Bewährte Verfahren für die Absicherung von Cloud APIs

Die Nutzung und die Möglichkeiten von APIs haben in den letzten zehn Jahren erheblich zugenommen. Dies resultiert aus sich verändernden Verhältnissen, was die Interaktion von Diensten, Anwendungen und Komponenten betrifft. Und das trifft in keinem Bereich mehr zu als in der der Cloud, wo die Verfügbarkeit und Nutzung von APIs eher die Regel als die Ausnahme ist.

Kein Wunder also, das APIs (Programmierschnittstellen) zu einem wichtigen Ziel für Angreifer geworden sind. Dies, weil sie oft angreifbar sind, eine Vielzahl von Schwachstellen und Konfigurationsproblemen aufweisen. Zudem sind einige APIs von Natur aus weniger sicher als andere.

Bewährte Verfahren zur Absicherung von Cloud-APIs

Obwohl die bewährten Verfahren für die API-Sicherheit gut dokumentiert sind, sollten Sicherheits- und Technikteams die folgenden Cloud-spezifischen API-Sicherheitsüberlegungen berücksichtigen.

1. Bestandsaufnahme und Erkennung genutzter Cloud-APIs

Bei Cloud-Diensten ist fast selbstverständlich, dass sie APIs bereitstellen. Es ist zwingend erforderlich, dass Unternehmen eine kontinuierliche Bestandsaufnahme und Erkennung durchführen, um festzustellen, welche Dienste verwendet werden, wo sie verfügbar sind und welche APIs mit ihnen verbunden sind.

Es ist nicht ungewöhnlich, dass selbst eine überschaubare Cloud-Präsenz in gängigen PaaS- und IaaS-Umgebungen Hunderte oder sogar Tausende von einzigartigen API-Funktionen umfasst. Die Erstellung eines Inventars der APIs, ihrer Funktionen und der Stellen, an denen sie ausgesetzt sind, kann die API-Sicherheit in der Cloud insgesamt verbessern.

2. Sicherheit vor den Cloud-APIs hinzufügen

Unternehmen sollten in Erwägung ziehen, DDoS-Schutz und Web Application Firewalls (WAFs) vor offenen APIs einzusetzen. DoS (Denial of Service) ist ein häufiger Angriff auf offene Cloud-APIs. Viele APIs können auch abgefragt und angegriffen werden, um Daten abzugreifen oder unerwünschte Eingaben in Anwendungen einzuführen. Führende Cloud-Service-Anbieter (CSP, Cloud Service Provider) bieten WAF und DDoS-Schutz als Cloud-native Optionen für alle API-Eingangspunkte an. Produkte von Drittanbietern sind ebenfalls verfügbar.

API-Gateway-Dienste und -Plattformen bieten zunehmend eine Vielzahl von Sicherheitsfunktionen, die viele Entwicklungs- und Betriebsteams ohnehin zu nutzen gedenken. Achten Sie auf Optionen zur Rate Limiting (Anzahl der Anfragen), Datenmaskierung, verteiltes Routing an mehrere Backends und die Integration mit anderen DDoS-Schutz- und WAF-Diensten.

3. Optimierung der Identitäts- und Zugriffsverwaltung von Cloud-APIs

Eine der größten Sicherheitsherausforderungen im Zusammenhang mit Cloud-APIs ist die schwache oder fehlerhafte Authentifizierung und Autorisierung. Unternehmen sollten der Identitäts- und Zugriffsverwaltung von Cloud-APIs bei der Entwicklung und Bereitstellung von Cloud-Anwendungen und -Diensten Priorität einräumen.

Bewerten Sie zunächst die für APIs verwendeten Berechtigungen, sowohl für externe Schnittstellen und Abfragen als auch für die interne Kommunikation von Dienst zu Dienst. Weisen Sie, wo immer möglich, Dienstrollen mit minimalen Privilegien zu, um die Möglichkeiten von APIs im Falle einer Übernahme oder eines Eindringens zu begrenzen. Als nächstes sollten Sie überall eine starke Authentifizierung für APIs implementieren. Viele Cloud-APIs verwenden systemeigene API-Schlüssel oder eine einfache Authentifizierung, aber stärkere Methoden wie JSON Web Tokens (JWTs) helfen dabei, die Verwendung statischer Schlüssel zu verhindern, die von Angreifern gekapert und ausgenutzt werden könnten. JWTs umfassen auch Authentizitäts- und Non-Repudiation-Funktionen mit digitalen Zertifikaten. Neben der Konzentration auf Rollen mit den geringsten Rechten für alle APIs sollten Sie auch die Verwendung von OAuth 2.0 für die Authentifizierung in Betracht ziehen. Es verwendet JWTs für alle Client-Server-Interaktionen mit RESTful APIs.

4. Protokollierung und Überwachung von ungewöhnlichen Anfragen

Die Protokollierung und Überwachung von API-Aktivitäten ist in der Cloud etwas einfacher. Alle APIs sind untrennbar mit der Struktur des CSP verbunden, so dass Protokollierungsdienste wie AWS CloudTrail, Amazon CloudWatch und Google Cloud Logging alle API-Aktivitäten aufzeichnen können, die dann auf ungewöhnliche Anfragen oder Verhaltensweisen überwacht werden können. Viele Front-End-Gateway-Plattformen und -Dienste bieten ebenfalls starke Protokollierungsfunktionen. Der Nachteil der Cloud-API-Protokollierung ist das schiere Volumen und der Umfang der Anfragen. Es gibt oft viel mehr Protokolle, als die Betriebs- und Sicherheitsteams bewältigen können, und viele von ihnen sind vom Standpunkt der Sicherheit aus nicht besonders nützlich.

Viele bewährte Verfahren für die API-Sicherheit gelten gleichermaßen für Cloud-Umgebungen und für herkömmliche Anwendungen. Die größte Gefahr für viele Teams ist die Exposition von Cloud APIs. Stellen Sie also sicher, dass Sie internetfähige APIs erkennen, bevor es Angreifer tun.