Skip to Content

Rajapintojen suojaaminen

Last modified by tapiiron@helsinki_fi on 2025/02/04 07:10

Tietoturvaperiaatteet Helsingin yliopistossa:

https://workgroups.helsinki.fi/display/Tietoturva/Tietoturvaperiaatteet+Helsingin+yliopistossa


Rajapintojen suojaamisessa otettava huomioon:

  • Ei ole estettä erityissuojattavien(henkilötietoja sisältävien) rajapintojen julkaisulle, jos ne on suojattu riittävän hyvin.
  • Päätös julkaisusta on kuitenkin aina omistajan
  • Vastuu rajapinnan turvallisuudesta on aina omistajalla, hänen tulee kertoa millaiset turvallisuuskontrollit asiakkaan (ja gateway:n) pitää toteuttaa
  • Yliopiston toiminnalle kriittiset ja/tai erityistä suojausta vaativaa tietoa käsittelevät rajapinnat pitää suojata asiakassertifikaatilla
  • Rajapinnan tietoturvakontrolli pitää aina tarkistaa ja testata. Toisen asiantuntijan/kehittäjän läpikäynti ja keskeisimpien kontrollien omatoiminen testaus riittää suurimmassa osassa tapauksia


Rajapintojen suojaamiseen on eri vaihtoehtoja. Alla ne on kuvattu avoimemmasta suojatumaan


Information
API-key, sopii esim. avoimiin rajapintoihin

Rajapinnat suojataan aina API-keyllä:

  1. Avoimien rajapintojen metadata on julkaistu, mutta ne on suojattu API-keyllä. API-key on lisätty jo rajapinnan kuvaukseen tai sen saa automaattisesti subscriben yhteydessä
  2. Avoimien rajapintojen metadata on julkaistu, mutta ne on suojattu API-keyllä. API-keyn saa hakemalla, mutta rajapinnan vastuutaho käy läpi kaikki hakemukset ja luovuttaa API-keyn vaan tietyille tahoille
  3. Rajapinnan näkyvyys on private, jolloin se ei näy katalogissa, kuin määritetyille henkilöille. API-keyn saa hakemalla, mutta rajapinnan vastuutaho käy läpi kaikki hakemukset ja luovuttaa API-keyn vaan tietyille tahoille


API-keyn lisäksi suojaustasoa voi nostaa. Ylläolevat määritelmät API-keystä pätevät myös tässä. API-key on aina pakollinen. API-keytä ei kannata jakaa vapaasti suojatuissa rajapinnoissa ja metadatan julkaisu kannattaa harkita tapauskohtaisesti


Information
Ip-rajaus, token tai asiakassertifikaatti, sopii suljettuihin rajapintoihin
  1. Rajapintaan pääsy voidaan rajata ip-osoitteen mukaan
  2. Suojaamiseen voidaan käyttää tokenia (JWToken tai OAuth-palvelua).
  3. Rajapinta voidaan suojata sertifikaatilla (vahvin suojaustapa) (Ohjeet sertifikaattisuojaamiseen)