Bezpieczeństwo API w Azure

Odbiorcy: Developer, Senior Developer, DevOps, Security Architect, Architekt

Poziom:

Zaawansowany

Kategoria:

AWS

API

Forma: 10% wiedzy, 90% praktycznego warsztatu

Opis szkolenia

W dobie rosnącej popularności API jako podstawy rozwiązań internetowych i zwiększającej się liczby ataków na te interfejsy, znajomość aspektów bezpieczeństwa API staje się kluczowa.

To szkolenie ma na celu zapoznanie uczestników z Platformą API Management w Azure, ze szczególnym uwzględnieniem publikacji, orkiestracji, monitorowania i zabezpieczania API.

Uczestnicy nauczą się również o multiplatformowym API discovery i wykorzystaniu Azure Defender for APIs. Szkolenie obejmuje również teoretyczne i praktyczne aspekty bezpieczeństwa API, w tym OWASP top 10 dla API.

Najważniejsze Zagadnienia:

  • Podstawy Bezpieczeństwa API: Wprowadzenie do najważniejszych aspektów bezpieczeństwa API.
  • Platforma API Management: Omówienie możliwości platformy API Management w kontekście bezpieczeństwa.
  • Publikacja i Orkiestracja API: Nauka publikowania i orkiestracji API za pomocą Azure API Management.
  • Monitorowanie i Zabezpieczanie API: Techniki monitorowania i zabezpieczania interfejsów API w Azure.
  • API Discovery: Zrozumienie multiplatformowego API discovery.
  • Azure Defender for APIs: Wykorzystanie Azure Defender for APIs do zwiększenia bezpieczeństwa.
  • OWASP Top 10 dla API: Przegląd najczęstszych podatności w API według OWASP i metody ich mitygacji.

Program szkolenia

Start, powitanie, etc (15 min)

APIM Core (540 min)

Ten moduł skupia się na usłudze API Management (APIM) w Azure, zapewniając szczegółowe wprowadzenie do zarządzania API i bramy API.

Uczestnicy dowiedzą się o różnych typach usługi APIM, w tym o Serverless, Basic, Enterprise i Self-Hosted, oraz zrozumieją ich funkcje i wpływ na cenę.

Moduł obejmuje także integrację APIM z sieciami prywatnymi i prywatnymi centrami danych, definiowanie i publikowanie produktów API, zarządzanie wersjami API, monitorowanie i utrzymanie APIM, a także aspekty związane z monetyzacją API.

Główne zagadnienia:

Wprowadzenie do API Management:

  • Czym jest brama API?
  • Typu usługi API Management (Serverless, Basic, Enterprise, Self-Hosted), rozróżnienie poszczególnych funkcji i wpływ na cenę.
  • Integracja usługi z sieciami prywatnymi, z prywatnymi centrami danych.
  • Wdrożenie instancji usługi.

Definiowanie i publikowanie produktów API:

  • Definiowanie produktów.
  • Zarządzanie uprawnieniami dla produktów.
  • Konfiguracja i dostosowywanie portalu dla deweloperów (zewnętrznych klientów korzystających z API).
  • Integracja i konfiguracja źródeł tożsamości dla deweloperów.

Konfiguracja API:

  • Ręczne tworzenie definicji API w oparciu o Portal Azure.
  • Importowanie i konfiguracja API w oparciu o istniejące definicje OpenAPI, Swagger czy WSDL.
  • Omówienie poszczególnych elementów konfiguracji.

Używanie wyrażeń i polityk dla API:

  • Hierarchia wyrażeń (globalne, produktowe, dla API, dla metod API).
  • Wprowadzenie do semantyki wyrażeń w API Management.
  • Omówienie metod edycji, w tym dostępnych narzędzi zewnętrznych.
  • Warsztaty wykorzystania przykładowych polityk dla API (caching, transformacje xml/json, modyfikacja i weryfikacja nagłówków, wyrażenia warunkowe, obsługa błędów, orkiestracja, mokowanie API).
  • Debugowanie i śledzenie wyrażeń.
  • Użycie słowników z wartościami konfiguracyjnymi dla wielu API.
  • Zarządzanie wersjami API i rewizjami:
  • Sposoby wersjonowania API oraz ich cechy.

