Bezpieczeństwo API w Azure

W dobie rosnącej popularności API jako podstawy rozwiązań internetowych i zwiększającej się liczby ataków na te interfejsy, znajomość aspektów bezpieczeństwa API staje się kluczowa.

To szkolenie ma na celu zapoznanie uczestników z Platformą API Management w Azure, ze szczególnym uwzględnieniem publikacji, orkiestracji, monitorowania i zabezpieczania API.

Uczestnicy nauczą się również o multiplatformowym API discovery i wykorzystaniu Azure Defender for APIs. Szkolenie obejmuje również teoretyczne i praktyczne aspekty bezpieczeństwa API, w tym OWASP top 10 dla API.

Najważniejsze Zagadnienia:

• Podstawy Bezpieczeństwa API: Wprowadzenie do najważniejszych aspektów bezpieczeństwa API.
• Platforma API Management: Omówienie możliwości platformy API Management w kontekście bezpieczeństwa.
• Publikacja i Orkiestracja API: Nauka publikowania i orkiestracji API za pomocą Azure API Management.
• Monitorowanie i Zabezpieczanie API: Techniki monitorowania i zabezpieczania interfejsów API w Azure.
• API Discovery: Zrozumienie multiplatformowego API discovery.
• Azure Defender for APIs: Wykorzystanie Azure Defender for APIs do zwiększenia bezpieczeństwa.
• OWASP Top 10 dla API: Przegląd najczęstszych podatności w API według OWASP i metody ich mitygacji.

Start, powitanie, etc (15 min)

APIM Core (540 min)

Ten moduł skupia się na usłudze API Management (APIM) w Azure, zapewniając szczegółowe wprowadzenie do zarządzania API i bramy API.

Uczestnicy dowiedzą się o różnych typach usługi APIM, w tym o Serverless, Basic, Enterprise i Self-Hosted, oraz zrozumieją ich funkcje i wpływ na cenę.

Moduł obejmuje także integrację APIM z sieciami prywatnymi i prywatnymi centrami danych, definiowanie i publikowanie produktów API, zarządzanie wersjami API, monitorowanie i utrzymanie APIM, a także aspekty związane z monetyzacją API.

Główne zagadnienia:

Wprowadzenie do API Management:

• Czym jest brama API?
• Typu usługi API Management (Serverless, Basic, Enterprise, Self-Hosted), rozróżnienie poszczególnych funkcji i wpływ na cenę.
• Integracja usługi z sieciami prywatnymi, z prywatnymi centrami danych.
• Wdrożenie instancji usługi.

Definiowanie i publikowanie produktów API:

• Definiowanie produktów.
• Zarządzanie uprawnieniami dla produktów.
• Konfiguracja i dostosowywanie portalu dla deweloperów (zewnętrznych klientów korzystających z API).
• Integracja i konfiguracja źródeł tożsamości dla deweloperów.

Konfiguracja API:

• Ręczne tworzenie definicji API w oparciu o Portal Azure.
• Importowanie i konfiguracja API w oparciu o istniejące definicje OpenAPI, Swagger czy WSDL.
• Omówienie poszczególnych elementów konfiguracji.

Używanie wyrażeń i polityk dla API:

• Hierarchia wyrażeń (globalne, produktowe, dla API, dla metod API).
• Wprowadzenie do semantyki wyrażeń w API Management.
• Omówienie metod edycji, w tym dostępnych narzędzi zewnętrznych.
• Warsztaty wykorzystania przykładowych polityk dla API (caching, transformacje xml/json, modyfikacja i weryfikacja nagłówków, wyrażenia warunkowe, obsługa błędów, orkiestracja, mokowanie API).
• Debugowanie i śledzenie wyrażeń.
• Użycie słowników z wartościami konfiguracyjnymi dla wielu API.
• Zarządzanie wersjami API i rewizjami:
• Sposoby wersjonowania API oraz ich cechy.

Zarządzanie wersjami w oparciu o API Management.

• Tworzenie rewizji (małych zmian) w API i użycie tego mechanizmu w testach A/B lub próbnych wdrożeniach.
• Monitorowanie i utrzymanie API Management:

Monitorowanie API management.

• Zbieranie logów dotyczących użycia usług, selektywne podwyższanie poziomu logowania dla wybranych usług (w tym zbieranie adresów IP i zawartości żądań i odpowiedzi).
• Korelowanie i wyszukiwanie logów.
• Tworzenie i przywracanie kopii zapasowych konfiguracji API Management.
• Wstęp do metod automatyzacji konfiguracji w API Management.

Monetyzacja i rozliczanie użycia dla API:

• Omówienie aspektów monetyzacji w API w tym modelu „za użycie”, lub modelu subskrypcyjnego.
• Metody integracji zewnętrznej tożsamości deweloperów i zbierania dodatkowych informacji (np. nazwa firmy, NIP, numer karty kredytowej).
• Omówienie integracji z zewnętrznymi bramkami płatniczymi i systemami do fakturowania.

‍

API Security (240 min)

Ten moduł zapewnia wszechstronne wprowadzenie do bezpieczeństwa API, koncentrując się na metodologii OWASP Top 10 for API.

Uczestnicy modułu dowiedzą się o najpoważniejszych zagrożeniach dla API, metodach ich mitygacji oraz implementacji aspektów bezpieczeństwa w API Management.

Moduł obejmuje także konfigurację uwierzytelniania, zarządzanie dostępem, integrację z narzędziami klasy SIEM oraz wykorzystanie Azure Defender for APIs do monitorowania i ochrony API w czasie rzeczywistym.

Główne Zagadnienia:

OWASP TOP 10 for API: Wprowadzenie do metodologii OWASP i omówienie 10 najpoważniejszych zagrożeń dla API.

Implementacja Bezpieczeństwa w API Management:Użycie polityk dla uwierzytelniania i autoryzacji.

• Konfiguracja OAuth 2.0, Basic Authentication, API Key, i innych metod uwierzytelniania.
• Budowanie IP allow-list i limitowanie czasowe żądań.
• Weryfikacja i sanityzacja żądań i odpowiedzi HTTP.

Integracja z Narzędziami SIEM i WAF:Wpięcie API Management do Azure Sentinel i innych narzędzi SIEM.

• Integracja z usługami klasy Web Application Firewall (WAF).

Azure Defender for APIs:Wdrożenie i integracja z APIM.

• Omówienie rekomendacji Defendera i metod ich remediacji.
• Monitorowanie i ochrona API w czasie rzeczywistym.

‍

Zakończenie, ankieta, etc (15 min)