Jetzt, da Sie verstehen, wie wichtig API-Sicherheit ist …

(Um einen kurzen Überblick über den Aufstieg der API-Sicherheit als aktuelles Branchenthema zu erhalten, lesen Sie bitte diesen aktuellen Blog-Beitrag . Die nachstehende Anleitung setzt hier an und zeigt auf, was Sie dagegen tun können.)

Ergänzen Sie Ihr API-Gateway mit einem Sicherheits-Gateway

Das explosive Wachstum von APIs schafft neue Märkte sowohl für API-Gateways als auch für API-Sicherheit. Während diese in Zukunft möglicherweise konsolidiert werden, können Sie heute Ihr API-Gateway mit einer leistungsfähigen Web Application Firewall (WAF) vorsehen, um Bedrohungen abzuschwächen. WAFs können bekanntermaßen schädlichen Datenverkehr blockieren, bevor dieser Ihr API-Gateway erreicht. Dazu nutzen sie sofort einsatzbereite Funktionen wie IP-Intelligence, Angriffssignaturen, Erkennung bösartiger Bots und OWASP-Top-10-Regelsätze. Ausgereiftere WAFs wie etwa F5 Advanced WAF verfügen über dedizierte Funktionen und können Sicherheitsrichtlinien anpassen, um mehrere APIs innerhalb einer einzigen Domäne zu schützen, und nicht nur einen globalen Regelsatz pro Domäne.

Bei der Bewältigung aktueller und künftiger Bedürfnisse sollten Sie drei Punkte berücksichtigen:

1. API-Gateways sind zu strategischen Kontrollpunkten geworden. Da der technologische Wandel zu noch mehr nicht-menschlichem Datenverkehr führt, wird die API zum Mittelpunkt des Geschäfts. API-Gateways befinden sich am Rand und sind der Eingangspunkt für den gesamten API-Verkehr. Um effektiv zu sein, erfordert die API-Sicherheit umfassendere Kontext-, Analyse-, Anrufer-ID- und Korrelationsfunktionen.
   
   
2. Die Lücke zwischen den Angeboten für API-Gateway und API-Sicherheit ist beträchtlich. Herkömmlichen Anbietern von App-Sicherheit fehlen die grundlegenden API-Gateway-Funktionen wie Versionierung, Orchestrierung und Messung. Den meisten API-Gateway-Lösungen fehlen die Standardsicherheitskontrollen, die in den meisten WAF-Lösungen verfügbar sind. Sie benötigen beides für ausreichende Funktionalität und Sicherheit.
   
   
3. Diese Lücke kann mit einem Sicherheitsgateway geschlossen werden. Das Hinzufügen eines Advanced WAF mit API-Schutzfunktionen kann dazu beitragen, die Sicherheitsmängel der meisten API-Gateways zu überwinden. F5 Advanced WAF hat seine Sicherheitsfunktionen um APIs und Microservices erweitert. Dies kann zwar die erweiterte Funktionalität eines API-Gateways nicht ersetzen, kann jedoch allgemeine Sicherheitskontrollen verbessern und durchsetzen. Die F5 Advanced WAF unterstützt auch deklarative APIs, sodass die API-Sicherheitsrichtlinie für agile Umgebungen orchestriert und automatisiert werden kann.
   

Sicherheitsgateways können Sicherheitslücken ausgleichen, aber seien Sie nicht nachlässig

Mit der Weiterentwicklung der Technologie werden API-Gateways dazu beitragen, zusätzliche API-Sicherheitsbedenken auszuräumen, aber so weit sind wir noch nicht. Planung und bewährte Methoden tragen wesentlich dazu bei, dass Ihre APIs kurzfristig ausreichend geschützt sind. Um Ihre APIs wirksam zu schützen, vergessen Sie nicht:

1. Verwenden Sie jedes Mal ein Sicherheitsgateway. Erlauben Sie Clients keinen nicht authentifizierten direkten Zugriff auf Ihre API. Leiten Sie den gesamten Datenverkehr über ein Sicherheitsgateway oder einen Proxy, der bekanntermaßen schädlichen Datenverkehr blockieren kann. Nutzen Sie eine vorhandene WAF, falls Sie eine haben. Sogar ein einfaches WAF kann zur Not funktionieren, während Sie über eine umfassendere Lösung nachdenken.
   
