API-Sicherheit: Best Practices für die Erfassung von API-Aktivitätsdaten

Vier Empfehlungen für eine effektive API-Datenerfassung

Unsere vier Empfehlungen für eine effektive API-Datenerfassung lauten: 

1. Beginnen Sie mit einem möglichst umfassenden Blickwinkel.

2. Vertiefen Sie Ihren primären API-Monitoring-Stack.

3. Bereinigen Sie Ihre API-Aktivitätsdaten.

4. Unternehmen Sie den ersten Schritt hin zu einer besseren API-Erkennung und erweiterten Bedrohungserkennung. 

Beginnen Sie mit einem möglichst umfassenden Blickwinkel

Bei der Entwicklung Ihres API-Sicherheitsansatzes ist eine umfassende Sichtbarkeit unerlässlich. Wenn Sie bereits einen allgemein standardisierten API-Bereitstellungs- und -Verwaltungsprozess eingerichtet haben, konzentrieren Sie sich wahrscheinlich auf eine API-Datenerfassung, die diesem Standardprozess entspricht. Jedoch ist das Erkennen unerwarteter Ereignisse vermutlich ein wichtigerer Bestandteil Ihrer API-Sicherheitsstrategie. 

Schließlich stellen nicht autorisierte APIs, die außerhalb Ihres genehmigten Prozesses implementiert wurden, und vergessene Shadow-APIs, die auf älteren API-Stacks erstellt wurden, voraussichtlich ein größeres Risiko dar als neue APIs auf Ihrem primären Stack. Achten Sie darauf, dass die Mechanismen zur Erfassung von API-Daten es Ihnen ermöglichen, Ihre APIs mit kontinuierlicher Erkennung zu finden. 

Dies ist ein Bereich, in dem Traffic-Überwachung und Protokollierung einen Vorteil gegenüber hostbasierten Sensoren haben. Eine Spiegelung des Traffics von wichtigen Punkten im Netzwerk und die Verwendung von Protokollen (z. B. von API-Gateways) bieten per Definition eine breite Abdeckung, bei der nicht genehmigte API-Aktivitäten eher erfasst werden – solange Ihr API-Sicherheitssystem so konzipiert ist, dass diese erkannt werden. Im Gegensatz dazu sehen die meisten Arten von hostbasierten Sensoren, insbesondere die Codeinstrumentierung, nur Aktivitäten der spezifischen API-Hosts, die mit Sensoren ausgestattet sind.

Auch wenn Sie die umfassendere Transparenz nutzen, die Protokollierung und Traffic-Überwachung bieten, ist es dennoch wichtig, tote Winkel zu suchen und zu beseitigen. In Hybrid Cloud und Multicloud -Umgebungen fließt API-Traffic häufig an vielen verschiedenen Orten, auf die jeweils separat zugegriffen werden muss. (Wie Sie das Compliance-Team davon überzeugen können, dass vertrauliche Daten in detaillierten Protokollen geschützt sind, erfahren Sie im Abschnitt zur Datenbereinigung weiter unten in diesem Beitrag.)

Vertiefen Sie Ihren primären API-Monitoring-Stack

Protokoll- und Traffic-Daten können aus vielen verschiedenen Quellen stammen. Hinsichtlich der Abdeckung ist es hilfreich, diese Daten aus Infrastrukturquellen zu sammeln, wie Paketbroker, Cloud-Plattformen, API-Gateways, Container- und Mesh-Orchestrierungstools, Proxys, Content Delivery Networks, Web Application Firewallsund zentralisierten Protokollierungsplattformen. 

Die Abdeckung, die diese Plattformen bieten, eignet sich hervorragend für eine Baseline-API-Erkennung. Aber es ist ebenso wichtig, bei der Entwicklung Ihres Ansatzes für die API-Datenerfassung die Tiefe und Genauigkeit der Daten zu berücksichtigen.

Angenommen, Sie erfassen Aktivitätsdaten direkt aus Ihrem API-Gateway. Es ist nicht garantiert, dass die Protokolle Ihres API-Gateways ausreichend Details enthalten, um die fortschrittlichsten Arten von Verhaltensanalysen durchzuführen. Selbst wenn beispielsweise alle HTTP-Aktivitäten in den Protokollen angezeigt werden, können Anfrage- und Antwortheader unterschiedlich detailliert sein. Und je nach Anbieter können nützliche Daten wie Nachrichten-Payloads möglicherweise vollständig fehlen.

Für Plattformen wie Akamai API Security, die die an der API-Aktivität beteiligten Entitäten identifizieren, den Geschäftskontext zusammenfügen und nach Verhaltensanomalien Ausschau halten, kann eine zusätzliche Datentreue, die durch Technologien zur Spiegelung des API-Traffics bereitgestellt wird, von unschätzbarem Wert sein.

Bereinigen Sie Ihre API-Aktivitätsdaten

Der Großteil dessen, was wir bisher behandelt haben, konzentriert sich auf die Erfassung eines möglichst breiten und tiefgreifenden Satzes an API-Aktivitätsdaten. Damit wird gewährleistet, dass Ihre API-Erkennung und Sicherheitsanalysen so umfassend wie möglich sind und dass Sie über die notwendige Grundlage für Verhaltensanalysen verfügen, die erforderlich sind, um modernen API-Bedrohungen einen Schritt voraus zu sein.

Bevor Sie also einem Sicherheitsanbieter erlauben, Ihre API-Aktivitäten zu analysieren, muss dieser Ihnen demonstrieren können, dass er in der Lage ist, die Daten zu bereinigen, bevor sie Ihre lokalen oder virtuellen Private-Cloudumgebungen verlassen.

Mit dieser Art von Cloudsicherheits- Modell können Sie ruhigen Gewissens zulassen, dass die Sensoren Ihres Anbieters detaillierte Daten zur Analyse an die Cloud senden, während Sie gleichzeitig sensible Nutzerdaten und Ihr geistiges Eigentum schützen.

Unternehmen Sie den ersten Schritt hin zu einer besseren API-Erkennung und erweiterten Bedrohungserkennung

Die Ermittlung der besten API-Datenerhebungstechniken für Ihr Unternehmen – und die Entscheidung, wie die Vor- und Nachteile zwischen ihnen am besten abgewogen werden sollen – mag abschreckend erscheinen. Das muss aber nicht sein. 

Das Team von Akamai begleitet Sie auf diesem Weg und achtet darauf, dass bei Ihrem Ansatz die neuesten Best Practices berücksichtigt werden. Lesen Sie mehr darüber, wie wir einen weiteren Kunden von Akamai auf diese Weise unterstützt haben.