ARTIKEL

Die 6 Prinzipien einer ganzheitlichen API-Sicherheitsstrategie

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

EINLEITUNG

Während das Benutzererlebnis das „Gesicht“ Ihrer Anwendungen ist, verkörpern APIs das „Rückgrat“ Ihres Unternehmens. Ein häufiger Fehler, den viele Unternehmen in der Vergangenheit gemacht haben, besteht darin, eine API nur als Schnittstellenschicht über einer Anwendung zu betrachten. In diesem Artikel untersuchen wir 6 Prinzipien eines ganzheitlichen und ausgewogenen Ansatzes auf dem Weg zu mehr API-Sicherheit.

1. Werden Sie sich Ihrer APIs und Endpunkte bewusst

Aller Wahrscheinlichkeit nach könnten Sie, wenn Sie es versuchen würden, nicht alle API-Endpunkte in Ihrer Umgebung identifizieren. Leider trifft dies allerdings nicht auch auf böswillige Akteure zu. Jeder vorhandene Endpunkt kann als Einfallstor genutzt werden.

Wenn Sie öffentliche APIs anbieten, sind Sie außerdem den Anfragen einer Vielzahl von Kunden, Partnern und Anwendungen ausgesetzt. Dies macht auch Ihr Unternehmen angreifbar. Es gibt eine Reihe von Risikokontrollen, die berücksichtigt werden müssen, um Ihr Unternehmen vor Angriffen zu schützen, die zu Sicherheitsverletzungen und Betrug führen können.

2. Finden Sie ein Gleichgewicht zwischen Innovationen und Sicherheit

Es handelt sich um ein klassisches Tauziehen. Auf der einen Seite steht der Drang, mutig zu sein, Grenzen zu überschreiten und das zu tun, wozu die Konkurrenz nicht in der Lage ist – ein Grundstein für jedes erfolgreiche Unternehmen. Auf der anderen Seite steht die Sicherheit, die sich nicht immer gut mit den neuesten Innovationen verträgt.

Bericht

FORRESTER-BERICHT

API Insecurity: The Lurking Threat in Your Software

Lesen Sie den neuen Forrester-Bericht, der die in diesem Artikel behandelten Themen näher beleuchtet.

Rufen Sie den Bericht ab ›

1. Entwerfen Sie für die einzelnen API-Typen jeweils eine API-Steuerungsstrategie, um die entsprechenden Sicherheitskontrollen festzulegen.

2. Implementieren Sie API-Sicherheitsrichtlinien, die überall dort, wo APIs eingesetzt werden, konsequent durchgesetzt werden können.

3. Stellen Sie sich auf neu auftretende Bedrohungen, anomales Verhalten und böswillige Benutzer ein, die versuchen, APIs auszunutzen oder missbräuchlich zu verwenden. Setzen Sie dabei auf künstliche Intelligenz, um die Sicherheitsteams zu entlasten.

Je nach Branche variieren die Konformitätsstandards, wobei einige strengere Anforderungen an die Sicherheit stellen als andere. Unabhängig davon ist es wichtig, dass Ihre API-Sicherheitsvorkehrungen robust genug sind, um einer Flut von Bedrohungsvektoren standzuhalten.

3. Bewältigen Sie Risiken während des gesamten Entwicklungslebenszyklus

API-Sicherheitstests sind keine einmalige Angelegenheit: Es kommt darauf an, vor, während und nach der Bereitstellung Tests durchzuführen. Wenn Sie die Tests in jede Entwicklungsphase integrieren, haben Sie viel mehr Möglichkeiten, Schwachstellen und Sicherheitslücken zu erkennen, bevor es zu einer Sicherheitsverletzung kommt. Und obwohl sicherheitsspezifische Testwerkzeuge sich als nützlich erweisen, dürfen Sie auch die Modellierung von Sicherheitsanwendungsfällen nicht außer Acht lassen.

4. Schutzschichten vom Backend bis zum Endkunden

Von externen Clients bis hin zur internen Backend-Infrastruktur – für jeden Teil der Architektur müssen eigene Schutzmaßnahmen getroffen werden.

