Security in API and API managers

La finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataq...

Descripción completa

Detalles Bibliográficos
Autor: Amengual Bauza, Miguel
Tipo de recurso: tesis de maestría
Fecha de publicación:2019
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/95286
Acceso en línea:http://hdl.handle.net/10609/95286
Access Level:acceso abierto
Palabra clave:API standard
API security
microservices
seguridad de las API
microservicios
norma API
seguretat de les API
microserveis
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
id ES_c88d1f464e4abbfae2df2fce04a8847c
oai_identifier_str oai:openaccess.uoc.edu:10609/95286
network_acronym_str ES
network_name_str España
repository_id_str
dc.title.none.fl_str_mv Security in API and API managers
title Security in API and API managers
spellingShingle Security in API and API managers
Amengual Bauza, Miguel
API standard
API security
microservices
seguridad de las API
microservicios
norma API
seguretat de les API
microserveis
norma API
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
title_short Security in API and API managers
title_full Security in API and API managers
title_fullStr Security in API and API managers
title_full_unstemmed Security in API and API managers
title_sort Security in API and API managers
dc.creator.none.fl_str_mv Amengual Bauza, Miguel
author Amengual Bauza, Miguel
author_facet Amengual Bauza, Miguel
author_role author
dc.contributor.none.fl_str_mv Garcia-Font, Victor
Mendoza Flores, Manuel Jesús
dc.subject.none.fl_str_mv API standard
API security
microservices
seguridad de las API
microservicios
norma API
seguretat de les API
microserveis
norma API
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
topic API standard
API security
microservices
seguridad de las API
microservicios
norma API
seguretat de les API
microserveis
norma API
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
description La finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataque DoS se puede usar un API Gateway para devolver información de la cache y un WAF para bloquear llamadas que no tengan la estructura deseada. En segundo lugar, se presentarán estándares para la definición de la API como OAS o API Blueprint, dada la importancia de pensar en la seguridad desde el diseño. A continuación, se ve OAuth2 como estándar de uso extendido para solucionar los problemas de autorización entre aplicaciones que quieren compartir datos. Además, hablamos de una nueva forma de construir aplicaciones a partir de microservicios, los cuales se comunican entre ellos a través de sus APIs. Finalmente, se introduce el concepto de API Management System como un proceso que engloba las tareas de publicar, promocionar y supervisar APIs en un entorno seguro. La metodología seguida ha centrado estos primeros capítulos del trabajo en el estudio teórico de los conceptos para luego poder aplicarlos al caso práctico. Este se ha resuelto satisfactoriamente ofreciendo una solución basada en la arquitectura de microservicios, con un API Gateway y haciendo uso de OAuth2. Podemos concluir que este trabajo ha sido muy útil para ofrecer una visión global de la seguridad de las APIs y se han conseguido los objetivos iniciales.
publishDate 2019
dc.date.none.fl_str_mv 2019
2019
2019
dc.type.none.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
dc.identifier.none.fl_str_mv http://hdl.handle.net/10609/95286
url http://hdl.handle.net/10609/95286
dc.language.none.fl_str_mv Español
language_invalid_str_mv Español
dc.rights.none.fl_str_mv CC BY
http://creativecommons.org/licenses/by/3.0/es/
info:eu-repo/semantics/openAccess
rights_invalid_str_mv CC BY
http://creativecommons.org/licenses/by/3.0/es/
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
application/pdf
dc.publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
dc.source.none.fl_str_mv reponame:O2, repositorio institucional de la UOC
instname:Universitat Oberta de Catalunya (UOC)
instname_str Universitat Oberta de Catalunya (UOC)
reponame_str O2, repositorio institucional de la UOC
collection O2, repositorio institucional de la UOC
repository.name.fl_str_mv
repository.mail.fl_str_mv
_version_ 1869419295067340800
