API’s zijn overal tegenwoordig. Wie verschillende omgevingen, systemen, applicaties of workloads met elkaar wil laten communiceren, doet dat door middel van API’s. Het feit dat API’s de communicatie verzorgen tussen verschillende interne en externe applicaties maakt ze kwetsbaar voor aanvallers. Vooral ook, omdat API’s vaak rechtstreeks toegang hebben tot essentiële systemen, zoals databases.
Daarnaast is het uitgebreid testen van API’s en het vastleggen van gebruikersrechten minder gestandaardiseerd dan bij de deployment van applicaties. Daarom is het voor organisaties van groot belang de security van API’s goed op orde te hebben. In deze tekst leggen we uit aan welke gevaren API’s bloot staan, hoe je API’s kunt beveiligen en welke rol API Management daarbij kan spelen.
Wat is API Security?
API Security komt neer op het gebruik van security-oplossingen voor het beveiligen van application programming interfaces (API’s). Denk daarbij aan het definiëren en handhaven van API-privacyrechten en aan access control naar de API. Daarnaast speelt API Security een rol bij het voorkomen, registreren en oplossen van aanvallen op API’s.
API Security is van groot belang omdat steeds meer gevoelige informatie door die API’s gaat. Hackers hebben het op die informatie voorzien en gaan op een geavanceerde manier te werk om een hack te plaatsen. Het is dan ook noodzakelijk om je API’s inzichtelijk te hebben en goed te beveiligen.
API Security steeds belangrijker
Volgens Gartner maken security-managers zich steeds meer zorgen over de kwetsbaarheid van API’s. Vooral omdat veel API’s niet of onvoldoende gemanaged worden of onvoldoende beschermd zijn. Het is daarom, volgens Gartner, van groot belang een goed API Management Platform in te richten. Dat advies is nodig, omdat het onderzoeksbureau verwacht dat in 2025 minder dan 50% van de API’s afdoende gemanaged zullen worden, ook omdat het aantal API’s zo snel groeit dat het de capaciteit van de API Management tools zal overstijgen.
Tien best practices om API’s te beveiligen
Zoals bij veel vormen van security, gaat het ook bij het beveiligen van API’s in eerste instantie om een aantal basisvoorwaarden. Die zijn vooral van belang als API’s niet alleen intern, maar ook publiek blootgesteld worden.
1. Bewustwording
Zoals geldt voor elke vorm van security, is het ook bij API-beveiliging allereerst een kwestie van bewustwording. Het punt is dat de CISO of Security-afdeling zich over het algemeen weinig zorgen maakt over API’s, het valt vaak buiten hun scope. Anderzijds zijn de developers zich niet altijd van de gevaren van API’s bewust. Noch van hun eigen API’s, noch van de externe API’s waarmee gecommuniceerd wordt. Het is zaak API’s te bouwen volgens het principe van security by design.
2. Inventariseer de API’s
Het is zaak de stack aan API’s continu te inventariseren en na te gaan of ze allen ook daadwerkelijk gebruikt worden. De volgende stap is alle API’s onder te brengen in een API Management Platform. Alleen zo zijn de API’s te managen en te beveiligen.
3. Toegangscontrole
Autorisatie en authenticatie zijn noodzakelijk om API’s te beveiligen. Problemen doen zich vooral voor als API’s in eerste instantie voor intern gebruik zijn ontwikkeld, maar later toch publiekelijk worden blootgesteld. Ook hier geldt: een authenticatie die voor elke API identiek is, is net zo kwetsbaar als het wachtwoord ‘12345’. Iedereen, niet alleen ontwikkelaars maar zeker ook de CISO, moet zich ervan bewust zijn dat API’s de poort vormen tot de meest kritische informatie van een bedrijf.
Wil je jouw Identity and Access Management gelijk vanaf het begin goed regelen?
Nu downloaden4. Beperk rechten
Ga uit van het principe van de minste rechten. Dit betekent dat gebruikers, processen, programma’s, systemen en devices slechts het absolute minimum aan rechten hebben om toegang te krijgen tot, of wijzigingen te brengen aan API’s.
5. Gebruik encryptie
Encryptie kan een belangrijke rol spelen bij API Security. Gebruik hiervoor Transport Layer Security (TLS). Zeker voor bedrijven die regelmatig gevoelige data delen is dit belangrijk.
