Rimuovere informazioni tecniche dalle risposte API
Qualsiasi organizzazione che pubblica un'API deve assicurarsi che gli utenti possano accedervi in modo sicuro e che sia protetta in modo efficace dagli attacchi degli utenti malintenzionati.
Gli enti pubblici archiviano molti dati personali relativi ai cittadini. I dati del censimento dicono molto di ogni cittadino della sua vita. Questi dati possono essere sfruttati per danneggiare le persone. È fondamentale che tutti i dati esposti attraverso gli endpoint dell'API siano protetti usando standard moderni.
Lo sviluppatore responsabile dovrà trovare un modo per configurare un gateway API protetto, che proteggerà i dati del censimento da accessi non autorizzati e gli endpoint da attacchi Denial of Service.
Gestione API di Azure
Il servizio Gestione API di Azure è ospitato nel cloud di Azure, tra le API e Internet. Un gateway API di Azure è un'istanza del servizio Gestione API di Azure.
Gli editori delle API usano il portale di Azure o altri strumenti di Azure per controllare il modo in cui ogni API viene esposta ai consumer. Ad esempio, si potrebbe voler rendere alcune API disponibili gratuitamente per gli sviluppatori, a scopo dimostrativo, e controllare in modo rigoroso l'accesso alle altre API.
Intestazioni della risposta
Le intestazioni di risposta sono metadati associati alle risposte HTTP che offrono il contesto dettagliato della risposta. Possono esporre informazioni sulla tecnologia di server e piattaforma in uso.
Nell'esempio dell'API Census, è importante rimuovere l'intestazione seguente:
| Intestazione | Dettagli |
|---|---|
| x-powered-by | Questa intestazione consente ai chiamanti di vedere lo stack di tecnologie in uso, quindi un utente malintenzionato potrebbe tentare di sfruttare eventuali bug presenti nello stack. |
Configurazione di Gestione API
Per configurare Gestione API verranno eseguite le attività seguenti:
- Creare un gateway di Gestione API. In questo passaggio viene creata la risorsa Gestione API nel portale di Azure. Si assegnano anche proprietà al gateway, ad esempio un nome di dominio completo e un piano tariffario.
- Registrare un'API Web esistente con il gateway. In questo passaggio viene aggiunta l'API Web al gateway. L'API ha già il proprio host del servizio app di Azure, ma è necessario aggiungerla a Gestione API per usare i criteri e altri strumenti di Gestione API.
- Rimuovere un'intestazione dalla risposta. In questo passaggio verranno applicati criteri che consentono di rimuovere le intestazioni non sicure da tutte le risposte.