ビュー:

インターネットアクセスオンプレミスゲートウェイでリバースプロキシモードを構成して、プライベートな一般または生成AIアプリケーションの使用を保護します。

インターネットアクセスオンプレミスゲートウェイのリバースプロキシモードは、組織のプライベートな一般または生成AIアプリケーションの追加のセキュリティとパフォーマンス向上を可能にします。オンプレミスゲートウェイはエンドポイントからのHTTPまたはHTTPSリクエストを受け入れ、指定に従ってリクエストをアプリケーションまたはサービスに分配します。
一般のプライベートアプリケーションを保護するように設定されている場合、リバースプロキシモードを使用して、プライベートアプリケーションを保護する特定のオンプレミスゲートウェイに対してインターネットアクセスルールを作成および適用できます。保護されたアプリへのリクエストに対して、アクセス制御、脅威保護、および情報漏えい対策 (DLP) を特に強制することができます。
プライベート生成AIサービスを保護するように設定されている場合、リバースプロキシモードを使用して、保護されたプライベート生成AIサービス専用のAIサービスアクセスおよびレート制限ルールを作成および適用できます。オンプレミスゲートウェイは、プライベート生成AIサービスへのリクエストを受信し、コンテンツフィルタリングを適用し、プロンプトインジェクションを防止し、レート制限ルールで潜在的なサービス拒否攻撃を阻止できます。
プライベート生成AIサービスを保護する際には、リバースプロキシモードで構成されたオンプレミスゲートウェイをサービスをホストするサーバーの前に配置し、リクエストを受信および管理する必要があります。
プライベート生成AIアクセス制御を展開する際、X-Authenticated-Userオプションを使用してユーザに基づいたアクセス制御を設定できます。デフォルトではX-Authenticated-Userオプションは有効になっておらず、リバースプロキシモードのオンプレミスゲートウェイはIPベースのAIサービスアクセスルールのみを適用できます。
このオプションを使用するには、オンプレミスゲートウェイの前にデプロイされたダウンストリームアプリによって X-Authenticated-User ヘッダーが挿入される必要があります。この X-Authenticated-User の値はエンドユーザの UPN 情報です。この UPN は、ユーザベースの AI サービスアクセスルールを作成するために使用されるユーザ/グループに関連付けられている必要があります。ヘッダーの形式は次のとおりです:
X-Authenticated-User: example@domain.com
このオプションが有効になっているが、下流のアプリが転送トラフィックにヘッダーを挿入しない場合、オンプレミスゲートウェイはそのようなトラフィックに対してユーザまたはIPベースのAIサービスアクセスルールを適用します。
reverseProxy=GUID-9dcb397e-a870-4a2a-af48-2fbe58450bdd.jpg
重要
重要
  • オンプレミスゲートウェイでリバースプロキシモードを有効にするには、対応するService Gatewayとインターネットアクセスオンプレミスゲートウェイサービスの両方を最新バージョンに更新する必要があります。
  • 逆プロキシモードを使用して生成AIサービスを保護している場合、エンドポイントからのリクエストを受信するサーバーを構成して、リクエストヘッダーのX-Forwarded-ForフィールドにエンドポイントのIPアドレスを追加する必要があります。そうしないと、オンプレミスゲートウェイはエンドポイントを識別してアクセス制御やレート制限機能を実行することができません。

手順

  1. [Internet Access and AI Service Access Configuration] で、新しいオンプレミスゲートウェイをデプロイするか、既存のオンプレミスゲートウェイに対応する編集アイコン (modify_connector=d7163417-a1d8-4a5a-8e4b-a8babe128751.jpg) をクリックします。
  2. [詳細設定] タブで、サービスモードとして [Reverse proxy] を選択します。デフォルトの HTTP リスニングポートは 8088 です。
    注意
    注意
    リバースプロキシモードを有効にすると、インターネットアクセスおよびAIサービスアクセスは、対応するService Gatewayに割り当てられたvCPUの総数に基づいてユーザ数を決定します。新しいCredits計算は24時間以内に有効になります。
  3. 必要に応じて、HTTPSリスニングを有効にします。デフォルトのHTTPSリスニングポートは8443です。
    1. HTTPSリクエストの場合、デフォルトのSSL証明書を使用するか、秘密鍵とパスフレーズを含むカスタム証明書を提供してください。
  4. (任意)保護したいアプリの名前を入力してください。
  5. (オプション)保護されたアプリが一般的なプライベートアプリか、プライベートな生成AIサービスかを指定します。
    プライベート生成AIサービスを指定する場合、X-Authenticated-Usersを使用できます。これにはAIサービスルールが必要です。詳細については、AIサービスアクセスルールの作成を参照してください。
    重要
    重要
    レート制限ルールは、プライベートな生成AIサービスを保護するリバースプロキシモードのオンプレミスゲートウェイにのみ適用できます。
  6. (オプション)保護されたアプリに接続するために使用される最大10個のFQDNまたはIPアドレスとポートを指定します。
    1. 各指定されたFQDNまたはIPアドレスを通じてルーティングされるトラフィックの重みを0から100パーセントの範囲で指定します。
  7. [保存] をクリックします。
関連情報