Was ist API-Sicherheit?

API-Sicherheit ist der Schutz von Application Programming Interfaces (APIs) vor Cyberangriffen. Neben Web-Anwendungen sind APIs der Antrieb digitaler Transformation – sie sind aber auch äußerst anfällig für Angriffe. Von SQL Injections bis hin zu falsch konfigurierten Servern: Es mangelt nicht an Cybersicherheitsbedrohungen, die APIs für Angriffe verwundbar machen und zu kostspieligen Datenlecks sowie drastischen Produktionseinbrüchen führen. API-Sicherheitsfunktionen wie API-Erkennung und API-Missbrauchsschutz beispielsweise bei Passwörter können diese Risiken mindern und greifen mit anderen Sicherheitsvorkehrungen wie Bot-Management und Web Application Firewalls (WAFs) für beispielsweise Access Control ineinander, um alle Betriebsumgebungen rundum zu schützen.

Weitere Themen rund um API-Sicherheit:

Was sollte eine API-Sicherheitslösung leisten?

Mit zunehmender Komplexität von IT-Umgebungen wird es auch immer schwieriger, alle APIs zu schützen, die wichtige Komponenten verbinden und Client-Zugriffe ermöglichen.

Umgebungen erstrecken sich mittlerweile über mehrere Clouds, Anwendungen und Anwendungsarchitekturen, einschließlich Open-Source-Plattformen wie Kubernetes. Auch die Zahl ihrer Remote-Benutzer steigt. Daraus ergeben sich mindestens eine Schwachstelle für sensible Daten und neue Herausforderungen im Bereich der API-Security. In diesem Kontext können Sicherheitsmaßnahmen eine passende API-Sicherheitslösung per Cloud oder im eigenen Rechenzentrum für die IT-Sicherheit bereitgestellt werden, unter anderem mit folgenden Funktionen:

  • Schutz für monolithische und neuere Microservice-basierte APIs
  • Botnet-Schutz und -Prävention zur Vereitelung von API-Missbrauch
  • WAF-Integration zur Abwehr von XSS-Angriffen und SQL Injections
  • Automatische Erkennung und Bestandsaufnahme von APIs
  • Positives Sicherheitsmodell für APIs
  • Analysen von API-Sicherheit und -Performance, einschließlich API-Missbrauchserkennung
  • API-Schutz vor JSON- und XML-basierten Angriffen sowie Pufferüberlauf
  • Volumetrischer DDoS-Schutz auch auf Schicht 4–7
  • Zentralisiertes und hoch konfigurierbares Management von Sicherheitsrichtlinien
  • Einheitliches Managementportal mit vollem Cloud-übergreifenden Einblick in Sicherheits-Governance
  • Extrem geringe Latenz und konsistenter Schutz von Anwendungen an jedem Standort
  • Proxy für Anwendungs-Traffic mit DNS- und BFP-Umleitung

Um diese wichtigen API-Management- und -Schutzfunktionen bereitzustellen, können moderne API-Sicherheitsplattformen Technologien wie KI und maschinelles Lernen (ML) nutzen, um sich laufend an neue Bedrohungen auch bei Webapplikationen anzupassen. Für weltweit zuverlässige Performance und Redundanz können zudem mehrere Präsenzpunkte etabliert werden.

Gründe und Methoden für höhere API-Sicherheit

Da sie von Grund auf automatisiert sind, sind APIs besonders anfällig für automatisierte Cyberangriffe, zum Beispiel jene, bei denen gestohlene Anmeldedaten im großen Umfang missbraucht werden (Credential Stuffing). Angriffe über programmierbare Bots, ganz zu schweigen von DDoS-Attacken, stellen ebenfalls konstante Risiken dar.

