Protección de APIs REST

Abstract

Actualmente el uso de APIs REST por prácticamente todos los servicios y sistemas modernos es fundamental para proporcionar funcionalidades avanzadas, personalizadas y modernas a los usuarios, ya sea en sus dispositivos móviles o en cualquier página web de comercio, blog o entretenimiento, entre muchas otras. Securizar estas APIs es fundamental para garantizar que los datos de los usuarios no se ven afectados, la confidencialidad de ciertos datos que podrían ser sensibles, así como para cumplir con el reglamento de protección de datos de la Unión Europea. Este trabajo analiza las amenazas y vulnerabilidades más prevalentes en las APIs REST y los mecanismos de seguridad para darles protección. Un API Gateway es una solución de seguridad que permite gestionar, configurar y enrutar las peticiones entrantes hacia las APIs expuestas en los diferentes backends del entorno corporativo. Es por ello que el trabajo se completa con una parte práctica en la que se muestra un ejemplo de despliegue de una solución de API Gateway basada en el producto KONG, para proteger una API REST con los mecanismos analizados en la parte teórica.

Actualment l'ús de APIs REST per pràcticament tots els serveis i sistemes moderns és fonamental per a proporcionar funcionalitats avançades, personalitzades i modernes als usuaris, ja sigui en els seus dispositius mòbils o en qualsevol pàgina web de comerç, blog o entreteniment, entre moltes altres. Donar seguretat aquestes APIs és fonamental per a garantir que les dades dels usuaris no es veuen afectats, la confidencialitat d'unes certes dades que podrien ser sensibles, així com per a complir amb el reglament de protecció de dades de la Unió Europea. Aquest treball analitza les amenaces i vulnerabilitats més prevalents en les APIs REST i els mecanismes de seguretat per a donar-los protecció. Un API Gateway és una solució de seguretat que permet gestionar, configurar i enrutar les peticions entrants cap a les APIs exposades en els diferents backends de l'entorn corporatiu. És per això que el treball es completa amb una part pràctica en la qual es mostra un exemple de desplegament d'una solució de API Gateway basada en el producte KONG, per a protegir una API REST amb els mecanismes analitzats en la part teòrica.

Currently the use of REST APIs by virtually all modern services and systems is essential to provide advanced, personalized and modern functionalities to users, whether on their mobile devices or on any commerce, blog or entertainment website, among many others. Securing these APIs is essential to ensure that user data is not affected, the confidentiality of certain data that could be sensitive, as well as to comply with the European Union's data protection regulation. This paper analyzes the most prevalent threats and vulnerabilities in REST APIs and the security mechanisms to protect them. An API Gateway is a security solution that allows managing, configuring and routing incoming requests to the APIs exposed in the different backends of the corporate environment. That is why the work is completed with a practical part in which an example of deployment of an API Gateway solution based on the KONG product is shown, to protect a REST API with the mechanisms analyzed in the theoretical part.