Condividi su:

Protezione dei Web Services

Una panoramica sui metodi usati per la protezione dell’accesso alle applicazioni

di Roberto Bellucci
Orbyta Basedue
Senior System Programmer

Web Service e Web API

La differenza tra Web Service (WS) e Web API (API) è molto tecnica ma la loro utilità è la stessa, ossia consentire lo scambio di dati tra le applicazioni attraverso il protocollo di trasporto HTTP(S), indipendentemente dal sistema operativo su cui girano e dal linguaggio usato.

Grazie ai WS ed alle API, le aziende connettono tra loro i servizi e trasferiscono i dati. L’aspetto tecnico è molto importante ed è utile sapere che i Web Service si basano su standard molto rigidi e devono sottostare ad un insieme di regole che definiscono la struttura (WSDL) dei messaggi scambiati che possono essere solo in formato XML, mentre le Web API accettano i dati anche in JSON ed essendo molto più snelle sono più adatte ad essere impiegate su dispositivi con banda limitata. Da un punto di vista tecnico queste sono le differenze principali, tuttavia come ho detto prima, l’utilità delle due soluzioni è la stessa, quindi per semplicità userò in questo articolo indifferentemente i termini Web Service(WS), Web API e API, come fossero sinonimi per parlare della loro “messa in sicurezza”.

La API Economy

“Le aziende di oggi si stanno trasformando e uno degli imperativi è quello di ottenere o fornire servizi e informazioni alle persone attraverso il Web.” Ho scritto questa frase quando stavo preparando la presentazione del seminario dallo stesso titolo destinato ai colleghi di Orbyta e benché l’evento si sia svolto in modalità webinar a causa della crisi già in atto, non mi è venuto in mente all’epoca di enfatizzarla come sto per fare ora, per sottolineare il fatto che a causa di quanto stiamo vivendo, la trasformazione a cui accennavo, stia prendendo un’accelerazione ancora più importante e che non ci saremmo mai aspettati!

Viene stimolata una nuova economia, denominata appunto API Economy, in cui l’Application Programmig Interface consente un accesso a servizi, applicazioni e sistemi per condividere le informazioni in maniera innovativa.

Per poter operare in queste nuove realtà è quanto mai necessario che l’accesso ai dati e ai servizi risulti protetto.

WS/API Gateway

Sappiamo che i Firewall tradizionali proteggono solamente il traffico a livello IP controllando il traffico solamente in base alla porta. Per questo risultano incapaci di difendersi da attacchi sempre più sofisticati che si celano dentro payload applicativi, trasportati dai pacchetti IP che attraversano i firewall in un tunnel HTTP(S) esponendo le aziende a sempre nuovi attacchi.

E’ quindi indispensabile assicurarsi che passino solamente richieste valide, per servizi validi, da altrettanti validi clienti; ed ecco che entrano in gioco i Web Service & API Gateway, ovvero i firewall delle applicazioni. Vediamo cosa sono e come svolgono il loro compito.

Esistono molti tipi di WS e API Gateway, alcuni sono degli appliance, altri sono solo in versione virtuale e in cloud. I vendor che offrono queste soluzioni sono molti, tuttavia non sono tanti quelli che possono vantare livelli di sicurezza e prestazioni di alto livello.

maxresdefault

La mia esperienza in questo campo si basa sulla conoscenza dell’appliance IBM DataPower® Gateway considerato da molti uno dei leader del mercato.

Detto in poche parole il DataPower® Gateway funge da proxy tra le applicazioni di front-end (FE) e le API di back-end (BE); in pratica le applicazioni di FE non chiameranno direttamente le API ma il Datapower che ha il compito di intercettare tutte le Request alle API ed eseguire svariate funzioni di sicurezza ma non solo come vedremo, prima di inoltrare al server di BE dove risiedono le API le richieste alle quali erano indirizzate.

Tra le funzioni più comuni che un API Gateway deve fare e che il DataPower® svolge molto bene, troviamo la gestione della connessione SSL/TLS, l’autenticazione attraverso i certificati, il controllo della grandezza del payload, lo schema-validation se si tratta di WS, la limitazione di velocità, il routing, la conversione di protocolli, ad esempio da XML a JSON e viceversa ma anche CSV, Cobol, binary eccetera.

Il DataPower® inoltre, offre un’ampia scelta sul fronte dell’integrazione, permettendo la connessione al Mainframe e al Cics, a molti database quali Oracle, MS SQL, Sybase, DB2 e IMS.

