IT-Ressourcen von Unternehmen arbeiten in vielen Fällen über APIs (Abkürzung für „Application Programming Interface“) zusammen, um Daten zwischen unterschiedlichen Systemen auszutauschen oder die Services und Apps miteinander zu verbinden. Dabei definieren die APIs, wie Daten von einem Host bereitgestellt und durch einen Client empfangen und verarbeitet werden.
Zum Einsatz kommen hier sowohl interne eigene APIs als auch standardisierte externe. Die Zahl der API-Anfragen und die Menge der hierüber übertragenen Informationen nimmt in den letzten Jahren exponentiell zu – und zugleich die Gefahr durch Malware-Angriffe und Hacks. Denn APIs stellen aufgrund ihrer erforderlichen Sichtbarkeit Risiken dar und machen Unternehmen und ihre IT angreifbarer als zuvor für Cyberattacken. Der Schutz der Integrität solcher APIs und der verbundenen Services und Daten ist deshalb essenziell – und eine zuverlässige API Protection sorgt dafür, dass jeweils die berechtigten Anwender (und nur diese) auf Daten und Services zugreifen können, dass aber sensible Unternehmensdaten vor unautorisiertem Zugriff geschützt sind.
API Security: Schutz auf mehreren Ebenen
Sicherheit lässt sich dabei einerseits bereits bei der Konzeption und Integration einer API in die vorhandenen Systeme erzielen, andererseits aber auch im Hinblick auf das Management der regelmäßigen Nutzung der API. Dabei ist ein weit verbreiteter Irrglaube, dass nur die hierfür autorisierten Partner und Dienstleister mit ihren Apps auf die jeweilige API zugreifen können. Denn viele Angriffsstrategien, gegen die Unternehmen in den letzten Jahren Vorkehrungen getroffen haben, lassen sich über APIs ebenfalls nutzen und müssen somit gesondert im Blick behalten werden.
Zwei Dimensionen der API-Sicherheit
Token, API Gateways und Manager
Vertrauenswürdige Richtlinien für die Autorisierung und Authentifizierung lassen sich beispielsweise mit Hilfe von Token realisieren, über die der Zugriff auf Services und Ressourcen gesteuert wird. Sinnvoll ist der Einsatz eines API-Gateways, das als primäre Kontrolleinheit im API-Datenverkehr agiert. Dies ermöglicht neben der Authentifizierung von Zugriffen auch die Kontrolle und Nutzungsanalyse der verwendeten APIs.
Ergänzen kann dies ein API-Manager, der die Anwendungs- und Entwicklerrollen festlegt und durch eine Zero-Trust-Strategie ergänzt wird. Zusätzlich lassen sich Signaturen als verpflichtendes Element zur Datenverschlüsselung definieren. Selbstverständlich und nicht zuletzt sollten sämtliche Sicherheitspatches und Updates für Betriebssysteme, Netzwerkressourcen, Treiber und API-Komponenten zum Einsatz kommen.
Akamai bietet Lösungen für mehr API Security
So komplex das Thema ist, so umfangreich ist das Portfolio an möglichen Lösungsansätzen: Mehrere valide und nachhaltige Schutzlösungen stellt der Anbieter Akamai bereit, mit dem plusserver als Cloud Security Anbieter zusammenarbeitet. Dabei lässt sich ein Schutz einerseits mit Hilfe des Kona Site Defenders realisieren. Die Lösung, die auf der Intelligent Edge Platform aufbaut, bietet Anwendungssicherheit am Netzwerk-Edge und gewährleistet hochpräzisen WAF-Schutz (Web Application Firewall) auf Basis eines positiven Sicherheitsmodells. Dank des hohen Grades an Automatisierung reduziert sich die operative Komplexität auch für Kunden, die nicht die Zeit oder das Fachwissen haben, um ihre WAF täglich zu verwalten und abzustimmen.
Eine Alternative ist der Web Application Protector, der sich vor allem für den hochautomatisierten Schutz von Webanwendungen in allen Branchen eignet. Bisher basierten die Schutzfunktionen vor allem auf Ratings, Geoblocking und IP-Blacklists. Neue Features ermöglichen die Einbeziehung von intelligenten, automatisierten Angriffsgruppen in das Regelwerk. API-Requests im JSON- und XML-Format lassen sich so automatisch erkennen und im Rahmen der WAF-Regeln bewerten. Diese Regeln werden wie bei Kona Site Defender automatisch aktualisiert, sodass keine zusätzliche Aufgaben für die Administration anfallen. Ein API-spezifisches Reporting verschafft dem Unternehmen zudem Transparenz darüber, wie Endbenutzer mit verfügbaren APIs interagieren.
API Security als notwendiger Sicherheitsfaktor für eine moderne IT