Außerdem werden diese Bedrohungen mit der zunehmenden Komplexität von Betriebs- und Sicherheitsumgebungen ebenfalls immer ausgefeilter. Im Kern sind Unternehmen mehr denn je von folgenden Faktoren abhängig:

  • In mehreren Clouds bereitgestellte Workloads, geschützt durch einen Flickenteppich aus isolierten Sicherheitstools, die für ihre jeweiligen Umgebungen zuständig sind.
  • Neue Anwendungsarchitekturen entwickelt von Software Entwickler, z. B. auf Microservice-Basis, die neben hoher API-Sicherheit auch hohe Effizienz bei API-Zugriff und -Kommunikation erfordern.
  • Cloud-Management-Konsolen mit Selfservice-Modell, für die andere Kenntnisse als für ältere Anwendungs- und API-Sicherheitslösungen nötig sind.

Bisher wurden zum Schutz von Web-Anwendungen und APIs eigenständige WAFs und DDoS-Schutzmaßnahmen einzeln in jedem Rechenzentrum installiert. In Zeiten von Multi-Cloud-Umgebungen und verstärkter API-Abhängigkeit ist jedoch eine neue Strategie gefordert.

Genauer gesagt, muss diese nicht nur die Zugriffskontrolle im Access Management, Autorisierung und Authentifizierung zur Abwehr fortschrittlicher Bedrohungen umsetzen, sondern auch ganzheitlichen Schutz für eine Cloud-übergreifend konsistente Sicherheitslage gewährleisten. Dieses Maß an umfassender, mehrschichtiger Cybersicherheit sowie optimiertes API-Management ist bei API-Sicherheitslösungen jetzt möglich, dank eines komfortablen Cloud-Service mit Features wie:

Unkomplizierte Bereitstellung und Konfiguration in mehreren Clouds

Unsere API-Sicherheitslösung vereinfacht Betriebsabläufe und Infrastrukturen durch Dashboards, mit denen sich zuverlässige Anwendungs- und API-Security leicht konfigurieren und in jedem Umfang implementieren und aufrechterhalten lässt. Kritische API-Schwachstellen lassen sich vollständig über ein einheitliches Selfservice-Portal absichern – in anderen Worten: Richtlinienkontrolle über eine zentrale Oberfläche.

Standortunabhängiger Schutz für sämtliche APIs und Anwendungen

Über eine API-Sicherheitsplattform können Sie den ein- und ausgehenden Traffic einer verbundenen Anwendung überwachen. Dabei spielt es keine Rolle, ob sie in einer Public Cloud, Private Cloud oder lokal gehostet wird und ob ihre Architektur monolithisch oder Microservice-basiert ist. Wenn sich also Ihre APIs weiterentwickeln und zusätzliche Backend-Services sowie frisch migrierte Anwendungen unterstützen, hält die API-Sicherheitsplattform Schritt und implementiert für alle den passenden Schutz.

Integrierte WAF

Die WAF einer API-Sicherheitsarchitektur ist darauf ausgelegt, Anwendungen und APIs selbst vor den ausgefeiltesten Bedrohungen zu schützen. Anhand von Signaturscanning lassen sich bekannte Angriffe und API-Schwachstellen erkennen. Das positive Sicherheitsmodell schützt vor Zero-Day-Bedrohungen, indem nur für die Umgebung zwingend notwendige Services zugelassen werden.

Mehrschichtige DDoS-Abwehr

DDoS-Angriffe sind vielfältig. Manche Varianten ahmen gar das Verhalten legitimer Anfragen täuschend echt nach. API-Sicherheit kann DDoS-Schutz auf den Schichten 4–7 enthalten, um sowohl volumetrische Angriffe als auch fortschrittlichere Versuche auf Schicht 7 zu vereiteln, die auf API-Schwachstellen abzielen. Ein globales Always-On-Scrubbing-Netzwerk mit hoher Kapazität kann weiteren DDoS-Schutz bieten und sicherstellen, dass nur legitimer Traffic die Infrastruktur des Unternehmens erreicht.

Bot-Abwehr und -Management

Aufgrund ihrer hochgradigen Automatisierung können bösartige Bots Informationen sammeln und APIs mit fälschlichen Anfragen überlasten. Abhilfe können API-Sicherheitstools durch die Echtzeitprüfung von Signaturen und Geräte-Fingerabdrücken schaffen. Die Integration in SIEMs und Collaboration-Plattformen ermöglicht Echtzeit-Dashboards und detaillierte Berichte über Bots und andere API-Sicherheitsbedrohungen.

