IT-Security: Mehr Sicherheit durch API-Firewalls

Wer eine API öffentlich ins Internet stellt, darf bei der Sicherheit nicht sparen. Spezielle API-Firewalls prüfen Anfragen und Antworten auf legitime Inhalte.

Artikel verschenken

11.06.2024, 08:00 Uhr

Lesezeit: 15 Min.

iX Magazin

Von

Markus Stubbig

IT-Security: Mehr Sicherheit durch API-Firewalls
- Firewall ohne Regelwerk
Einsatz mit Docker
API-Firewall im produktiven Einsatz: Spezifikation erforderlich
Denylist der API-Firewall blockt Token
Performance: API-Firewall schneller als nginx
Ausblick

Der 19-Zoll-Schrank des Securityteams ist voll mit Next-Generation-Firewall, Web-Application-Firewall, SQL-Firewall, IDS/IPS-Appliance – und alles doppelt wegen Ausfallsicherheit und höchster Verfügbarkeit. Wo hat die API-Firewall ihre Existenzberechtigung?

Winkt die genannte Firewallfarm eine Webanfrage durch, kann die API-Firewall prüfen, ob diese Anfrage inhaltlich in Ordnung ist. Das Gleiche gilt für die Antwort von der API an den Client: Entspricht der Inhalt nicht den Sicherheitsrichtlinien, verwirft die API-Firewall den Zugriffsversuch. Bei gewachsenen Softwareprojekten ist es möglich, dass nicht alle verwendeten API-Funktionen dokumentiert sind (Shadow-API). Die API-Firewall arbeitet wie ein Detektiv und deckt die gültigen, aber unbekannten Anfragen auf.

Markus Stubbig ist Systementwickler mit Schwerpunkt Netzwerk und Linux im Automobilumfeld.

Die für den Artikel verwendete API-Firewall stammt von Wallarm, einem Anbieter von Sicherheitsprodukten mit Schwerpunkt auf Cloud und API. Die Firewallsoftware ist Open Source und ohne Registrierung oder Abonnement kommerziell nutzbar. Der interne Aufbau der Firewall entspricht einem Reverse-Proxy-Server, der die Webanfragen entgegennimmt und somit den HTTP-Server für die anfragenden Clients darstellt. Bei einer gültigen Anfrage kontaktiert die Firewall per HTTP den eigentlichen API-Server und übernimmt damit die Rolle des HTTP-Clients. Die Antwort des API-Servers leitet die Firewall an den Fragenden weiter. Für den legitimen Client ist somit nicht erkennbar, dass eine API-Firewall im Spiel ist.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Kühlen mit der Wärmepumpe: Wenn die Fußbodenheizung Kälte liefert

Wärmepumpen heizen nicht nur effizient, sie können Wohnräume auch kühlen. Was das fürs Verteilsystem bedeutet und welche Temperaturen möglich sind.

Wichtiges Wissen: Wärmepumpe

openDesk: Hat die staatliche Microsoft-Alternative eine Chance?

Die Bundesregierung finanziert eine Open-Source-Office-Suite, um den Staat aus der Abhängigkeit von Microsoft zu befreien. Doch das Projekt ist gefährdet.

Die lange Kindheit des Survival-Spiels "7 Days to Die"

Nach über einem Jahrzehnt lässt "7 Days to Die" die Early-Access-Abteilung von Steam hinter sich. Die Geschichte eines außergewöhnlichen Spiels.

Passen auf eine Diskette: Mini-Betriebssysteme ausprobiert

MenuetOS und KolibriOS laufen blitzschnell auf alten x86-Rechnern, bringen GUI sowie Anwendungen mit und passen komplett auf eine 1,44 MByte große Diskette.

, Ki generiert mit Midjourney von Madlen Grunert

Internet aus der Steckdose: Mit Powerline das Netz in der Wohnung verteilen

Powerline-Adapter helfen, wenn das WLAN nicht bis in die letzte Ecke von Haus und Grundstück reicht. Wir testen fünf Sets, die alle eigenes WLAN mitbringen.

Power unterwegs: Powerbanks für iPhone und Co. im Test

Geht dem iPhone auf Reisen der Saft aus, tankt es per Powerbank schnell wieder auf. Das klappt per Kabel oder drahtlos. Wir haben 14 Modelle ausprobiert.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}