Entfernen von technischen Informationen aus API-Antworten
Alle Organisationen, die eine API veröffentlichen, müssen sicherstellen, dass Benutzer sicher darauf zugreifen können, und dass die API keine Angriffsfläche für böswillige Benutzer bietet.
Regierungen speichern viele personenbezogene Daten zu den Bürgern. Die Erhebungsdaten offenbaren viel über jeden Bürger und sein Leben. Diese Daten könnten dazu verwendet werden, um Personen zu schädigen. Deshalb ist es unerlässlich, dass alle Daten, die über API-Endpunkte bereitgestellt werden, durch moderne Standards gesichert sind.
Als leitender Entwickler befassen Sie sich mit der Einrichtung eines sicheren API-Gateways, das die Erhebungsdaten vor unbefugtem Zugriff schützt. Das API-Gateway soll zudem Endpunkte vor Denial-of-Service-Angriffen schützen.
Azure API Management
Der Azure API Management-Dienst wird in der Azure-Cloud gehostet und befindet sich zwischen Ihren APIs und dem Internet. Ein Azure-API-Gateway ist eine Instanz des Azure API Management-Diensts.
Im Azure-Portal oder mithilfe von anderen Azure-Tools legen Benutzer fest, auf welche Weise die einzelnen APIs beim Veröffentlichen Kunden verfügbar gemacht werden. Einige APIs sollen z. B. zu Demozwecken für Entwickler frei zugänglich sein, während der Zugriff auf andere APIs strenger kontrolliert werden muss.
Antwortheader
Antwortheader sind Metadaten, die mit HTTP-Antworten verknüpft sind und den detaillierten Kontext der Antwort angeben. Sie können Informationen über den verwendeten Server und die eingesetzte Plattformtechnologie verfügbar machen.
Im Beispiel für die Census-API ist es wichtig, dass Sie den folgenden Header entfernen:
| Header | Detail |
|---|---|
| x-powered-by | Dieser Header gibt Aufrufern Aufschluss über den verwendeten Technologiestapel. Böswillige Benutzer können sich möglicherweise Fehler in diesem Stapel zunutze machen. |
API Management-Einrichtung
Führen Sie die folgenden Aufgaben aus, um API Management einzurichten:
- Erstellen Sie ein API Management-Gateway. In diesem Schritt erstellen Sie die API Management-Ressource im Azure-Portal. Sie weisen dem Gateway außerdem Eigenschaften zu, z. B. einen FQDN und eine Preisstufe.
- Registrieren Sie eine vorhandene Web-API für das Gateway. In diesem Schritt fügen Sie die Web-API dem Gateway hinzu. Die API verfügt bereits über einen eigenen Azure App Service-Host. Sie müssen ihn jedoch zu API Management hinzufügen, um Richtlinien und andere API Management-Tools verwenden zu können.
- Entfernen Sie einen Header aus der Antwort. In diesem Schritt wenden Sie eine Richtlinie an, die die unsicheren Header aus allen Antworten entfernt.