Wie Sie das Sicherheitsrisiko API in den Griff bekommen

Warum Sie Schnittstellen besser schützen sollten
3 Bewertungen
53 %
1
5
2.65
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
35 Downloads  
APIs spielen in modernen Softwarearchitekturen ein wesentliche Rolle. Sie sind der „Kit“, der Applikationslandschaften verbindet und zusammenhält. Häufig werden APIs jedoch gar nicht oder nur unzureichend gesichert. Lesen Sie hier, welche Folgen das haben kann und wie Sie es besser machen.

Inhalt:

Die Entwicklung und Bereitstellung von Software hat sich in den vergangenen Jahr massiv beschleunigt. Konzepte wie DevOps oder Continuous Development / Integration erfordern nicht nur eine neue, agile Arbeitsweise, sondern stellen auch eine neue Herausforderung an die IT-Sicherheit dar. In den schnellen Release-Zyklen, die oft nur noch wenige Tage umfassen, wird vor allem die Absicherung der Schnittstellen gerne vergessen. Entwickler gehen häufig davon aus, dass APIs, die nicht öffentlich gemacht wurden, vor fremden Zugriffen sicher sind. Das ist ein schwerer Irrtum. Wird etwa ein Partnersystem kompromittiert, das über die API kommuniziert, haben die Angreifer vollen Zugriff auf die verbundenen Systeme.

Dieses Whitepaper zeigt, welche Maßnahmen zur API-Sicherung es prinzipiell gibt und welche Vor- und Nachteile die jeweiligen Verfahren haben.

Originalauszug aus dem Dokument:

Die meisten API-Zugriffe beginnen mit API-Schlüsseln. Die erforderliche Logik wird von den meisten Frameworks ohne weitere Konfiguration implementiert. Damit kann eine schnelle Implementierung erfolgen, die aber nicht ausreichend sicher ist. API-Schlüssel werden vom Entwickler erstellt und erben dessen Berechtigungen. Auf den ersten Blick ist dies sinnvoll, aber dabei werden weder die Berechtigungen des Endbenutzers noch seine Aufgaben berücksichtigt. Ein API-Schlüssel kann daher Lese-/Schreibzugriff erlauben, auch wenn der Anwendungsfall nur Lesezugriff benötigt. Da die Schlüssel auf Kontoebene eingerichtet sind, gibt es in der Regel nur einen Schlüssel pro Konto, sodass alle Anwendungen denselben Schlüssel mit unnötig hohen Berechtigungen verwenden.

Die meisten APIs unterstützen nur einen einzigen Schlüssel pro Benutzerkonto und Entwickler verwenden daher Schlüssel zwischen Anwendungen oft wieder, was einen automatischen Ablauf unmöglich und die Rotation zur Herausforderung macht. Wenn ein Schlüssel kompromittiert wird, ein Entwickler das Team verlässt oder ein einfacher Fehler beim Kopieren und Einfügen an der falschen Stelle auftritt, müssen die Besitzer aller betroffenen Anwendungen ein gleichzeitiges Update koordinieren, um die Ausfallzeiten zu minimieren.