Eliminación de información técnica de las respuestas de API
Cualquier organización que publique una API debe asegurarse de que los usuarios puedan obtener acceso a ella de forma segura y de que los usuarios malintencionados no puedan atacarla con éxito.
Los gobiernos almacenan muchos datos personales relativos a los ciudadanos. Los datos censales revelan una gran cantidad de información sobre cada ciudadano y sobre su vida. Estos datos se podrían aprovecharse para perjudicar a las personas. Es imprescindible que todos los datos expuestos a través de los puntos de conexión de API estén protegidos mediante estándares modernos.
Como desarrollador jefe, verá cómo configurar una puerta de enlace de API segura, la cual protegerá los datos censales frente al acceso no autorizado. También le ayudará a proteger los puntos de conexión de los ataques por denegación de servicio.
Azure API Management
El servicio Azure API Management se hospeda en la nube de Azure y está situado entre Internet y sus API. Una puerta de enlace de API de Azure es una instancia del servicio Azure API Management.
Los publicadores de API usan Azure Portal u otras herramientas de Azure para controlar cómo se expone cada API a los consumidores. Por ejemplo, puede que algunas API estén disponibles libremente para los desarrolladores para fines de demostración, mientras que el acceso a otras API puede estar controlado de forma estricta.
Encabezados de respuesta
Los encabezados de respuesta son metadatos asociados a respuestas HTTP que proporcionan un contexto detallado de cada respuesta. Pueden exponer información sobre el servidor y la tecnología de plataforma que se usa.
En el ejemplo de la API Census, es importante quitar el siguiente encabezado:
| Encabezado | Detalle |
|---|---|
| x-powered-by | Este encabezado permite a los autores de las llamadas ver la pila de tecnología que se usa. Podría permitir que un usuario malintencionado intentara sacar provecho de los errores de esa pila. |
Configuración de API Management
Para configurar API Management, realizará las siguientes tareas:
- Crear una puerta de enlace de API Management. En este paso, creará el recurso de API Management en Azure Portal. También asignará propiedades a la puerta de enlace, como un FQDN y un plan de tarifa.
- Registre una API web existente en la puerta de enlace. En este paso, agregará la API web a la puerta de enlace. La API ya tiene su propio host de Azure App Service, pero debe agregarlo a API Management para poder usar las directivas y otras herramientas de API Management.
- Quite un encabezado de la respuesta. En este paso, aplicará una directiva que quita un encabezado no seguro de todas las respuestas.