Bezpieczeństwo API w Azure
Poziom:
Zaawansowany
Kategoria:
AWS
API
Opis szkolenia
W dobie rosnącej popularności API jako podstawy rozwiązań internetowych i zwiększającej się liczby ataków na te interfejsy, znajomość aspektów bezpieczeństwa API staje się kluczowa.
To szkolenie ma na celu zapoznanie uczestników z Platformą API Management w Azure, ze szczególnym uwzględnieniem publikacji, orkiestracji, monitorowania i zabezpieczania API.
Uczestnicy nauczą się również o multiplatformowym API discovery i wykorzystaniu Azure Defender for APIs. Szkolenie obejmuje również teoretyczne i praktyczne aspekty bezpieczeństwa API, w tym OWASP top 10 dla API.
Najważniejsze Zagadnienia:
- Podstawy Bezpieczeństwa API: Wprowadzenie do najważniejszych aspektów bezpieczeństwa API.
- Platforma API Management: Omówienie możliwości platformy API Management w kontekście bezpieczeństwa.
- Publikacja i Orkiestracja API: Nauka publikowania i orkiestracji API za pomocą Azure API Management.
- Monitorowanie i Zabezpieczanie API: Techniki monitorowania i zabezpieczania interfejsów API w Azure.
- API Discovery: Zrozumienie multiplatformowego API discovery.
- Azure Defender for APIs: Wykorzystanie Azure Defender for APIs do zwiększenia bezpieczeństwa.
- OWASP Top 10 dla API: Przegląd najczęstszych podatności w API według OWASP i metody ich mitygacji.
Program szkolenia
Start, powitanie, etc (15 min)
APIM Core (540 min)
Ten moduł skupia się na usłudze API Management (APIM) w Azure, zapewniając szczegółowe wprowadzenie do zarządzania API i bramy API.
Uczestnicy dowiedzą się o różnych typach usługi APIM, w tym o Serverless, Basic, Enterprise i Self-Hosted, oraz zrozumieją ich funkcje i wpływ na cenę.
Moduł obejmuje także integrację APIM z sieciami prywatnymi i prywatnymi centrami danych, definiowanie i publikowanie produktów API, zarządzanie wersjami API, monitorowanie i utrzymanie APIM, a także aspekty związane z monetyzacją API.
Główne zagadnienia:
Wprowadzenie do API Management:
- Czym jest brama API?
- Typu usługi API Management (Serverless, Basic, Enterprise, Self-Hosted), rozróżnienie poszczególnych funkcji i wpływ na cenę.
- Integracja usługi z sieciami prywatnymi, z prywatnymi centrami danych.
- Wdrożenie instancji usługi.
Definiowanie i publikowanie produktów API:
- Definiowanie produktów.
- Zarządzanie uprawnieniami dla produktów.
- Konfiguracja i dostosowywanie portalu dla deweloperów (zewnętrznych klientów korzystających z API).
- Integracja i konfiguracja źródeł tożsamości dla deweloperów.
Konfiguracja API:
- Ręczne tworzenie definicji API w oparciu o Portal Azure.
- Importowanie i konfiguracja API w oparciu o istniejące definicje OpenAPI, Swagger czy WSDL.
- Omówienie poszczególnych elementów konfiguracji.
Używanie wyrażeń i polityk dla API:
- Hierarchia wyrażeń (globalne, produktowe, dla API, dla metod API).
- Wprowadzenie do semantyki wyrażeń w API Management.
- Omówienie metod edycji, w tym dostępnych narzędzi zewnętrznych.
- Warsztaty wykorzystania przykładowych polityk dla API (caching, transformacje xml/json, modyfikacja i weryfikacja nagłówków, wyrażenia warunkowe, obsługa błędów, orkiestracja, mokowanie API).
- Debugowanie i śledzenie wyrażeń.
- Użycie słowników z wartościami konfiguracyjnymi dla wielu API.