spelling Security in API and API managersAmengual Bauza, MiguelAPI standardAPI securitymicroservicesseguridad de las APImicroserviciosnorma APIseguretat de les APImicroserveisnorma APIComputer security -- TFMSeguretat informàtica -- TFMSeguridad informática -- TFMLa finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataque DoS se puede usar un API Gateway para devolver información de la cache y un WAF para bloquear llamadas que no tengan la estructura deseada. En segundo lugar, se presentarán estándares para la definición de la API como OAS o API Blueprint, dada la importancia de pensar en la seguridad desde el diseño. A continuación, se ve OAuth2 como estándar de uso extendido para solucionar los problemas de autorización entre aplicaciones que quieren compartir datos. Además, hablamos de una nueva forma de construir aplicaciones a partir de microservicios, los cuales se comunican entre ellos a través de sus APIs. Finalmente, se introduce el concepto de API Management System como un proceso que engloba las tareas de publicar, promocionar y supervisar APIs en un entorno seguro. La metodología seguida ha centrado estos primeros capítulos del trabajo en el estudio teórico de los conceptos para luego poder aplicarlos al caso práctico. Este se ha resuelto satisfactoriamente ofreciendo una solución basada en la arquitectura de microservicios, con un API Gateway y haciendo uso de OAuth2. Podemos concluir que este trabajo ha sido muy útil para ofrecer una visión global de la seguridad de las APIs y se han conseguido los objetivos iniciales.The purpose of this thesis is to study what are the factors that make an API safe. As well as knowing the processes, standards and tools that facilitate this work. First of all, we study the most common attacks and how to mitigate them. For example, to mitigate the impact of a DoS attack, we can use an API Gateway to return information from the cache and a WAF to block calls that do not have the desired structure. Secondly, we will introduce standards for the definition of the APIs. These are OAS and API Blueprint. They emphasize the importance of thinking about security from the design. Then, we will see OAuth2 as the most used standard to solve the authorization issues between applications that want to share data. In addition, we talk about a new way to build applications using microservices, which communicate with each other through their APIs. Finally, the API Management System concept is introduced as a process that include the tasks of publishing, promoting and monitoring APIs in a secure environment. The methodology used has been to focus these first chapters of the thesis on the theoretical study of the concepts. And then apply them to the practical case. This has been satisfactorily resolved by offering a solution based on the microservices architecture, with an API Gateway and using OAuth2. We can conclude that this work has been really useful to offer a global vision of API security and the initial objectives have been achieved.La finalitat d'aquest treball és estudiar quals són els factors que fan que una API sigui segura. Així com conèixer els mètodes, estàndards i eines que faciliten aquesta labor. En primer lloc, s'estudien els atacs més comuns i com mitigar-los. Per exemple, per a mitigar l'impacte d'un atac DOS es pot usar un API Gateway per a retornar informació de la cache i un WAF per a bloquejar trucades que no tinguin l'estructura desitjada. En segon lloc, es presentaran estàndards per a la definició de la API com OAS o API Blueprint, donada la importància de pensar en la seguretat des del disseny. A continuació, es veu OAuth2 com a estàndard d'ús estès per a solucionar els problemes d'autorització entre aplicacions que volen compartir dades. A més, parlem d'una nova forma de construir aplicacions a partir de microservicios, els quals es comuniquen entre ells a través de les seves APIs. Finalment, s'introdueix el concepte de API Management System com un procés que engloba les tasques de publicar, promocionar i supervisar APIs en un entorn segur. La metodologia seguida ha centrat aquests primers capítols del treball en l'estudi teòric dels conceptes per a després poder aplicar-los al cas pràctic. Aquest s'ha resolt satisfactòriament oferint una solució basada en l'arquitectura de microserveis, amb un API Gateway i fent ús de OAuth2. Podem concloure que aquest treball ha estat molt útil per a oferir una visió global de la seguretat de les APIs i s'han aconseguit els objectius inicials.Universitat Oberta de Catalunya (UOC)Garcia-Font, VictorMendoza Flores, Manuel Jesús201920192019info:eu-repo/semantics/masterThesisapplication/pdfapplication/pdfhttp://hdl.handle.net/10609/95286reponame:O2, repositorio institucional de la UOCinstname:Universitat Oberta de Catalunya (UOC)EspañolCC BYhttp://creativecommons.org/licenses/by/3.0/es/info:eu-repo/semantics/openAccessoai:openaccess.uoc.edu:10609/952862026-05-28T12:42:01Z
score 15,300724