Zarządzanie wersjami w oparciu o API Management.

  • Tworzenie rewizji (małych zmian) w API i użycie tego mechanizmu w testach A/B lub próbnych wdrożeniach.
  • Monitorowanie i utrzymanie API Management:

Monitorowanie API management.

  • Zbieranie logów dotyczących użycia usług, selektywne podwyższanie poziomu logowania dla wybranych usług (w tym zbieranie adresów IP i zawartości żądań i odpowiedzi).
  • Korelowanie i wyszukiwanie logów.
  • Tworzenie i przywracanie kopii zapasowych konfiguracji API Management.
  • Wstęp do metod automatyzacji konfiguracji w API Management.

Monetyzacja i rozliczanie użycia dla API:

  • Omówienie aspektów monetyzacji w API w tym modelu „za użycie”, lub modelu subskrypcyjnego.
  • Metody integracji zewnętrznej tożsamości deweloperów i zbierania dodatkowych informacji (np. nazwa firmy, NIP, numer karty kredytowej).
  • Omówienie integracji z zewnętrznymi bramkami płatniczymi i systemami do fakturowania.

API Security (240 min)

Ten moduł zapewnia wszechstronne wprowadzenie do bezpieczeństwa API, koncentrując się na metodologii OWASP Top 10 for API.

Uczestnicy modułu dowiedzą się o najpoważniejszych zagrożeniach dla API, metodach ich mitygacji oraz implementacji aspektów bezpieczeństwa w API Management.

Moduł obejmuje także konfigurację uwierzytelniania, zarządzanie dostępem, integrację z narzędziami klasy SIEM oraz wykorzystanie Azure Defender for APIs do monitorowania i ochrony API w czasie rzeczywistym.

Główne Zagadnienia:

OWASP TOP 10 for API: Wprowadzenie do metodologii OWASP i omówienie 10 najpoważniejszych zagrożeń dla API.

Implementacja Bezpieczeństwa w API Management:Użycie polityk dla uwierzytelniania i autoryzacji.

  • Konfiguracja OAuth 2.0, Basic Authentication, API Key, i innych metod uwierzytelniania.
  • Budowanie IP allow-list i limitowanie czasowe żądań.
  • Weryfikacja i sanityzacja żądań i odpowiedzi HTTP.

Integracja z Narzędziami SIEM i WAF:Wpięcie API Management do Azure Sentinel i innych narzędzi SIEM.

  • Integracja z usługami klasy Web Application Firewall (WAF).

Azure Defender for APIs:Wdrożenie i integracja z APIM.

  • Omówienie rekomendacji Defendera i metod ich remediacji.
  • Monitorowanie i ochrona API w czasie rzeczywistym.

Zakończenie, ankieta, etc (15 min)

Rozwiń

Opinie

Profesjonalnie prowadzone szkolenie, pokazujące nie tylko jak zrobić ale i dlaczego/jak nie robić.

Ogólnie szkolenie bardzo fajne, idąc myślałem, że będzie to jedno z tych nudnych, w których robię już setny raz to samo, ale jednak się myliłem.

Kompetencja, zaangażowanie, dobry dobór i przygotowanie ćwiczeń praktycznych.

Znakomity poziom wiedzy z danego obszaru, oparty na praktyce. Przykłady z życia pokazują, że trener stosował w projektach to o czym naucza.

Nie spotkałem wcześniej bardziej entuzjastycznego trenera i kogokolwiek w naszej branży. Tak trzymać :)

Ciekawe, tego się spodziewałem. Mało suchej teorii, dużo praktycznych ćwiczeń to znakomity pomysł.

  • Odbiorcy:
    Developer, Senior Developer, DevOps, Security Architect, Architekt
  • Poziom:
    Zaawansowany
  • Kategoria:

    AWS

    API

  • Forma:
    10% wiedzy, 90% praktycznego warsztatu
  • Czas trwania:
    2 dni
  • Miejsce szkolenia: