Um Kunden eine nahtlose Service-Erfahrung zu bieten, setzen Unternehmen jetzt stark auf APIs (Application Programming Interfaces). Dies ist ein nicht verhandelbarer Aspekt der Art und Weise, wie wir die Interaktionen und Gespräche, die wir mit unseren Kunden führen, rationalisieren, sowohl intern als auch extern. APIs sind heutzutage so allgegenwärtig, dass sie von fast der Hälfte der Webanwendungen weltweit verwendet werden.
Während wir einen Großteil unseres Geschäfts in die Cloud verlagern und zu DevOps wechseln, erhöhen wir auch unseren Einsatz von Containerisierung und Microservices, die alle stark auf APIs angewiesen sind. Obwohl dies notwendige Schritte sind, um auf digitalen Marktplätzen relevant und wettbewerbsfähig zu bleiben, führt die bloße Anzahl von Interaktionen und Berührungspunkten, die mit der API-Integration verbunden sind, dazu, dass unsere Anwendungen und Daten stärker denn je verfügbar sind.
Leider dokumentieren APIs häufig ihre Implementierung und interne Struktur selbst, die dann von Cyberkriminellen gegen sie eingesetzt werden können. Darüber hinaus sehen wir eine Reihe anderer Sicherheitslücken, wie etwa:
- Fehlende Verschlüsselung
- Schwache Authentifizierung
- Fehler in der Geschäftslogik
- Unsichere Endpunkte
All dies zusammen macht APIs zu einer attraktiven Perspektive für potenzielle Angreifer. IT-Sicherheitsteams sind alle damit beschäftigt, verschiedene potenzielle Bedrohungen und Herausforderungen zu bewältigen. Unsere Umfrage unter 250 IT-Experten zur API-Sicherheit 2018 (Blog nur in englischer Sprache verfügbar) ergab folgende Ergebnisse zu den Hauptanliegen in diesem Bereich:
- 39,2 % Bots und DDoS-Angriffe
- 24,4 % Erzwingen von Authentifizierung
- 14,8 % Inspektion von API-Inhalten zur Erkennung von Angriffen
- 13,6 % Notwendigkeit, Angriffe zu profilieren
Welche Best Practices sollten wir also umsetzen, um diese Bedenken auszuräumen und vor immer ausgefeilteren Bedrohungen geschützt zu bleiben? Ihre Sicherheitslösung sollte sich mindestens mit Folgendem befassen:
Bestätigung Hier geht es darum, die Identität eines Endbenutzers genau zu bestimmen, was immer schwieriger wird, wenn wir die fortgeschrittenen Methoden betrachten, die Angreifern zur Verfügung stehen, um ihre wahre Identität zu verschleiern.
Zulassung Sobald wir wissen, wer ein Benutzer ist, müssen wir wissen, ob er berechtigt ist, auf bestimmte Ressourcen zuzugreifen. Wer also beispielsweis kein designierter Administrator ist, darf nur auf schreibgeschützte Ressourcen zugreifen können.
Validierung Sie müssen API-Aufrufe anhand von Schemata und erwarteten Strukturen validieren können, während Sie Nutzlasten scannen. Dies ist wichtig, um häufige Angriffe wie Codeinjektionen und Parserangriffe zu verhindern.
Eine Web Application Firewall (WAF) ist der wichtigste Teil Ihres Sicherheits-Toolkits, da sie die oben genannten Ergebnisse erzielen kann, indem sie eine Reihe von Regeln für den Datenaustausch zwischen Anwendungen anwendet und erzwingt. Sie werden häufig zum Sichern von API-Plattformen verwendet, da sie sehr effektiv die Ausnutzung verhindern und DDoS-Angriffe auf Anwendungsebene abschwächen.
Einige Anbieter wie Imperva bieten spezialisierte API-Sicherheit. Mithilfe Ihrer vom DevOps-Team erstellten OpenAPI-Spezifikationsdatei generiert Imperva API Security automatisch ein positives Sicherheitsmodell, das gewährleistet, dass nur legitimer Datenverkehr auf Ihre APIs zugreifen kann. Dazu gehört auch unsere kürzliche Ankündigung einer nahtlosen Integration unserer API-Security-Lösung und die API-Management-Plattform von Red Hat 3scale.
Letztendlich müssen IT-Sicherheitsteams für das Sichern von APIs die gleichen Best Practices für die Anwendungssicherheit anwenden, wie sie es immer getan haben, und gleichzeitig erweiterte Lösungen wie die API-Sicherheit von Imperva verwenden, um mit einer nicht eindeutigen API-Umgebung und den damit verbundenen dynamischen Bedrohungen umzugehen.
Weitere Informationen dazu, wie sich Imperva vor API-Missbrauch schützt, finden Sie im Webinar „API Security: Discover Complete Visibility Throughout Your API Endpoints“ (nur in englischer Sprache verfügbar), durch das Sie unsere Experten Ziv Grinberg und Michael Wright führen. Sie demonstrieren die Einfachheit, eine Swagger-Datei hochzuladen, wie die API-Sicherheitslösung automatisch ein positives Sicherheitsmodell auf der Grundlage der OpenAPI-Spezifikationsdatei erzwingt und es Ihren DevOps-Teams im Gegenzug ermöglicht, ihre APIs zu veröffentlichen und zu sichern.