Was den Schutz auf API-Ebene angeht, sollten Sie Ihre APIs zunächst in zwei Kategorien einteilen: in interne und externe. Interne APIs sind einfacher zu sichern, da der API-Anbieter seine Sicherheitsmaßnahmen mit den Anwendungsteams koordinieren kann. Bei externen APIs ist das Risikokalkül ein anderes. Das bedeutet jedoch nicht, dass Ihnen die Hände gebunden sind. Sie können (und sollten) trotzdem dreierlei Schutzmaßnahmen auf API-Ebene implementieren:

1. Verringern Sie die Wahrscheinlichkeit einer Sicherheitsverletzung mit Echtzeit-Bedrohungsdaten und Zugangskontrollmechanismen wie z. B. Token mit verstärkter Sicherheit.

2. Ermitteln Sie Basismuster für normale und anormale Datenverkehrslagen.

3. Schränken Sie die API-Nutzung ein und bieten Sie eine granulare Kontrolle für gebilligte Aggregatoren.

Auf der Produktionsebene erfordert das schiere Volumen des Datenverkehrs durch die Ausbreitung von APIs den Einsatz von künstlicher Intelligenz, um anomales Verhalten und böswillige Benutzer zu erkennen.

5. Setzen Sie auf die richtigen Strategien und Tools

So wie es kein Lebensmittel gibt, das uns mit allen erforderlichen Nährstoffen versorgt, gibt es auch kein Sicherheitstool, das einen uneingeschränkten Schutz für APIs bietet. Entwickeln Sie stattdessen eine Strategie, die auf ein ausgewogenes Ökosystem aus Tools als Teil einer ganzheitlichen Sicherheitsarchitektur zurückgreift.

Diese Tools sollten Sie in Betracht ziehen:

  • Ein API-Gateway
  • App-Sicherheitstests (SAST und DAST)
  • Eine WAF
  • Bot Management

Darüber hinaus sind die Erkennung von APIs und die Mikrosegmentierung wichtige Funktionen des Ökosystems.

6. Integrieren Sie das Thema Sicherheit in die Entwicklungs- und Bereitstellungsabläufe

Sie haben wahrscheinlich den Eindruck gewonnen, dass der Bereich der API-Sicherheit aufgrund der Vielfalt der Technologien, Ebenen, Entwürfe und Zusammenhänge, in denen APIs verwendet werden, sehr komplex werden kann. Es gibt jedoch Möglichkeiten, diese Komplexität zu mindern.

Wenn Sie sich mit Ihrer API-Sicherheitslage befassen, sollten Sie zunächst einen Schritt zurücktreten und das Gesamtbild in Augenschein nehmen.

Die Sicherheit muss im gleichen kontinuierlichen Lebenszyklus wie die Anwendungen selbst ablaufen, was eine enge Integration in CI/CD-Pipelines, Dienstbereitstellungen und Ereignisüberwachungssysteme bedeutet.

Darüber hinaus gelten nach wie vor die bewährten Sicherheitspraktiken – standardmäßige Verweigerungsarchitekturen, eine starke Verschlüsselung und ein Zugang nach dem „Least Privilege“-Prinzip.

Weitere Informationen

Verhindern von betrügerischer Kontoübernahmen und Sicherung des Kundenvertrauens

ARTIKEL

Securing APIs: 10 Best Practices for Keeping Your Data and Infrastructure Safe

Wenn Unternehmen APIs öffentlich zugänglich machen, müssen sie bewährte Sicherheitspraktiken einführen.

Mehr erfahren ›

E-Book

BERICHT

Continuous API Sprawl: Challenges and Opportunities in an API-Driven Economy

Erfahren Sie, wie Sie die OWASP Top 10 als Grundlage für eine sicherere Entwicklung und Verbesserung der Anwendungssicherheit nutzen können.

Rufen Sie den Bericht ab ›

E-Book

E-BOOK

API Security: Key Considerations for API Protection

Haben Sie das Gefühl, Ihre APIs werden bedroht? Erfahren Sie, wie Sie sich über unsichtbare Bedrohungen hinwegsetzen können.

Holen Sie sich das E-Book ›