Archives de catégorie : Ebauches

API

Ce que c’est…

https://app.pluralsight.com/library/courses/designing-restful-web-apis/table-of-contents

https://dzone.com/articles/top-10-api-security-threats-every-api-team-should

Attaques

Selon l’OWASP (et JDN)

  • Vérifier les autorisations au niveau de chaque objet
  • Soigner l’authentification utilisateur
  • Sélectionner les données à afficher
  • Limiter les ressources et le débit
  • Modérer la granularité des accès
  • Eviter les affectations de masse
  • Vérifier la configuration de la sécurité
  • Anticiper les injections de code
  • Bien gérer et inventorier ses actifs
  • Mettre en place une gestion des logs efficace

REST ou RESTful ?

Selon ChatGPT, les termes « API REST » et « RESTful » sont souvent utilisés de manière interchangeable, mais il y a une différence subtile entre les deux.

Une API REST (Representational State Transfer) est une interface de programmation d’application qui suit les principes de l’architecture REST. Elle utilise des méthodes HTTP telles que GET, POST, PUT et DELETE pour effectuer des opérations sur des ressources identifiées par des URL.

D’un autre côté, « RESTful » est un terme utilisé pour décrire une API qui est conçue conformément aux principes de REST, qui incluent notamment l’utilisation de verbes HTTP, l’utilisation d’URLs pour identifier les ressources, l’utilisation de formats de données standardisés (tels que JSON ou XML), et l’indépendance de l’état du serveur.

En résumé, une API REST est une API qui suit l’architecture REST, tandis qu’une API RESTful est une API qui suit les principes de REST de manière stricte et cohérente.

Ressources

A voir : problématiques de sécurisation d’API OIDCOAuth2

Sécurisation

AWS

Comment marche AWS ?

Sécurité

Suivre les événements

Principes

  • Utiliser CloudTrail pour le stockage sur le long terme des événements ; il faut ensuite traiter « manuellement » les événements. La mise-à-jour des événements peut mettre plusieurs minutes (entre 5 et 15), sachant qu’il n’y a pas de garantie d’AWS sur ce délai.
  • Utiliser CloudWatch pour le court terme (plus rapide, quasiment en temps réel, mais plus coûteux).

CloudTrail doit toujours être utilisé sur l’ensemble des régions, et non explicitement sur une liste de régions. On peut envoyer les événements CloudTrail vers CloudWatch, pour configurer des alarmes ; dans ce cas, CloudWatch dispose des événements en temps réel, bien avant CloudTrail pour lequel il y a la fameuse latence de quelques minutes.

Alarmes CloudWatch

Il suffit de configurer une alarme sur l’événement choisi pour recevoir une alerte (dans CloudWatch, ce qui suppose d’utiliser CloudWatch).

Security Groups

Un Security Group est un parefeu à états (« stateful ») attaché aux instances EC2 via leur interface réseau (« eni »).

Des règles en entrée

Quelques éléments de structure

AWS s’est longtemps basé sur Xen pour hyperviser ses machines virtuelles (il en était d’ailleurs un des principaux contributeurs, je crois).

Mais depuis 2017, AWS utilise un autre hyperviseur, Nitro, issu du rachat d’une société israélienne1, Annappurna Labs.

Ressources