API-Sicherheit in einer Zero-Trust-Welt
Das traditionelle Konzept eines sicheren Netzwerks verändert sich stärker als je zuvor. Aus diesem Grund planen zahlreiche Unternehmen, die Prinzipien einer Zero-Trust-Architektur (ZTA) zu übernehmen. Viele von ihnen konzentrieren sich darauf, die Vertrauenswürdigkeit der Nutzer zu bewerten und den Zugriff auf sensible Netzwerke, Systeme und Daten über primäre Nutzeroberflächen zu regeln.
Viele ZTA-Initiativen übersehen jedoch die zunehmende Verbreitung des API-basierten Zugriffs (Programmierschnittstelle, Application Programming Interface) auf sensible Anwendungsfunktionen und Daten, wenn sie Methoden zur kontinuierlichen Bewertung der Vertrauenswürdigkeit entwickeln.
In diesem Blogbeitrag widmen wir uns einigen Schnittpunkten zwischen APIs und ZTA. Außerdem erklären wir die ersten Schritte, die Sie ergreifen können, um Ihre ZTA um APIs zu erweitern.
Was ist Zero Trust?
Im Jahr 2010 führte Forrester Research die ZTA-Prinzipien bei gängigen Sicherheitsunternehmenskunden ein. Das Design der ZTA wurde seither deutlich verbessert – sowohl von Forrester als auch von zahlreichen anderen Akteuren der Branche, darunter dem National Institute of Standards and Technology in der NIST Special Publication 800-207.
Einfach formuliert, wird bei Zero-Trust-Frameworks davon ausgegangen, dass standardmäßig kein Nutzer oder Gerät vertrauenswürdig sein kann. Stattdessen sollten sie bei jedem Zugriffsversuch auf eine sensible Ressource einer Bewertung unterzogen werden – und danach weiterhin kontinuierlich bewertet werden.
Seit vielen Jahren war ZTA eher ein Gegenstand von Diskussionen als etwas, das Unternehmen in der realen Welt verfolgen. Aber die globale Migration von Mitarbeitenden ins Homeoffice, die durch die COVID-19-Pandemie noch verstärkt wurde, veranlasste viele Unternehmen, konkrete Pläne zur Einführung der ZTA-Prinzipien umzusetzen.
Was haben APIs und Zero Trust miteinander zu tun?
Die NIST SP 200-807 beschreibt sieben Grundsätze der ZTA. Diese Grundsätze umfassen viel mehr als den API-basierten Zugriff auf Anwendungsfunktionen und -daten, sie zeigen jedoch auch sehr klare Überschneidungen mit der API-Strategie eines Unternehmens.
Die 7 Grundsätze von Zero Trust
Die folgende Tabelle stellt die sieben Grundsätze der ZTA gemäß NIST SP 200-807 dar und gibt Empfehlungen, wie Sie die API-Sicherheitspraktiken Ihres Unternehmens auf diese Grundsätze ausrichten können.
Die 7 Grundsätze der Zero-Trust-Architektur |
Auswirkungen auf die API-Sicherheit |
|---|---|
1. „Alle Datenquellen und Computing-Services werden als Ressourcen betrachtet.“ |
Viele der Anwendungen und Datenquellen im Rahmen der ZTA sind neben direkten Nutzeroberflächen auch über APIs zugänglich. Daher sollte Ihr Modell zur ZTA-Bewertung und Richtliniendurchsetzung auch API-Schnittstellen enthalten. |
2. „Die gesamte Kommunikation wird unabhängig vom Netzwerkstandort gesichert.“ |
Auch wenn APIs nur für die interne Verwendung in einem privaten Rechenzentrum oder einer Cloud-Umgebung vorgesehen sind, sollten Sie Verschlüsselung, Authentifizierung und Autorisierung so implementieren, als wären sie extern, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. |
3. „Der Zugriff auf einzelne Unternehmensressourcen wird pro Sitzung gewährt.“ |
Sie sollten die Vertrauenswürdigkeit bewerten, bevor Sie Zugriff auf eine API-Ressource gewähren. Der Zugriff sollte mit so wenig Berechtigungen wie möglich gewährt werden. Nutzen Sie Verhaltensanalysen, um die API-Nutzung zu überwachen und die Vertrauenswürdigkeit kontinuierlich zu bewerten. |
4. „Der Zugriff auf Ressourcen wird durch dynamische Richtlinien bestimmt – einschließlich des beobachtbaren Status der Identität des Client, der Anwendung/des Dienstes und des anfordernden Assets – und kann andere Verhaltens- und Umweltattribute umfassen.“ |
