API-Gateways sind die neuen strategischen Kontrollpunkte (aber es mangelt ihnen immer noch an Sicherheit)

Durch die Transformation von monolithischen Anwendungen zu Ökosystemen aus Mikroservices sind APIs zu einem strategischen und kritischen Kontrollpunkt geworden. Während Web Application Firewalls (WAFs) ein zentrales Tool zum Schutz HTTP-basierter Anwendungen darstellen, mangelte es bei APIs an entsprechenden Kontrollen für ausreichende Compliance, Sicherheit und Auditing. Da der API- und nicht-menschliche Datenverkehr den Web-App-Datenverkehr übersteigt, müssen auch die Sicherheitskontrollen verbessert werden. Sicherheitsverantwortliche sollten die neuen Trends als Gelegenheit nutzen, mehr über den Schutz von APIs zu erfahren und die API-Sicherheit in ihrem eigenen Unternehmen zu verbessern.

Die API-Explosion ist allgegenwärtig – die Verbreitung von APIs wird weitergehen. Darüber hinaus ist es möglicherweise nicht das einzige DevOps-Team, das APIs herausbringt. Andere Teile der Organisation, wie etwa das Marketingteam, können im Rahmen ihrer Marketingbemühungen eigene APIs veröffentlichen oder sogar APIs von Drittanbietern verwenden. Für das Sicherheitsteam ist eine genaue Bestandsaufnahme der verwendeten APIs ein entscheidender erster Schritt.

Zusammenarbeit ist der Schlüssel – Sicherheitsteams müssen mit DevOps zusammenarbeiten, um angemessene API-Sicherheitskontrollen zu entwerfen und zu implementieren. DevOps will schnell vorankommen. Die Sicherheitsteams müssen die DevOps-Bewegungen verstehen und Sicherheitskontrollen einführen, die zentral verwaltet und in die CI/CD-Prozesse automatisiert werden können.

Die Sicherheit des API-Gateways lässt zu wünschen übrig – Heutige API-Gateways konzentrieren sich normalerweise auf Authentifizierung, Versionierung und Analyse (für Messung und Abrechnung). Obwohl diese Sicherheitskontrollen wichtig sind, bieten sie keinen vollständigen Schutz für APIs. Zum Schutz vor Angriffen auf Authentifizierungsdienste, Layer-7-DoS, Datenexfiltration, Exploits, Injections und Anomalien ist eine ausreichende API-Sicherheit erforderlich.

APIs stehen im Fadenkreuz und bleiben anfällig

Als entscheidende Kontrollpunkte bilden APIs das Herzstück heutiger digitaler Geschäftsplattformen. APIs sind typischerweise so konzipiert, dass sie extern verfügbar gemacht und von Geschäftspartnern, Kunden und Microservices abgerufen werden können. Genau wie Webanwendungen können APIs ein Tor zu vertraulichen Daten sein, die angemessen geschützt werden müssen. Aktuelle API-bezogene Vorfälle bei Unternehmen wie Venmo, Facebook und Salesforce können uns zeigen, wie wichtig die API-Sicherheit ist. F5 Labs hebt hier weitere bemerkenswerte API-Pannen hervor.

Wie bei vielen technischen Fortschritten bleibt die Sicherheit häufig auf der Strecke. Die API-Sicherheit ist keine Ausnahme von dieser Regel. Während die API-gesteuerte Wirtschaft vor sich hin floriert, können Sicherheitsexperten von der Menge, dem Tempo und der Komplexität der API-Sicherheitsmaßnahmen überfordert sein.

Die Massenverbreitung von APIs wird weitergehen. Da Anwendungen zum Mittelpunkt von Unternehmen werden, wird die Verbreitung von APIs weiter zunehmen. Das Programable Web API-Verzeichnis hat im Jahr 2019 einen rasanten Anstieg der veröffentlichten APIs verzeichnet (Hunderte neuer APIs jeden Monat). Wir erwarten, dass diese Zahl weiter steigt, insbesondere da viele Branchen auf API-basierte Interoperabilität drängen. Ein gutes Beispiel ist die überarbeitete Zahlungsdiensterichtlinie (PSD2) der EU.

Die Sicherheit muss mit der CI/CD-Pipeline Schritt halten. API-Gateways, die „Versionierung“ unterstützen, ermöglichen es API-Anbietern, kontinuierlich neue Funktionen und Features hinzuzufügen, ohne vorhandene Client-Integrationen zu beeinträchtigen. Dies ist ideal für CI/CD, wenn der Prozess jedoch aus Sicherheitsgründen verlangsamt wird, kann dies direkte Auswirkungen auf das Geschäft haben und die Vorteile der agilen Entwicklung zunichte machen. Um mit diesen Umgebungen Schritt zu halten, müssen Sicherheitskontrollen automatisiert und so in den Veröffentlichungsprozess integriert werden, dass das Sicherheitsteam allgemeine Kontrollen zentral durchsetzen kann, ohne die Veröffentlichungszyklen zu beeinträchtigen.

Ein Faktor ist die unterschiedliche Eigentümerschaft der API-Sicherheit. APIs werden in der gesamten Organisation verwendet – in mobilen Apps, Microservices, in der Cloud und vor Ort. Die Sichtbarkeits- und API-Inventarisierungsfunktionen im gesamten Unternehmen befinden sich noch in der Entwicklung, sodass einige APIs außerhalb des Zuständigkeitsbereichs des Sicherheitsteams liegen. Die unternehmensübergreifende Führung und die Beteiligten müssen in der Durchsetzung einheitlicher Sicherheitspraktiken und -kontrollen geschult werden.

Die Sicherheit des API-Gateways ist nicht ausgereift. Heutzutage positionieren viele Anbieter API-Gateways – Unternehmen wie MuleSoft, Google (Apigee), Kong, Istio und Oracle. Diese stellen die erforderlichen API-Gateway-Funktionssätze bereit, beispielsweise Versionierung, Routing, Analyse/Messung und Authentifizierung. Jeder dieser Dienste verfügt über seine eigenen Stärken und Mehrwerte. Allerdings müssen neben anderen Sicherheits-Gateway-Diensten auch umfassende Sicherheitskontrollen zum Schutz vor Zugriffsverletzungen, Injections, DoS und Exploits implementiert werden.
_____

Da die Bühne nun bereitet ist, können Sie nächste Woche mit einem Blog rechnen ( Link hier hinzugefügt ), in dem wir uns näher damit befassen, wie Sie die oben beschriebenen Herausforderungen bewältigen können …