BLOG

Geschäftsschutz bedeutet API-Schutz

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 04. November 2019

APIs schaffen Mehrwert durch ihre Fähigkeit zur Abstrahierung auf der Anwendungsebene. Beispielsweise bietet die Verwendung einer API zur Abstraktion des Zugriffs auf interne Systeme und Daten eine Möglichkeit, den Zugriff auf ältere IT-Systeme zu vereinfachen und zu automatisieren. APIs sind auch das Mittel, mit dem die Integration in Ökosysteme – und mit Partnern – erreicht wird. APIs sind heute auch das wichtigste Mittel zur Automatisierung und Orchestrierung und damit eine der Schlüsseltechnologien für eine erfolgreiche digitale Transformation. Daher sind APIs für Unternehmen als Quelle der Innovation, effizienten Ausführung und Monetarisierung von strategischer Bedeutung geworden.

Monetarisierung 

In einer digitalen Wirtschaft wird alles, was Einnahmen generieren kann, letztendlich monetarisiert. Dies trifft insbesondere auf APIs zu und Untersuchungen zeigen, dass es sich um eine starke API-Wirtschaft handelt.

  • Mehr als jedes zehnte (11 %) Unternehmen erwirtschaftet mehr als die Hälfte seines Umsatzes durch APIs und API-bezogene Implementierungen. ( Geschäftswert von APIs
  • Unglaubliche 59 % der Unternehmen erwirtschaften zwischen 26 % und 50 % ihres Umsatzes durch APIs. ( Geschäftswert von APIs )

Integration

APIs haben ESB und webbasierte Portale als primäres Mittel zur Business-to-Business-Integration abgelöst. Die Abhängigkeit von APIs als strategische Komponente für den Geschäftserfolg in der digitalen Wirtschaft ist gut dokumentiert.

    o Über 60 % stimmen zu, dass die API-Integration für ihre Geschäftsstrategie von entscheidender Bedeutung ist. ( Stand der API-Integration 2018 )

    o Mehr als 50 % der gesamten B2B-Zusammenarbeit erfolgt über die API-Integration. ( Stand der API-Integration 2018 )

    o 51 % geben „Partnerschaften mit externen Organisationen“ als Hauptgrund für ihre Entscheidung zur Entwicklung von APIs an.
        ( Stand der API 2019

Die Abhängigkeit geschäftlicher und moderner Anwendungsarchitekturen wie Microservices von APIs macht sie zu einem besonders attraktiven Ziel für Angreifer, die wissen, wie wertvoll der Zugriff auf diese Endpunkte oder die Kontrolle über sie ist. Dieses Risiko bedeutet, dass der API-Schicht mehr Aufmerksamkeit gewidmet werden sollte, insbesondere der Sicherung des Zugriffs auf die Geschäftsfunktionen, die sie repräsentiert.

Authentifizierung ist nicht optional

Die Sicherheit von APIs beginnt beim Zugriff. Und das bedeutet Authentifizierung. Offene APIs sollten keine Beschreibung eines API-Zugriffsmodells sein. Dieses Attribut bedeutet, dass die API gut dokumentiert ist und einem Standard folgt. Der Aufruf von APIs sollte immer eine Authentifizierung und im Idealfall eine Autorisierung erfordern.

Es stehen mehrere Optionen zur Verfügung. Bevor Sie eine Auswahl treffen, sollten Sie sich über die Möglichkeiten und Grenzen der einzelnen Optionen im Klaren sein.

  • GUT: HTTP-Grundlagen
    HTTP Basic Auth ist die Standardeinstellung. Es handelt sich dabei um die einfachste und gebräuchlichste Methode, die Authentifizierung von HTTP-basiertem Datenverkehr, wie beispielsweise bei den meisten heutigen APIs, zu erzwingen. Der Nachteil der Basic-Authentifizierung besteht darin, dass Anmeldeinformationen erforderlich sind und diese, wie wir alle wissen, häufig von mehreren Anwendungen gemeinsam genutzt werden. Angreifer nutzen immer häufiger gestohlene (oder offengelegte) Anmeldeinformationen, um Zugriff auf Systeme zu erhalten. Die Stärke der Passwörter und der Ort und die Art ihrer Speicherung tragen ebenfalls zur Gesamtsicherheit dieser Methode bei. Es ist besser als nichts.
  • BESSER: API-Schlüssel
    API-Schlüssel sind eine Stufe über HTTP Basic Auth, da sie vom Herausgeber ausgestellt (und vermutlich auch verfolgt) werden. API-Schlüssel werden zugeteilt und über die Sicherheit hinaus für verschiedene Zwecke verwendet, darunter Messung und Abrechnung. Sie sind jedoch im Allgemeinen statisch, was bedeutet, dass sie möglicherweise extrahiert und von Dritten verwendet werden könnten, um sich als legitimer Benutzer auszugeben. Auch das Teilen von Schlüsseln ist ein echtes Problem. Wie Anmeldeinformationen können und werden Schlüssel von Kollegen und der Familie gemeinsam genutzt. Und je weiter sie verbreitet werden, desto wahrscheinlicher ist es, dass sie von jemandem mit böswilligen Absichten aufgegriffen und verwendet werden.
  • AM BESTEN: Ablaufende Token
    Mit der steigenden Anzahl von APIs ist auch die Verwendung von Token üblicher geworden. Die beiden Favoriten sind heute OAuth-Token (ausschließlich für APIs verwendet) und JWT (JSON Web Tokens). Die Verwendung von JSON als Standardformat für den Austausch von Ansprüchen über den Zugriff auf HTTP-basierte Ressourcen und seine Anwendbarkeit außerhalb von APIs hat dazu geführt, dass JWT heute zu einem der am weitesten verbreiteten Mechanismen für Authentifizierung und Autorisierung geworden ist. Es gibt sogar ein RFC (7519) . Ähnlich wie bei seinem XML-Cousin SAML wird eine JSON-Assertion ausgegeben, die den Zugriffsbereich und die Rolle des authentifizierten Benutzers beschreibt. Es ist äußerst portabel und – was wichtig ist – mit einem Ablaufdatum/-zeitpunkt versehen, sodass es nicht ohne weiteres zum Vortäuschen einer Identität als authentifizierter Benutzer verwendet werden kann. Der Nachteil besteht darin, dass die Integration von Tokens mehr Arbeit erfordert und sie nicht immer nativ unterstützt werden. Dies kann zu Implementierungsfehlern führen, die unbeabsichtigt ein Ausnutzungspotenzial bergen.

API-Sicherheit kann direkt in einer Anwendung oder besser in einem API-Gateway implementiert werden. Ein API-Gateway kann APIs zusätzlich durch Funktionen wie Ratenbegrenzung (um versehentliche oder vorsätzliche Denial-of-Service-Angriffe zu verhindern) und Autorisierung schützen . Durch die Autorisierung wird der Zugriff auf APIs eingeschränkt, indem nur bestimmten Clients, die normalerweise durch Token oder API-Schlüssel identifiziert werden, der Zugriff auf bestimmte API-Aufrufe gestattet wird. Ein API-Gateway kann außerdem die verwendeten HTTP-Methoden beschränken und Versuche protokollieren, andere Methoden zu missbrauchen, sodass Sie über Angriffsversuche informiert sind.

Unsere Abhängigkeit von Anwendungen bedeutet, dass auch die APIs, auf die sie angewiesen sind, geschützt werden müssen. Wenn Sie noch nicht mit den Grundlagen begonnen haben, ist es an der Zeit, loszulegen. Wenn Sie Ihr Unternehmen schützen möchten, benötigen Sie sichere APIs.