- Zarządzanie wersjami API i rewizjami:
- Sposoby wersjonowania API oraz ich cechy.
Zarządzanie wersjami w oparciu o API Management.
- Tworzenie rewizji (małych zmian) w API i użycie tego mechanizmu w testach A/B lub próbnych wdrożeniach.
- Monitorowanie i utrzymanie API Management:
Monitorowanie API management.
- Zbieranie logów dotyczących użycia usług, selektywne podwyższanie poziomu logowania dla wybranych usług (w tym zbieranie adresów IP i zawartości żądań i odpowiedzi).
- Korelowanie i wyszukiwanie logów.
- Tworzenie i przywracanie kopii zapasowych konfiguracji API Management.
- Wstęp do metod automatyzacji konfiguracji w API Management.
Monetyzacja i rozliczanie użycia dla API:
- Omówienie aspektów monetyzacji w API w tym modelu „za użycie”, lub modelu subskrypcyjnego.
- Metody integracji zewnętrznej tożsamości deweloperów i zbierania dodatkowych informacji (np. nazwa firmy, NIP, numer karty kredytowej).
- Omówienie integracji z zewnętrznymi bramkami płatniczymi i systemami do fakturowania.
API Security (240 min)
Ten moduł zapewnia wszechstronne wprowadzenie do bezpieczeństwa API, koncentrując się na metodologii OWASP Top 10 for API.
Uczestnicy modułu dowiedzą się o najpoważniejszych zagrożeniach dla API, metodach ich mitygacji oraz implementacji aspektów bezpieczeństwa w API Management.
Moduł obejmuje także konfigurację uwierzytelniania, zarządzanie dostępem, integrację z narzędziami klasy SIEM oraz wykorzystanie Azure Defender for APIs do monitorowania i ochrony API w czasie rzeczywistym.
Główne Zagadnienia:
OWASP TOP 10 for API: Wprowadzenie do metodologii OWASP i omówienie 10 najpoważniejszych zagrożeń dla API.
Implementacja Bezpieczeństwa w API Management:Użycie polityk dla uwierzytelniania i autoryzacji.
- Konfiguracja OAuth 2.0, Basic Authentication, API Key, i innych metod uwierzytelniania.
- Budowanie IP allow-list i limitowanie czasowe żądań.
- Weryfikacja i sanityzacja żądań i odpowiedzi HTTP.
Integracja z Narzędziami SIEM i WAF:Wpięcie API Management do Azure Sentinel i innych narzędzi SIEM.
- Integracja z usługami klasy Web Application Firewall (WAF).
Azure Defender for APIs:Wdrożenie i integracja z APIM.
- Omówienie rekomendacji Defendera i metod ich remediacji.
- Monitorowanie i ochrona API w czasie rzeczywistym.
Zakończenie, ankieta, etc (15 min)
Opinie
Profesjonalnie prowadzone szkolenie, pokazujące nie tylko jak zrobić ale i dlaczego/jak nie robić.
Ogólnie szkolenie bardzo fajne, idąc myślałem, że będzie to jedno z tych nudnych, w których robię już setny raz to samo, ale jednak się myliłem.
Kompetencja, zaangażowanie, dobry dobór i przygotowanie ćwiczeń praktycznych.
Znakomity poziom wiedzy z danego obszaru, oparty na praktyce. Przykłady z życia pokazują, że trener stosował w projektach to o czym naucza.
Nie spotkałem wcześniej bardziej entuzjastycznego trenera i kogokolwiek w naszej branży. Tak trzymać :)
Ciekawe, tego się spodziewałem. Mało suchej teorii, dużo praktycznych ćwiczeń to znakomity pomysł.
- Odbiorcy:Developer, Senior Developer, DevOps, Security Architect, Architekt
- Poziom:Zaawansowany
- Kategoria:
AWS
API
- Forma:10% wiedzy, 90% praktycznego warsztatu
- Czas trwania:2 dni
- Miejsce szkolenia: