In the context of digital transformation, Application Programming Interfaces (APIs) have become fundamental to software integration and interaction. Despite their numerous advantages, APIs present significant security challenges. Therefore, this thesis focuses on the Azure platform to establish a robust API management (APIM) system that addresses security vulnerabilities by implementing the best possible practices. The study begins by identifying common security threats specific to APIs, followed by evaluating security practices against these threats. Additionally, threat modeling has also been conducted to systematically identify and categorize potential security threats within the existing External APIM architecture. To mitigate the identified vulnerabilities, a series of enhanced security practices is proposed and implemented, such as strict CORS policies, rate limiting both at the API Gateway and Application Gateway levels, and the integration of Web Application Firewall. The implementation of these security practices for the External APIM is validated through a detailed analysis of their effectiveness. More than 32,000 malicious requests are blocked, almost 230,000 false positive requests are handled, and two malicious IP addresses are detected. Hence, the results indicate a significant improvement in the security posture of the company's APIM system. The findings underscore the importance of adopting a centralized approach to API security, which can be crucial for organizations looking to protect their digital assets and maintain trust with their users in an increasingly interconnected world.

Inom ramen för digital transformation har Application Programming Interfaces (APIs) blivit grundläggande för programvaruintegration och interaktion. Trots deras många fördelar medför API betydande säkerhetsutmaningar. Därför fokuserar denna avhandling på Azure-plattformen för att etablera ett robust API-hanteringssystem (APIM) som adresserar säkerhetsbrister genom att implementera bästa möjliga praxis. Studien börjar med att identifiera vanliga säkerhetshot specifika för API, följt av att utvärdera säkerhetsmetoder mot dessa hot. Dessutom har hotmodellering genomförts för att systematiskt identifiera och kategorisera potentiella säkerhetshot inom den befintliga Extern APIM-arkitekturen. För att mildra de identifierade sårbarheterna föreslås och implementeras en serie förbättrade säkerhetsmetoder, såsom strikta CORS-policyer, hastighetsbegränsning både på API Gateway- och Application Gateway-nivå, samt integration av Web Application Firewall. Implementeringen av dessa säkerhetsmetoder för Extern APIM valideras genom en detaljerad analys av deras effektivitet. Mer än 32 000 skadliga förfrågningar blockeras, nästan 230 000 falska positiva förfrågningar hanteras, och två skadliga IP-adresser upptäcks. Resultaten visar således en betydande förbättring av säkerhetsläget för företagets APIM-system. Resultaten understryker vikten av att anta ett centraliserat tillvägagångssätt för API-säkerhet, vilket kan vara avgörande för organisationer som vill skydda sina digitala tillgångar och bibehålla förtroendet hos sina användare i en alltmer sammankopplad värld.