   
2. Machen Sie es einfach. Haben DevOps und SecOps einigen sich auf eine Reihe von Standards (z. B. OpenAPI/Swagger) für die Entwicklung von APIs. Standards helfen Ihnen beim Dokumentieren und Testen Ihrer APIs. OpenAPI 3.0 verfügt über dedizierte Sicherheitskomponenten, die zur Unterstützung der Implementierung eines sicheren Designs wiederverwendet werden können. Die Verwendung von OpenAPI-Standards ermöglicht auch die Verwendung von Audit- und Konformitätstools wie Crunch42, um Design- und Sicherheitstests zu automatisieren.
   
   
3. Definieren Sie Sicherheitsanforderungen . Der Umfang der API-Anforderungen umfasst normalerweise nur die gewünschte Funktionalität für die API, d. h. die Definition der Funktionen, die die API erfüllen soll. API-Anforderungen sollten auch Sicherheitsanforderungen umfassen (was die API NICHT können sollte). Wenn Sicherheit Teil der Design-Spezifikationen ist, wird sie Teil des Funktionstests der API.
   
   
4. Erstellen Sie Bedrohungsmodelle für API-Dienste – API-Clients und -Server.  Durch die Durchführung einer Bedrohungsmodellierung des vorgeschlagenen Systems können wichtige Vermögenswerte/Komponenten und Bedrohungskategorien identifiziert werden. Anschließend können Sicherheitsdesignanforderungen hinzugefügt werden, um die identifizierten Bedrohungen einzudämmen. Stellen Sie sicher, dass die Kontrollen mit einem gewünschten Risikomodell für die API und App übereinstimmen.
   
   
5. Auslagern der Authentifizierung und Autorisierung. Nutzen Sie das API-Gateway für moderne Authentifizierung und Autorisierung. Alle APIs müssen im Rahmen der Bereitstellung über eine Authentifizierung verfügen. Es besteht keine Notwendigkeit, dies in die App selbst zu integrieren (und es handelt sich auch nicht um eine bewährte Methode, da die Weiterleitung nicht authentifizierten Datenverkehrs direkt an die API diese anfällig für Angriffe machen kann). Es gibt verschiedene Formen der Authentifizierung, die genutzt werden können, und ein risikobasierter Ansatz kann Ihnen bei der Auswahl helfen. Oauth 2.0 wird allgemein als beste Option für REST-APIs angesehen. F5 BIG-IP APM ist eine gute Lösung zur Implementierung dieser Kontrollen.
   
   
6. Alles verschlüsseln. Keine Ausreden, keine Verschlüsselung zu verwenden. SSL/TLS nähert sich 100 % für den gesamten Internetverkehr. Der gesamte öffentliche API-Verkehr muss verschlüsselt werden. Verwenden Sie für zusätzliche Sicherheit wenn möglich temporäre Schlüssel (erinnern Sie sich an Heartbleed?). Wenn Ihr API-Gateway die kryptografische Arbeitslast aus Leistungs- oder Preisgründen nicht bewältigen kann, sollten Sie die Arbeitslast auf ein dediziertes System wie F5 SSL Orchestrator auslagern.
   
   
7. Entmutigen Sie Entwickler, in Sachen Sicherheit kreativ zu sein . Es ist schwer, Sicherheit richtig umzusetzen. Die Sicherheits-Community tut dies schon seit Jahrzehnten, und doch stoßen wir immer noch auf Mängel. Auch wenn Ihre Entwickler brillant sind, sollten Sie äußerst vorsichtig sein, wenn sie individuelle Sicherheitskontrollen erfinden, wie etwa ein neues Verschlüsselungsmodell. Um derartige „Kreativitäten“ in Sachen Sicherheit zu vermeiden, stellen Sie DevOps unbedingt standardisierte und gut geprüfte grundlegende Sicherheitskontrollen zur Verfügung. Wenn speziell zugeschnittene Sicherheitskontrollen erforderlich sind, sollte das SecOps-Team konsultiert werden.

Der Einsatz von APIs kann zu einem Wandel führen, da er neue Geschäftsmodelle und Einnahmequellen ermöglicht. Werden APIs jedoch ohne entsprechende Schutzmaßnahmen implementiert, besteht auch das Potenzial, den Geschäftsbetrieb zu stören und zu gefährden. Auch wenn API-Sicherheit noch als ein relativ junges Technologiefeld gilt, können die oben beschriebenen Vorgehensweisen dabei helfen, die aktuellen API-Sicherheitslücken zu schließen, wenn die entsprechenden Lösungen ausgereifter werden.