Supprimer les informations techniques des réponses d’API
Toute organisation qui publie une API doit s’assurer que les utilisateurs peuvent y accéder de façon sécurisée et qu’elle est protégée des attaques des utilisateurs malveillants.
Les organismes publics stockent de nombreuses données personnelles sur les citoyens. Les données de recensement révèlent beaucoup de choses sur chaque citoyen et sur leur vie. Ces données peuvent être exploitées pour nuire aux personnes. Il est donc impératif que toutes les données exposées via des points de terminaison d’API soient sécurisées avec des standards récents.
En tant que développeur en chef, vous allez voir comment configurer une passerelle API sécurisée, qui protégera les données de recensement contre tout accès non autorisé. Elle va également protéger les points de terminaison contre les attaques par déni de service.
Gestion des API Azure
Le service Gestion des API Azure est hébergé dans le cloud Azure et est positionné entre vos API et Internet. Une passerelle API Azure est une instance du service Gestion des API Azure.
Les éditeurs d’API utilisent le Portail Azure, ou d’autres outils Azure, pour contrôler la façon dont chaque API est exposée aux consommateurs. Par exemple, vous voulez que certaines API soient disponibles gratuitement pour les développeurs à des fins de démonstration, et que l’accès à d’autres API soit étroitement contrôlé.
En-têtes de réponse
Les en-têtes de réponse sont des métadonnées associées aux réponses HTTP qui fournissent le contexte détaillé de la réponse. Ils peuvent exposer des informations sur le serveur et la plateforme utilisés.
Dans l’exemple d’API de recensement, il est important de supprimer l’en-tête suivant :
En-tête | Détail |
---|---|
x-powered-by | Cet en-tête permet aux appelants de voir la pile des technologies utilisées. Cela pourrait permettre à un utilisateur malveillant de tenter d’exploiter tout bogue présent dans cette pile. |
Configuration de la Gestion des API
Pour configurer la Gestion des API, vous allez effectuer les tâches suivantes :
- Créer une passerelle Gestion des API. Dans cette étape, vous allez créer la ressource Gestion des API dans le portail Azure. Vous allez aussi affecter des propriétés à la passerelle, telles qu’un FQDN et un niveau tarifaire.
- Inscrivez une API web existante auprès de la passerelle. Dans cette étape, vous allez ajouter l’API web à la passerelle. L’API a déjà son propre hôte de service d’application Azure, mais vous devez l’ajouter à Gestion des API pour utiliser des stratégies et autres outils Gestion des API.
- Supprimez un en-tête de la réponse. Dans cette étape, vous allez appliquer une stratégie qui supprime un en-tête non sécurisé de toutes les réponses.