IT-Security: Mehr Sicherheit durch API-Firewalls

Wer eine API öffentlich ins Internet stellt, darf bei der Sicherheit nicht sparen. Spezielle API-Firewalls prüfen Anfragen und Antworten auf legitime Inhalte.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Lesezeit: 15 Min.
Von
  • Markus Stubbig
Inhaltsverzeichnis

Der 19-Zoll-Schrank des Securityteams ist voll mit Next-Generation-Firewall, Web-Application-Firewall, SQL-Firewall, IDS/IPS-Appliance – und alles doppelt wegen Ausfallsicherheit und höchster Verfügbarkeit. Wo hat die API-Firewall ihre Existenzberechtigung?

Winkt die genannte Firewallfarm eine Webanfrage durch, kann die API-Firewall prüfen, ob diese Anfrage inhaltlich in Ordnung ist. Das Gleiche gilt für die Antwort von der API an den Client: Entspricht der Inhalt nicht den Sicherheitsrichtlinien, verwirft die API-Firewall den Zugriffsversuch. Bei gewachsenen Softwareprojekten ist es möglich, dass nicht alle verwendeten API-Funktionen dokumentiert sind (Shadow-API). Die API-Firewall arbeitet wie ein Detektiv und deckt die gültigen, aber unbekannten Anfragen auf.

Mehr zu APIs
Markus Stubbig

Markus Stubbig ist Systementwickler mit Schwerpunkt Netzwerk und Linux im Automobilumfeld.

Die für den Artikel verwendete API-Firewall stammt von Wallarm, einem Anbieter von Sicherheitsprodukten mit Schwerpunkt auf Cloud und API. Die Firewallsoftware ist Open Source und ohne Registrierung oder Abonnement kommerziell nutzbar. Der interne Aufbau der Firewall entspricht einem Reverse-Proxy-Server, der die Webanfragen entgegennimmt und somit den HTTP-Server für die anfragenden Clients darstellt. Bei einer gültigen Anfrage kontaktiert die Firewall per HTTP den eigentlichen API-Server und übernimmt damit die Rolle des HTTP-Clients. Die Antwort des API-Servers leitet die Firewall an den Fragenden weiter. Für den legitimen Client ist somit nicht erkennbar, dass eine API-Firewall im Spiel ist.

Das war die Leseprobe unseres heise-Plus-Artikels "IT-Security: Mehr Sicherheit durch API-Firewalls". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.