Remover informações técnicas de respostas da API
Qualquer organização que publica uma API precisa garantir que os usuários possam acessá-la com segurança e que usuários mal-intencionados não possam atacar com êxito.
Governos armazenam muitos dados pessoais de cidadãos. Dados de censo revelam muito sobre cada cidadão e sua vida. Esses dados poderiam ser explorados para prejudicar as pessoas. É fundamental que todos os dados expostos por meio de pontos de extremidade de API sejam protegidos usando padrões modernos.
Como desenvolvedor líder, você examinará como pode configurar um gateway de API seguro que protegerá os dados de censo contra acesso não autorizado. Também ajudará a proteger os pontos de extremidade contra ataques de negação de serviço.
Gerenciamento de API do Azure
O serviço de Gerenciamento de API do Azure está hospedado na nuvem do Azure e fica posicionado entre as suas APIs e a Internet. Um gateway de API do Azure é uma instância do serviço de Gerenciamento de API do Azure.
Os editores de APIs usam o portal do Azure ou outras ferramentas do Azure para controlar como cada API é exposta aos consumidores. Por exemplo, talvez você queira que algumas APIs sejam disponibilizadas gratuitamente para os desenvolvedores, para fins de demonstração, e que o acesso a outras APIs seja controlado rigorosamente.
Cabeçalhos de resposta
Cabeçalhos de resposta são metadados associados a respostas HTTP que fornecem o contexto detalhado da resposta. Eles podem expor informações sobre a tecnologia do servidor e da plataforma que está sendo usada.
No exemplo da API de Censo, é importante remover o seguinte cabeçalho:
| Cabeçalho | Detalhe |
|---|---|
| x-powered-by | Este cabeçalho permite que os chamadores vejam a pilha de tecnologias que está sendo usada. Ele pode permitir que um usuário mal-intencionado tente explorar qualquer bug dentro dessa pilha. |
Configuração do Gerenciamento de API
Para configurar o Gerenciamento de API, você realizará as seguintes tarefas:
- Criar um gateway do Gerenciamento de API. Nesta etapa, você cria o recurso de Gerenciamento de API no portal do Azure. Você também atribui propriedades ao gateway, como um FQDN e um tipo de preço.
- Registre uma API Web existente no gateway. Nesta etapa, você adiciona a API Web ao gateway. A API já tem o próprio host de serviço de aplicativo do Azure, mas você deve adicioná-la ao Gerenciamento de API para usar políticas e outras ferramentas que ele fornece.
- Remova um cabeçalho da resposta. Nesta etapa, você aplicará uma política que remove um cabeçalho inseguro de todas as respostas.