Die globale digitale Wirtschaft erfordert Anwendungsprogrammierschnittstellen (APIs), um anwendungsbasierte Dienste mit Kunden, Verbrauchern, Partnern und Mitarbeitern zu verbinden. Legacy-, modernisierte und neue Anwendungen entwickeln sich in Richtung API-basierter Architekturen, um die Anwendungsentwicklung zu beschleunigen und die Markteinführungszeit zu verkürzen. Die Verlagerung der Anwendungsfunktionalität näher an den Kunden zur Reduzierung von Reibungsverlusten ist der Ursprung dezentraler Architekturen und der API-First-Bewegung.
Leider werden die durch APIs erzielten Effizienzgewinne bei der Anwendungsentwicklung durch die Risiken überschattet, die sie für ein IT-Unternehmen darstellen. Hacker haben gelernt, dass die Kompromittierung von APIs einfach ist, wenn diese nur unzureichend oder gar nicht geschützt sind. Niemand würde bestreiten, dass APIs sichere Verfahren erfordern . Allerdings besteht in der Branche kein Konsens darüber, wie diese am besten gesichert werden können. Im Folgenden sind einige der wichtigsten Gründe aufgeführt, warum APIs mehr Schutz benötigen, als sie normalerweise erhalten.
Aufgrund mangelnder API-Transparenz und -Sicherheit kommt es immer häufiger zu schwerwiegenden Sicherheitsverstößen, und dies wird auch in absehbarer Zukunft so bleiben.1 Im Zuge des Wettlaufs zur Digitalisierung von Unternehmen werden mehr unzureichend geschützte APIs in die Produktion gelangen. Viele Organisationen versuchen, API-Schwachstellen durch besseres Design und bessere Codierung zu beheben, stellen dabei jedoch die gleichen Sicherheitsmängel fest wie bei Anwendungen im Allgemeinen – teilweise, weil Sicherheit keine Kernkompetenz eines typischen Anwendungsentwicklers ist und die Sicherheitsteams möglicherweise nicht über alle Verbindungen zu Drittanbietern in ihrer Umgebung informiert sind.
Der Kern der API-Ausbreitung ist das Fehlen einer ganzheitlichen Strategie, die Governance und Best Practices umfasst. Die agile Anwendungsentwicklung hat zu mehreren Versionen derselben API geführt, ohne dass die Vorteile einer API-Versionskontrolle genutzt werden konnten. Durch die Umstellung auf Microservices entsteht eine Anwendung, die aus vielen Dutzend APIs besteht.
Nicht verwaltete APIs erstellen Rogue-, Schatten- und Zombie-APIs. Bis 2030 wird die Zahl der APIs auf 2 Milliarden ansteigen, was das Problem noch weiter verschärfen wird.2
Der Betrieb in einer verteilten Cloud-Umgebung ist heute die Norm. Die Verwendung eines dedizierten API-Gateways als zentraler Einstiegspunkt zur Sicherheitssteuerung ist jedoch mit Einschränkungen verbunden, darunter einzelne Ausfallpunkte und Leistungseinbußen. Da API-Gateways heutzutage eine kritische Komponente der API-Infrastruktur darstellen, wurde deutlich, dass die Verbreitung von APIs den Einsatz von API-Gateways erhöht – was zu einer Ausbreitung von API-Gateways führt.
Moderne WAFs bieten robusten Schutz und Sicherheit für API-Protokolle, einschließlich GraphQL und gRPC, und schließen kritische Software-Schwachstellen. Allerdings bieten sie häufig nicht die erforderliche Beobachtung von APIs, um erweiterte Bedrohungen in Hybrid- und Multi-Cloud-Architekturen zu erkennen. Vielen WAFs mangelt es an dynamischer API-Erkennung, automatischer Erkennung und Bedrohungsminderung, an Tests und an Automatisierungs- und Durchsetzungsfunktionen für OpenAPI-Dokumentspezifikationen.
Nachdem wir nun wissen, warum Hacker APIs lieben, stellt sich die Frage, wie wir sie schützen können.
Die Aufsichtsbehörden haben die Risiken erkannt, die APIs mit sich bringen, und fordern die Unternehmen auf, die Risiken in allen IT-Abteilungen, auch gegenüber Drittanbietern, zu minimieren. Die USA Das US-Finanzministerium und das Consumer Financial Protection Bureau (CFPB) haben strenge Richtlinien für Unternehmen herausgegeben, die APIs schützen müssen. Aus Sicht der Standards erfordert die PCI DSS v4-Anforderung 6.3.2 API-Sicherheit, und die NIST 800-95-Empfehlung „Leitfaden für sichere Webdienste“ seit 2007 – 800-24 „Sicherheitsstrategien für auf Microservices basierende Anwendungssysteme“ spezifiziert eine sichere API-Verwaltung.
Eine API-Sicherheitsarchitektur muss die Integration in ein verteiltes IT-Unternehmen berücksichtigen, einschließlich Multi-Cloud, regionaler Ränder und Service-Ebenen. Die Lösung sollte auf jeder Hardware, in jeder virtualisierten Umgebung, in Docker, Kubernetes usw. bereitgestellt werden können. Die Lösung muss es Sicherheitsrichtlinien ermöglichen, der API durch ihr Ökosystem zu folgen. Nachfolgend finden Sie ein Beispiel für eine Referenzarchitektur zum Sichern von APIs.
Hackern ist schon lange bewusst, dass APIs unter denselben Sicherheitsproblemen leiden wie Webanwendungen, darunter schwache Authentifizierungs- und Autorisierungskontrollen. Sie sind Experten darin geworden, API-Schwachstellen auszunutzen, Geschäftslogik zu missbrauchen und Zero-Day-Exploits zu erstellen, um sich mit wenig Widerstand Zugang zu IT-Unternehmen zu verschaffen.
Personenbezogene Daten sind Eigentum des Einzelnen und nicht einer Anwendung oder eines Dienstanbieters. Die digitale Wirtschaft fördert den offenen Datenaustausch. APIs ermöglichen private, öffentliche, Partner- und Drittanbieterdaten und -dienste. Um die Datenschutzbestimmungen einzuhalten, müssen bei APIs datenschutzfreundliche Technologien zum Einsatz kommen.
Für die Bereitstellung einer API-Sicherheitslösung sind die Integration der Infrastruktur und von Konnektoren erforderlich, von denen einige benutzerdefiniert sind, um die ordnungsgemäße Bereitstellung in einer IT-Umgebung zu gewährleisten. Um die Feinheiten der Bereitstellung zu verstehen, ist eine architektonische Planung erforderlich. Durch die Auswahl einer Lösung, die sofort einsatzbereit ist und in die vorhandene IT-Unternehmensarchitektur integriert werden kann, wird die Bereitstellungszeit verkürzt.
Weitere Informationen zur Abwehr von API-Angriffen finden Sie in meinem kürzlich im Auftrag von F5 verfassten Bericht „API Security Solution Evaluation Guide“ . In diesem Bericht werden die wichtigsten Überlegungen bei der Auswahl einer API-Schutzlösung erörtert.
Von Tari Schreider, C|CISO, CRISC – Strategischer Berater, Datos Insights