IT-Security: Mehr Sicherheit durch API-Firewalls

Wer eine API öffentlich ins Internet stellt, darf bei der Sicherheit nicht sparen. Spezielle API-Firewalls prüfen Anfragen und Antworten auf legitime Inhalte.

Artikel verschenken

11.06.2024, 08:00 Uhr

Lesezeit: 15 Min.

iX Magazin

Von

Markus Stubbig

IT-Security: Mehr Sicherheit durch API-Firewalls
- Firewall ohne Regelwerk
Einsatz mit Docker
API-Firewall im produktiven Einsatz: Spezifikation erforderlich
Denylist der API-Firewall blockt Token
Performance: API-Firewall schneller als nginx
Ausblick

Der 19-Zoll-Schrank des Securityteams ist voll mit Next-Generation-Firewall, Web-Application-Firewall, SQL-Firewall, IDS/IPS-Appliance – und alles doppelt wegen Ausfallsicherheit und höchster Verfügbarkeit. Wo hat die API-Firewall ihre Existenzberechtigung?

Winkt die genannte Firewallfarm eine Webanfrage durch, kann die API-Firewall prüfen, ob diese Anfrage inhaltlich in Ordnung ist. Das Gleiche gilt für die Antwort von der API an den Client: Entspricht der Inhalt nicht den Sicherheitsrichtlinien, verwirft die API-Firewall den Zugriffsversuch. Bei gewachsenen Softwareprojekten ist es möglich, dass nicht alle verwendeten API-Funktionen dokumentiert sind (Shadow-API). Die API-Firewall arbeitet wie ein Detektiv und deckt die gültigen, aber unbekannten Anfragen auf.

Markus Stubbig ist Systementwickler mit Schwerpunkt Netzwerk und Linux im Automobilumfeld.

Die für den Artikel verwendete API-Firewall stammt von Wallarm, einem Anbieter von Sicherheitsprodukten mit Schwerpunkt auf Cloud und API. Die Firewallsoftware ist Open Source und ohne Registrierung oder Abonnement kommerziell nutzbar. Der interne Aufbau der Firewall entspricht einem Reverse-Proxy-Server, der die Webanfragen entgegennimmt und somit den HTTP-Server für die anfragenden Clients darstellt. Bei einer gültigen Anfrage kontaktiert die Firewall per HTTP den eigentlichen API-Server und übernimmt damit die Rolle des HTTP-Clients. Die Antwort des API-Servers leitet die Firewall an den Fragenden weiter. Für den legitimen Client ist somit nicht erkennbar, dass eine API-Firewall im Spiel ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fritzbox 7690 im Test: AVMs schneller DSL-Router mit Wi-Fi 7

AVMs Fritzbox 7690 bietet schnelles Wi-Fi-7-WLAN und bringt das Internet per Telefonleitung ins Haus.

Ausprobiert: Windows on ARM mit neuen Snapdragon-X-Prozessoren

Einige der neuen Windows-on-ARM-Notebooks mit Copilot+ haben sich seit deren Verkaufsstart im c't-Labor eingefunden. Wir schildern unsere ersten Eindrücke.

Saharastaub und Pollen: (Warum) sollte ich meine Solaranlage reinigen?

Nach einigen Jahren können vor allem flach montierte Solarplatten siffig aussehen und entsprechend Leistung verlieren. Muss man die Platten zwingend reinigen?

Wegfall des Nebenkostenprivilegs: TV-Anbieter pimpen ihre Angebote

Ab dem 1. Juli 2024 wird der Kabelfernsehanschluss nicht mehr pauschal über die Nebenkosten abgerechnet. Anbieter von IPTV und Sat-TV wittern hier ihre Chance.

Betriebssysteme: Was extra schlanke Windows-Variationen taugen

Für Windows gibt es inoffizielle, minimalistische Variationen. Wir erklären, was Atlas, ReviOS und Tiny11 bringen, wenn man sich auf sie einlässt.

Interview mit VanMoof-Chef Eliott Wertheimer: Pläne nach der Insolvenz

Der neue CEO Eliott Wertheimer erklärt, woran das Unternehmen gescheitert ist, wie es weitergehen soll und warum mehr Produkte den Namen VanMoof tragen werden.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}