Höhere API-Sicherheit in Citrix ADC und Citrix ADM

Citrix Web App and API Protection bietet umfassende, integrierte und mehrschichte API-Sicherheit Investitionen in Citrix ADC und Citrix ADM stärken die API-Sicherheit zusätzlich durch Features wie API-Gateways mit anpassbaren Parametern:

  • Der API-Gateway von Citrix ADC bietet eine zentrale Anlaufstelle für API-Aufrufe. Er kann Volumenbegrenzung, Authentifizierung und Autorisierung, Content-Routing und weitere Aufgaben durchführen, um sicheren, zuverlässigen Zugriff auf Backend-Dienste über Ihre APIs sicherzustellen.
  • Citrix ADM vereitelt dank maschinellem Lernen diverse Cyberangriffe, darunter API-basierte übermäßige Client-Verbindungen sowie Kontoübernahmen. Mit den Analysen von Citrix ADM lassen sich Probleme wie WAF- und Bot-Verstöße nachverfolgen.
  • Die API-Sicherheit der ML-basierten Analyseplattform von Citrix ADM stellt keine übermäßigen Ansprüche an CPU und Arbeitsspeicher von Citrix ADC Instanzen. Die Erkennungsfunktionen sind zudem ohne Upgradezwang dauerhaft im vollen Umfang verfügbar.

Allgemein gilt: Für effektive API-Sicherheit müssen zahlreiche Tools ineinandergreifen. API-Management-Lösungen von Citrix schützen Ihre wichtigsten Assets vor Angriffen und stellen sicher, dass Ihre Mitarbeiter von überall aus produktiv arbeiten können.

Zusätzliche Ressourcen

Was bietet Kubernetes?

Kubernetes ist ein Dienst zur Verwaltung von Microservice-Architekturen und lässt sich in den meisten Cloud-Umgebungen bereitstellen. Alle großen Cloud-Plattformen wie Google, AWS und Microsoft Azure unterstützen Kubernetes für eine einfachere Cloud-Migration von Anwendungen. Kubernetes bietet Entwicklern große Vorteile aufgrund von Funktionen wie Serviceerkennung und Load Balancing, automatischen Bereitstellungen und Rollbacks sowie Auto-Skalierung je nach Traffic- und Serverlast.

Wozu wird Kubernetes genutzt?

Containerisierte Anwendungen sind die neueste Methode, um Infrastrukturen von herkömmlichen Servern zu abstrahieren. Laut einer Prognose von Gartner werden bis 2022 über 75 % aller weltweiten Unternehmen containerisierte Anwendungen in der Produktion nutzen.1  Der Grund: Mit der Einführung von DevOps für schnellere Anwendungsbereitstellung zeigte sich, dass Unternehmen dank Containerisierung Cloud-native Anwendungen schneller entwickeln, Services unterbrechungsfrei ausführen und neue Builds effizient managen können.

Was gilt in Kubernetes als Service?

Ein Service in Kubernetes ist eine Komponente, die Pods mit ähnlichen Funktionen gruppiert und deren Auslastung effektiv verteilt. Der Service führt einen Satz aus Pods unter einer gleichbleibenden IP-Adresse und einem DNS-Namen. Werden sie gelöscht, können die anderen Pods über dieselbe IP-Adresse eine Verbindung herstellen. Gemäß der Dokumentation von Kubernetes können sich die Backend-Pods einer Anwendung ändern, ohne dass das Frontend dies widerspiegeln muss.

Kubernetes vs. Docker

Mit Docker-Containern lassen sich gepackte Anwendungen effektiv verteilen. Kubernetes ist auf die Koordination und Verwaltung von Docker-Containern ausgelegt, steht aber in Konkurrenz zu Docker Swarm, einer einfachen Engine zur Container-Orchestrierung mit nativen Clustering-Funktionen. Andere Konkurrenzangebote zu Kubernetes sind zum Beispiel Apache Mesos und Jenkins, ein Servertool zur kontinuierlichen Integration.