6. Verwijder informatie die niet gedeeld hoeft te worden
Zoals we al meldden is een API in beginsel een instrument voor developers. Ze bevatten tijdens de ontwerpfase vaak informatie, zoals passwords of aanwijzingen aan collega-programmeurs, die verwijderd moet worden voor de livegang van de API.
7. Deel niet meer data dan nodig
Veel API’s delen te veel informatie. Het kan zijn dat het volume naar de API te groot is na een request, of dat de API te veel data deelt over het eigen endpoint. Wees er zeker van dat API’s alleen die informatie doorgeven die nodig is om de gewenste functie in te vullen.
8. Controleer en valideer de input
Laat input via een API nooit direct in een endpoint of applicatie ‘stromen’ zonder deze data eerst te controleren en valideren.
9. Gebruik rate limiting
Definieer een harde drempel voor het aantal requests per dag per API. Dit kan denial-of-service attacks voorkomen.
10. Vergeet de firewall niet
Denk daarbij aan een webapplicatie firewall die in staat is de API Communicatie te beveiligen.
De rol van API Management bij API Security
API Management stelt organisaties in staat API’s bloot te stellen aan externe partijen en interne devlopers. Met een API Management Platform kunnen developers het maximale uit hun data en services halen. API Management biedt de belangrijkste functies voor succesvolle en veilige toepassingen van API’s binnen een organisatie.
API Security Azure
Het managementplatform zorgt ervoor dat API’s niet zonder controle data uitwisselen. Validatie en ander management is mogelijk. Daarnaast kan de beheerder voor het versterken van de API, Security regels definiëren waaraan de communicatie tussen API’s moet voldoen. Azure API Management is daarmee een betrouwbare, veilige en schaalbare manier om API’s bloot te stellen via het Microsoft Azure platform. Het levert alle essentiële tools die nodig zijn voor onder meer authenticatie en autorisatie. Azure API Management biedt een centrale interface om alle API’s te managen. Het is mogelijk de API’s te monitoren en fouten tijdig te herkennen. Het biedt een mechanisme voor authenticatie en toegangscontrole en controleert de security bij het gebruik van de API’s.
API Security Mulesoft
Het platform van Mulesoft biedt multi-layer bescherming tegen aanvallen. Het beschermt elke API, en de data. Mulesoft API Management neemt kwetsbaarheden weg aan de edge van het netwerk als aanvalspatronen op de API Gateway worden gesignaleerd. Het versterkt de API Security door het configureren van toegangsrechten. Het beschermt gevoelige data om compliancy-problemen te verminderen en zorgt ervoor dat de API maximaal beschikbaar is.
API Security Boomi
Het API Management platform van Boomi adresseert security op drie niveaus: het netwerk, de applicatie en het platform. Deze drievoudige beveiligingsbenadering zorgt ervoor dat data nooit blootgesteld worden aan niet-geautoriseerde partijen, dat de gegevens veilig blijven tijdens de communicatie tussen applicaties of API’s en dat de data voor bevoegden altijd te benaderen zijn. Het Boomi platform is ontworpen met security als prioriteit.
API Security WSO2
WSO2 biedt vele mogelijkheden om de beveiliging van API’s te realiseren volgens de laatste OWASP-standaarden en DDOS preventiemogelijkheden. WSO2 biedt daarnaast een uitgebreide oplossing voor Identity and Access Management (IAM) waarmee IT-afdelingen de volledige controle behouden op de toegang tot de databronnen.
Conclusie
API Security is een doorlopend proces. De technologie staat geen moment stil en datzelfde geldt voor de bedreigingen waar een API dagelijks aan blootgesteld wordt. API Security is daarom geen eenmalige exercitie. Het is een continu proces waarin men moet zorgen dat de API en de onderliggende techniek altijd up-to-date zijn. Scherpte is geboden, om te zorgen dat kwaadwillenden, zoals hackers of studenten, buiten de deur worden gehouden.
Een doordachte beveiliging biedt uitkomst. Het Yenlo’s Connext Platform (beschikbaar als een Platform-as-a-Service-concept) voorziet hierin.
Meer weten over API Security of benieuwd hoe veilig jouw API’s zijn? Plan direct een afspraak.