Security in API and API managers

La finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataq...

Descripción completa

Detalles Bibliográficos
Autor: Amengual Bauza, Miguel
Tipo de recurso: tesis de maestría
Fecha de publicación:2019
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/95286
Acceso en línea:http://hdl.handle.net/10609/95286
Access Level:acceso abierto
Palabra clave:API standard
API security
microservices
seguridad de las API
microservicios
norma API
seguretat de les API
microserveis
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:La finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataque DoS se puede usar un API Gateway para devolver información de la cache y un WAF para bloquear llamadas que no tengan la estructura deseada. En segundo lugar, se presentarán estándares para la definición de la API como OAS o API Blueprint, dada la importancia de pensar en la seguridad desde el diseño. A continuación, se ve OAuth2 como estándar de uso extendido para solucionar los problemas de autorización entre aplicaciones que quieren compartir datos. Además, hablamos de una nueva forma de construir aplicaciones a partir de microservicios, los cuales se comunican entre ellos a través de sus APIs. Finalmente, se introduce el concepto de API Management System como un proceso que engloba las tareas de publicar, promocionar y supervisar APIs en un entorno seguro. La metodología seguida ha centrado estos primeros capítulos del trabajo en el estudio teórico de los conceptos para luego poder aplicarlos al caso práctico. Este se ha resuelto satisfactoriamente ofreciendo una solución basada en la arquitectura de microservicios, con un API Gateway y haciendo uso de OAuth2. Podemos concluir que este trabajo ha sido muy útil para ofrecer una visión global de la seguridad de las APIs y se han conseguido los objetivos iniciales.