Seguru eraikitzea: zerbitzari gabeko APIen babes integrala
Ikasi zerbitzaririk gabeko APIen ahuleziak identifikatzen, eta aplikatu segurtasun-neurri profesionalak bost orduan bakarrik, hodeitik.
Produkzioan dauden aplikazio guztiek erasoen aurkako babesa behar dute. Tailer honetan ikasiko duzu nola detektatu eta zuzendu ditzakezun segurtasun-akats nagusiak zerbitzaririk gabeko aplikazioetan, eta zer jardunbide egoki inplementatzen dituzten enpresek beren APIak babesteko, hodeian, tokiko instalaziorik gabe.
Tailer guztiz praktikoa da; aurreko tailerraren jarraipena izan daiteke, baina ez da beharrezkoa hura egin izana, APIekin esperientzia baduzu. AWS Cloud9 ingurunean lan egingo duzu; zerbitzaririk gabeko API bat babesaren ikuspuntutik aztertuko duzu, eta segurtasun-neurriak progresiboki aplikatuz joango zara AWS zerbitzuak erabiliz, hala nola Secrets Manager, Lambda Authorizer, CloudWatch eta beste tresna natibo batzuk.
Norentzat
Zerbitzaririk gabeko APIekin edo API REST arkitekturekin eraikitzen duten garatzaileak, DevOps eta SRE ingeniariak, segurtasun-arduradunak, segurtasun-espezialistak eta ekoizpen-fasean dauden aplikazioak babestu nahi dituen edonor.
Baldintzak
- Javascript-en oinarriak ezagutzea
- REST eta HTTP APIekin esperientzia izatea
- Oinarrizko autentifikazio-kontzeptuak ezagutzea (komeni da JWT estandarra ezagutzea)
- Arabako ikastaroan norberak ordenagailu eramangarria eraman beharko du
Zer eskaintzen dizugun guk
- AWS konturako sarbide osoa (zurea sortu beharrik gabe)
- Aurrez konfiguratutako AWS Cloud9 ingurunea (instalaziorik gabe)
- Segurtasun-materialak eta hardening-gidak
- Segurtasuna egiaztatzeko zerrenda berrerabilgarri bat
- Laguntza, tailerrak irauten duen bitartean
Egitaraua
Helburua da zerbitzaririk gabeko API bat segurtatzen ikastea, ahulezi komunak identifikatuz eta defentsa sakona ezarriz.
Zerbitzaririk gabeko aplikazioen segurtasun-analisia
Ulertuko duzu zein diren zerbitzaririk gabeko aplikazioen ahulezi nagusiak, nola baliatzen diren haietaz eta zer eragin duten zure aplikazioaren segurtasunean.
Babes-sistema profesionalak inplementatzea
Benetako segurtasun-neurriak aplikatu ahal izango dituzu: JWT bidezko autentifikazio sendoa, Lambda Authorizer bidezko baimena, Secrets Manager bidezko sekretu-kudeaketa, NoSQL injekzioaren aurkako babesa, sarreren baliozkotze zehatza, CORS, rate limiting eta logging segurua.
Monitorizazioa eta alertak
CloudWatch konfiguratu ahal izango duzu segurtasun-loggingerako, alarmak sortu ezohiko gertaeretarako eta monitorizazio-prozesuak ezarri produkziorako.