Was ist Kubernetes Networking?

Networking ist für die Ausführung der verteilten Systeme aus Knoten und Pods verantwortlich, aus denen Kubernetes-Cluster bestehen. Das Kernkonzept von Kubernetes Networking ist, dass jeder Pod eine eindeutige IP hat, die alle Container in dem Pod gemeinsam haben und die von allen Pods aus nachverfolgbar ist, egal auf welchen Knoten sie sich befinden. Speziell ausgewiesene Sandbox-Container reservieren einen Netzwerk-Namespace, den sich alle Container in einem Pod teilen. So ändern sich Pod-IPs nicht, wenn ein Container aufgelöst wird. Da alle Pods jeweils eigene IP-Adressen haben, können sie in einem Cluster untereinander kommunizieren und werden nicht von mehreren Anwendungen gleichzeitig genutzt. Dieses Modell ähnelt dem virtueller Maschinen, was die Anwendungsportierung von VMs zu Containern vereinfacht.

Kubernetes Load Balancing

In Kubernetes erhält jeder Pod eine eigene IP-Adresse für grundlegendes Load Balancing von Ost-West-Traffic zwischen Microservice-Pods. Ein Kubernetes-Feature namens „kube-proxy“ kann in seinem Standardmodus „iptables“ als grundlegender Load Balancer agieren. Es verwendet regelbasiertes IP-Management entweder nach dem Zufallsprinzip (wenigste Verbindungen) oder per Round-Robin-Auswahl, um Netzwerk-Traffic auf die Pods in einer IP-Liste aufzuteilen.

Kubernetes Ingress

Durch den Mangel an fortschrittlichen Funktionen, wie Load Balancing für Schicht 7 und Observability, bietet kube-proxy nicht das volle Load Balancing von Ingress. Dabei handelt es sich um ein API-Objekt, mit dem Sie Regeln für das Traffic-Routing erstellen können, um den externen Zugriff auf Kubernetes-Cluster zu verwalten. Ingress ist jedoch nur der erste Schritt. Ingress definiert zwar Traffic-Regeln und -Ziele, aber es benötigt eine zusätzliche Komponente, einen Ingress-Controller. Nur dieser gewährt den Zugriff auf externe Services.

Kubernetes Ingress Controller

Kubernetes Ingress Controller verwalten eingehende Anfragen und bieten Routing-Spezifikationen, die auf bestimmte Technologien ausgerichtet sind. Es gibt zahlreiche Open-Source-Ingress-Controller und alle großen Cloud Provider betreiben Ingress Controller, die mit ihren Load Balancern kompatibel sind und sich nativ in andere Cloud-Services integrieren lassen. Häufig werden mehrere Ingress Controller in einem Kubernetes-Cluster ausgeführt, die sich für jede Anfrage auswählen und bereitstellen lassen.

Citrix Lösungen für Kubernetes

Citrix ADC

Kubernetes ist die ideale Plattform für die meisten Unternehmen, die schnell auf Microservices umstellen möchten, denn es ermöglicht schnellere Bereitstellungen, Cloud-Portierbarkeit sowie höhere Skalierbarkeit und Verfügbarkeit. Citrix ermöglicht die umfangreichste Auswahl an Kubernetes- und Open-Source-Plattformen und Tools dank einer flexiblen Plattform zur Anwendungsbereitstellung, mit der Sie im eigenen Tempo auf ein Cloud-natives Modell umstellen können. Vorteile von Citrix ADC:

  • Keine intensiven Umschulungen Ihres IT-Teams erforderlich
  • Umfassender Schutz durch konsistente Sicherheitsrichtlinien über monolithische und Microservice-basierte Anwendungen hinweg
  • Ganzheitliche Observability für Microservices im großen Maßstab zur schnellen und einfachen Fehlerbehebung

Erfahren Sie mehr über Anwendungsfälle und Citrix Lösungen zur Anwendungsbereitstellung für Microservices und Cloud-native Anwendungen.

Zusätzliche Ressourcen

Nächster Schritt