Remover informações técnicas das respostas de API
Qualquer organização que publique uma API precisa garantir que os usuários possam acessá-la com segurança e que usuários mal-intencionados não possam atacá-la com êxito.
Os Governos armazenam grandes quantidades de dados pessoais dos cidadãos. Os dados do censo revelam muitas informações sobre cada cidadão e a respetiva vida. Estes dados podem ser explorados para prejudicar as pessoas. É essencial que todos os dados expostos através de pontos finais de API sejam protegidos através de normas modernas.
Enquanto programador principal, verá como configurar um gateway de API seguro para proteger os dados do censo contra acessos não autorizados. Também ajudará a proteger os pontos finais contra ataques de negação de serviço.
API Management do Azure
O serviço de Gestão de API do Azure está alojado na cloud do Azure e encontra-se entre as suas APIs e a Internet. Um gateway de API do Azure é uma instância do serviço de Gestão de API do Azure.
Os editores de APIs usam o portal do Azure ou outras ferramentas do Azure para controlar como cada API é exposta aos consumidores. Por exemplo, pode querer que algumas APIs sejam disponibilizadas livremente aos programadores para fins de demonstração e que o acesso a outras APIs seja controlado rigorosamente.
Cabeçalhos de resposta
Os cabeçalhos de resposta são metadados associados a respostas de HTTP que fornecem o contexto detalhado da resposta. Podem expor informações sobre a tecnologia do Servidor e plataforma utilizada.
No exemplo da API do Census, é importante remover o seguinte cabeçalho:
| Cabeçalho | Detalhe |
|---|---|
| X-alimentado por | Este cabeçalho permite que os autores de chamadas vejam qual é a pilha de tecnologia utilizada. Pode permitir que um utilizador malicioso tente explorar os erros que possam existir nessa pilha. |
Configuração do Gerenciamento de API
Para configurar o Gerenciamento de API, você executará as seguintes tarefas:
- Criar um gateway de Gestão de API. Neste passo, irá criar o recurso Gestão de API no portal do Azure. Irá também atribuir propriedades ao gateway, como um FQDN e um escalão de preço.
- Registre uma API da Web existente no gateway. Neste passo, irá adicionar a API Web ao gateway. A API já tem o seu próprio anfitrião do serviço da aplicação Azure, mas tem de o adicionar à Gestão de API para utilizar políticas e outras ferramentas de Gestão de API.
- Remova um cabeçalho da resposta. Nesta etapa, você aplicará uma política que remove um cabeçalho inseguro de todas as respostas.