Molte funzionalità, come ad esempio l’autenticazione e lo schema-validation, sono feature già pre configurate e vengono attivate con semplici comandi dalla GUI, altre funzioni come ad esempio la conversione di protocolli necessitano invece di un’attività di implementazione a cura del sistemista attraverso la programmazione con linguaggi di scripting come Java Script e XSLT, quest’ultimo più adatto a gestire payload in formato XML.

Dunque, grazie ai linguaggi JavaScript e XSLT, si è in grado di personalizzare ciascun WS e API esposti dal DataPower®, consentendoci di innescare qualsiasi azione sia a fronte del messaggio in ingresso dal FE che durante la fase di ricezione del messaggio di risposta da parte dell’API. Ad esempio, oltre al già citato caso della conversione dei protocolli, pensiamo a quanto potrebbe essere utile tracciare “chi fa che cosa”, ovvero salvare le Request e le Response relative ai WS, scrivendo su un DB tutta una serie di informazioni utili ai fini di audit e debug, il tutto, vi posso assicurare, con tempi medi di esecuzione di pochissimi millisecondi soprattutto nel caso di trasformazioni XML grazie alla capacità del Datapower di gestire queste operazioni come si suol dire “at wirespeed”.

Vorrei concludere dicendo che in base alla mia esperienza, considero l’impatto di queste tematiche assolutamente trasversale e non limitato al solo ambito sistemistico, e perciò ritengo che sia molto importante sottolineare che la loro conoscenza possa e debba interessare anche i colleghi Applicativi, specialmente coloro i quali ricoprono un ruolo di progettazione.

Roberto Bellucci

Roberto Bellucci

Senior System Programmer

Inizia come sistemista Mainframe al CED della Olivetti, dopo qualche anno lascia l’azienda di Ivrea per dedicarsi alla consulenza, in seguito alcune iniziative imprenditoriali lo porteranno alla co-fondazione di Basedue. Dopo 15 anni lascia l’esperienza imprenditoriale e torna a dedicarsi alla consulenza. Attualmente fa parte di Orbyta Basedue e svolge la sua attività di consulenza in IntesaSanpaolo.

Cookie	Durata	Descrizione
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
JSESSIONID	session	Utilizzato da siti scritti in JSP. Cookie di sessione della piattaforma per scopi generici che vengono utilizzati per mantenere lo stato degli utenti attraverso le richieste di pagina.
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
__cf_bm	30 minutes	Questo cookie, impostato da Cloudflare, viene utilizzato per supportare la gestione dei bot di Cloudflare.
__hssc	30 minutes	HubSpot imposta questo cookie per tenere traccia delle sessioni e per determinare se HubSpot deve incrementare il numero di sessione e i timestamp nel cookie __hstc.
bcookie	2 years	LinkedIn imposta questo cookie dai pulsanti di condivisione di LinkedIn e aggiunge tag per riconoscere l'ID del browser.
lang	session	Questo cookie viene utilizzato per memorizzare le preferenze di lingua di un utente per fornire contenuti in quella lingua memorizzata la prossima volta che l'utente visita il sito web.
lidc	1 day	LinkedIn imposta il cookie lidc per facilitare la selezione del data center.

Cookie	Durata	Descrizione
__hstc	1 year 24 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_162571803_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
CONSENT	16 years 3 months 10 days 7 hours 5 minutes	Questi cookie vengono impostati tramite video di YouTube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che non accedi al tuo account google, in tal caso le tue scelte sono legate al tuo account, ad esempio se fai clic su "mi piace" su un video.
hubspotutk	1 year 24 days	Questo cookie viene utilizzato da HubSpot per tenere traccia dei visitatori del sito web. Questo cookie viene passato a Hubspot all'invio del modulo e utilizzato durante la deduplicazione dei contatti.
UID	2 years	Nessuna descrizione disponibile.

Cookie	Durata	Descrizione
bscookie	2 years	Questo cookie è un cookie ID del browser impostato dai pulsanti di condivisione collegati e dai tag degli annunci.
IDE	1 year 24 days	I cookie di Google DoubleClick IDE vengono utilizzati per memorizzare informazioni su come l'utente utilizza il sito Web per presentargli annunci pertinenti e in base al profilo dell'utente.
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tenere traccia delle visualizzazioni dei video incorporati nelle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt.innertube::nextId	never	Questi cookie vengono impostati tramite video di YouTube incorporati.
yt.innertube::requests	never	These cookies are set via embedded youtube-videos.