオンプレミスゲートウェイのリバースプロキシモードは、組織のプライベートな一般または生成AIアプリケーションの追加のセキュリティとパフォーマンス向上を可能にします。オンプレミスゲートウェイはエンドポイントからのHTTPまたはHTTPSリクエストを受け入れ、指定に従ってリクエストをアプリケーションまたはサービスに分配します。
一般のプライベートアプリケーションを保護するように設定されている場合、リバースプロキシモードを使用して、プライベートアプリケーションを保護する特定のオンプレミスゲートウェイに対してインターネットアクセスルールを作成および適用できます。保護されたアプリへのリクエストに対して、アクセス制御、脅威保護、および情報漏えい対策 (DLP) を特に強制することができます。
プライベート生成AIサービスを保護するように設定されている場合、リバースプロキシモードは、保護されたプライベート生成AIサービス専用のAIセキュアアクセスおよびレート制限ルールを作成して適用することができます。オンプレミスゲートウェイは、プライベート生成AIサービスへのリクエストを受信し、コンテンツフィルタリングを適用し、プロンプトインジェクションを防ぎ、レート制限ルールで潜在的なサービス拒否攻撃を阻止することができます。
プライベート生成AIサービスを保護する際には、リバースプロキシモードで構成されたオンプレミスゲートウェイをサービスをホストするサーバーの前に配置し、リクエストを受信および管理する必要があります。
プライベート生成AIアクセス制御を展開する際、X-Authenticated-Userオプションを使用してユーザに基づくアクセス制御を設定できます。デフォルトではX-Authenticated-Userオプションは有効になっておらず、リバースプロキシモードのオンプレミスゲートウェイはIPベースのAI Secure Access Rulesのみを適用できます。
このオプションを使用するには、オンプレミスゲートウェイの前に展開されたダウンストリームアプリによってX-Authenticated-Userヘッダーを挿入する必要があります。このX-Authenticated-Userの値はエンドユーザのUPN情報です。このUPNは、ユーザベースのAISecure Access Ruleを作成するために使用されるユーザ/グループに関連付けられている必要があります。ヘッダーの形式は:
X-Authenticated-User: example@domain.com
このオプションが有効になっているが、下流のアプリが転送トラフィックにヘッダーを挿入しない場合、オンプレミスゲートウェイはそのようなトラフィックに対してユーザまたはIPベースのAI Secure Access Ruleを適用します。
reverseProxy=GUID-9dcb397e-a870-4a2a-af48-2fbe58450bdd.jpg
重要
重要
  • オンプレミスゲートウェイでリバースプロキシモードを有効にするには、対応するService Gatewayとインターネットアクセスオンプレミスゲートウェイサービスの両方を最新バージョンに更新する必要があります。
  • 逆プロキシモードを使用して生成AIサービスを保護している場合、エンドポイントからのリクエストを受信するサーバーを構成して、リクエストヘッダーのX-Forwarded-ForフィールドにエンドポイントのIPアドレスを追加する必要があります。そうしないと、オンプレミスゲートウェイはエンドポイントを識別してアクセス制御やレート制限機能を実行することができません。

手順

  1. [インターネットアクセスとAI Secure Access Configuration]で、新しいオンプレミスゲートウェイを展開するか、既存のオンプレミスゲートウェイに対応する編集アイコン (modify_connector=d7163417-a1d8-4a5a-8e4b-a8babe128751.jpg) をクリックします。
  2. [詳細設定] タブで、サービスモードとして [Reverse proxy] を選択します。デフォルトの HTTP リスニングポートは 8088 です。
    注意
    注意
    リバースプロキシモードを有効にすると、インターネットアクセスとAI Secure Accessは対応するService Gatewayに割り当てられた総vCPU数に基づいてユーザ数を決定します。新しいCredits計算は24時間以内に有効になります。
  3. 必要に応じて、HTTPSリスニングを有効にします。デフォルトのHTTPSリスニングポートは8443です。
    1. HTTPSリクエストの場合、デフォルトのSSL証明書を使用するか、秘密鍵とパスフレーズを含むカスタム証明書を提供してください。
  4. (任意)保護したいアプリの名前を入力してください。
  5. (オプション)保護されたアプリが一般的なプライベートアプリか、プライベートな生成AIサービスかを指定します。
    プライベート生成AIサービスを指定する場合、X-Authenticated-Usersを使用できます。これにはAIサービスルールが必要です。詳細については、AI Secure Access Ruleを作成を参照してください。
    重要
    重要
    レート制限ルールは、プライベートな生成AIサービスを保護するリバースプロキシモードのオンプレミスゲートウェイにのみ適用できます。
  6. (オプション)保護されたアプリに接続するために使用される最大10個のFQDNまたはIPアドレスとポートを指定します。
    1. 各指定されたFQDNまたはIPアドレスを通じてルーティングされるトラフィックの重みを0から100パーセントの範囲で指定します。
  7. [保存] をクリックします。
関連情報