Um ZTA auf APIs anzuwenden, müssen Sie die beteiligten Akteure identifizieren, einen Geschäftskontext ableiten und Verhaltensanalysen nutzen können, um Abweichungen von normalen Nutzungsmustern zu identifizieren. Ein Verhaltensattribut, das beachtet werden muss, ist Denial of Service über schnelle API-Aufrufe. Deshalb wird eine fehlende API-Ratenbeschränkung in den Open Worldwide Application Security Project (OWASP) API Security Top 10als unbeschränkter Zugriff auf sensible Geschäftsabläufe kategorisiert. Wie NIST anmerkt, „basieren diese Regeln und Attribute auf den Anforderungen des Geschäftsprozesses und dem akzeptablen Risikoniveau.“ |
5. „Das Unternehmen überwacht und misst die Integrität und Sicherheitslage aller eigenen und zugehörigen Ressourcen.“ |
Diese Anforderung basiert auf dem von der US-amerikanischen Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) definierten Konzept der kontinuierlichen Diagnose und Minderung (Continuous Diagnostics and Mitigation, CDM). CDM umfasst Elemente wie Asset Management, Schwachstellenmanagement und Konfigurations-/Einstellungsmanagement. Genau wie physische Vermögenswerte müssen auch APIs kontinuierlich erkannt, klassifiziert und nachverfolgt werden. Ebenso sollten fortlaufende Schwachstellenbewertungen über herkömmliche Netzwerk- und Anwendungssicherheit hinausgehen, um auch mögliche API-basierte Schwachstellen zu erkennen. |
6. „Alle Ressourcen-Authentifizierungen und -Autorisierungen sind dynamisch und werden strikt durchgesetzt, bevor der Zugriff gewährt wird.“ |
Dieses Konzept kann und sollte auf APIs erweitert werden. Unternehmen, die ZTA einführen, sollten die API-Nutzung kontinuierlich überwachen und automatisierte Technologien einsetzen (z. B. Sperren, Begrenzungen, Widerrufen von Anmeldedaten), um zu reagieren, wenn ungewöhnliches oder missbräuchliches Verhalten im authentifizierten und autorisierten API-Datenverkehr erkannt wird. |
7. „Das Unternehmen sammelt so viele Informationen wie möglich über den aktuellen Zustand der Ressourcen, der Netzwerkinfrastruktur und der Kommunikation und nutzt diese, um die Sicherheit zu verbessern.“ |
Um ein effektives Element einer ZTA sein zu können, müssen Ihre API-Sicherheitsmaßnahmen in der Lage sein, Daten über längere Zeiträume hinweg zu erfassen – idealerweise sollte es ausreichend Zeit sein, um subtilen API-Missbrauch zu erkennen. Diese Detailgenauigkeit ist erforderlich, um Verhaltensanalysen sowohl für die Risikobewertung in Echtzeit als auch für kontinuierliche Verbesserungen des ZTA-Designs durchzuführen. Dazu gehört auch die Bereitstellung von On-Demand-Zugriff auf API- und Bedrohungsdaten für Threat Hunter, um mögliche Richtlinienverbesserungen zu identifizieren. Ähnliche Integrationspunkte sollten auch bei den Entwicklungs- und Betriebstools und Workflows erstellt werden, die Ihre Teams verwenden. |
Mit diesen 7 ersten Schritten können Sie Ihre ZTA um APIs erweitern
Eine der größten Herausforderungen für die meisten Unternehmen, die ZTA einführen möchten, ist die Entscheidung, wo man anfangen soll. Im Falle der API-Sicherheit wirkt sich die Implementierung der folgenden Funktionen unmittelbar auf Ihre Sicherheitslage aus und bietet Ihnen gleichzeitig die erforderliche Grundlage, um API-Sicherheit in Ihre zukünftigen ZTA-Pläne zu integrieren.
Implementieren Sie eine kontinuierliche API-Erkennung und verwalten Sie eine genaue Bestandsaufnahme aller APIs und der über APIs zugänglichen Ressourcen.
Werden nicht genehmigte APIs erkannt, überprüfen Sie, dass systematische Workflows bestehen, um diese entweder in die Verwaltung zu bringen oder zu eliminieren.
Implementieren Sie eine solide API-Authentifizierung und -Autorisierung, unabhängig davon, ob es sich um öffentliche oder private APIs handelt.
Identifizieren Sie API-Schwachstellen proaktiv und kontinuierlich, beginnend mit den OWASP API Security Top 10.
Entwickeln Sie Funktionen zur Analyse großer Datensätze Ihres API-Datentraffics, um eine Baseline für normales Verhalten zu bestimmen und Anomalien zu erkennen.
Leiten Sie Erkenntnisse über Bedrohungen und Vertrauenswürdigkeit in ZTA-Policy-Engines weiter, wenn diese über API-Integrationen implementiert werden.
Leiten Sie automatisierte Reaktionen ein, wenn API-Schwachstellen, Bedrohungen und Missbrauch erkannt werden.
Der erste Schritt
Integrieren Sie API-Sicherheit in Ihre ZTA. Finden Sie heraus, was mit Akamai API Securitymöglich ist.
