API の応答から技術情報を削除する
API を公開するすべての組織は、ユーザーが API に安全にアクセスできること、および悪意のあるユーザーによる攻撃が成功しないことを確認する必要があります。
政府組織には、市民に関する個人データが大量に保存されています。 国勢調査データでは、各市民とその生活について多くの情報が明らかにされます。 このデータは、人に害を与えるために悪用される可能性があります。 API エンドポイントを介して公開されるデータは、最新の標準によってセキュリティ保護されている必要があります。
開発リーダーであるあなたは、セキュリティ保護された API ゲートウェイを設定して、国勢調査データを未承認のアクセスから保護する方法を調べています。 これはエンドポイントをサービス拒否攻撃から保護することにも役立ちます。
Azure API Management
Azure API Management サービスは Azure クラウド内でホストされ、API とインターネットの間に配置されます。 Azure API ゲートウェイは、Azure API Management サービスのインスタンスです。
API の公開元は、Azure portal か他の Azure ツールを使用して、各 API をコンシューマーに公開する方法を制御します。 たとえば、一部の API はデモのために開発者が自由に使用できるようにし、他の API へのアクセスは厳しく制御することができます。
応答ヘッダー
応答ヘッダーは HTTP 応答に関連付けられたメタデータであり、応答の詳細なコンテキストが提供されます。 それらでは、使われているサーバーとプラットフォームのテクノロジに関する情報を公開できます。
Census API の例では、次のヘッダーを削除することが重要です。
| ヘッダー | 詳細 |
|---|---|
| x-powered-by | このヘッダーにより、呼び出し元は使われているテクノロジ スタックを知ることができます。 悪意のあるユーザーが、そのスタック内のバグの悪用を試みる可能性があります。 |
API Management 設定
API Management を設定するには、以下のタスクを実行します。
- API Management ゲートウェイを作成します。 このステップでは、Azure portal で API Management リソースを作成します。 また、FQDN や価格レベルなどのプロパティをゲートウェイに割り当てます。
- ゲートウェイに既存の Web API を登録します。 このステップでは、Web API をゲートウェイに追加します。 API には既に独自の Azure アプリ サービス ホストがありますが、ポリシーや他の API Management ツールを使うには、ホストを API Management に追加する必要があります。
- 応答からヘッダーを削除します。 このステップでは、すべての応答から安全でないヘッダーを削除するポリシーを適用します。