Security in API and API managers

Abstract

La finalidad de este trabajo es estudiar cuales son los factores que hacen que una API sea segura. Así como conocer los métodos, estándares y herramientas que facilitan esta labor. En primer lugar, se estudian los ataques más comunes y como mitigarlos. Por ejemplo, para mitigar el impacto de un ataque DoS se puede usar un API Gateway para devolver información de la cache y un WAF para bloquear llamadas que no tengan la estructura deseada. En segundo lugar, se presentarán estándares para la definición de la API como OAS o API Blueprint, dada la importancia de pensar en la seguridad desde el diseño. A continuación, se ve OAuth2 como estándar de uso extendido para solucionar los problemas de autorización entre aplicaciones que quieren compartir datos. Además, hablamos de una nueva forma de construir aplicaciones a partir de microservicios, los cuales se comunican entre ellos a través de sus APIs. Finalmente, se introduce el concepto de API Management System como un proceso que engloba las tareas de publicar, promocionar y supervisar APIs en un entorno seguro. La metodología seguida ha centrado estos primeros capítulos del trabajo en el estudio teórico de los conceptos para luego poder aplicarlos al caso práctico. Este se ha resuelto satisfactoriamente ofreciendo una solución basada en la arquitectura de microservicios, con un API Gateway y haciendo uso de OAuth2. Podemos concluir que este trabajo ha sido muy útil para ofrecer una visión global de la seguridad de las APIs y se han conseguido los objetivos iniciales.

The purpose of this thesis is to study what are the factors that make an API safe. As well as knowing the processes, standards and tools that facilitate this work. First of all, we study the most common attacks and how to mitigate them. For example, to mitigate the impact of a DoS attack, we can use an API Gateway to return information from the cache and a WAF to block calls that do not have the desired structure. Secondly, we will introduce standards for the definition of the APIs. These are OAS and API Blueprint. They emphasize the importance of thinking about security from the design. Then, we will see OAuth2 as the most used standard to solve the authorization issues between applications that want to share data. In addition, we talk about a new way to build applications using microservices, which communicate with each other through their APIs. Finally, the API Management System concept is introduced as a process that include the tasks of publishing, promoting and monitoring APIs in a secure environment. The methodology used has been to focus these first chapters of the thesis on the theoretical study of the concepts. And then apply them to the practical case. This has been satisfactorily resolved by offering a solution based on the microservices architecture, with an API Gateway and using OAuth2. We can conclude that this work has been really useful to offer a global vision of API security and the initial objectives have been achieved.

La finalitat d'aquest treball és estudiar quals són els factors que fan que una API sigui segura. Així com conèixer els mètodes, estàndards i eines que faciliten aquesta labor. En primer lloc, s'estudien els atacs més comuns i com mitigar-los. Per exemple, per a mitigar l'impacte d'un atac DOS es pot usar un API Gateway per a retornar informació de la cache i un WAF per a bloquejar trucades que no tinguin l'estructura desitjada. En segon lloc, es presentaran estàndards per a la definició de la API com OAS o API Blueprint, donada la importància de pensar en la seguretat des del disseny. A continuació, es veu OAuth2 com a estàndard d'ús estès per a solucionar els problemes d'autorització entre aplicacions que volen compartir dades. A més, parlem d'una nova forma de construir aplicacions a partir de microservicios, els quals es comuniquen entre ells a través de les seves APIs. Finalment, s'introdueix el concepte de API Management System com un procés que engloba les tasques de publicar, promocionar i supervisar APIs en un entorn segur. La metodologia seguida ha centrat aquests primers capítols del treball en l'estudi teòric dels conceptes per a després poder aplicar-los al cas pràctic. Aquest s'ha resolt satisfactòriament oferint una solució basada en l'arquitectura de microserveis, amb un API Gateway i fent ús de OAuth2. Podem concloure que aquest treball ha estat molt útil per a oferir una visió global de la seguretat de les APIs i s'han aconseguit els objectius inicials.