API-Sicherheitslösungen

Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth

Verbraucher und Endnutzer erwarten im Web und auf Mobilgeräten eine immer schnellere und dynamischere Nutzererfahrung – ermöglicht durch APIs. Je schneller sich die Nutzung von APIs jedoch verbreitet (manchmal ohne Sicherheitsaufsicht), desto größer ist das Risiko für die zugrunde liegende Infrastruktur des Dienstes. Speziell entwickelte API-Sicherheitslösungen wehren Schwachstellen, API-Fehler, DoS- und DDoS-Angriffe, API-Betrug und andere neue API-Bedrohungen ab.

Mehr erfahren

Abbildung eines Rades von Symbolen, die um das API-Shield zentriert sind

Vorteile

Da Unternehmen immer mehr Dienste über APIs bereitstellen, wird es immer wichtiger, umfassende API-Sicherheit und -Verwaltung einzusetzen.

Die Angriffsfläche minimieren

Verschaffen Sie sich einen klaren Überblick über Ihren API-Bestand mit automatischer API-Erkennung und -Sichtbarkeit

API-Performance verbessern

Überwachen Sie API-Endpunkt-Metriken wie Latenz, Fehler und Fehlerquoten sowie die Antwortgröße für API-orientierte Domains

Volumetrischen und auf Geschäftslogik-basierenden Missbrauch stoppen

Stoppen Sie Denial-of-Service-Angriffe, Versuche von Kontoübernahmen und sonstigen API-Missbrauch, bevor sie Ihre Ressourcen erschöpfen.

Schutz vor Zero-Day-Angriffen auf API-Software

Stoppen Sie Angriffe, die die neuesten Zero-Day-Schwachstellen in Ihrer API-Software ausnutzen – mit KI-gesteuerter Zero-Day-Erkennung und internetweit-erfassten Bedrohungsdaten

FUNKTIONSWEISE

Was ist API-Sicherheit?

Moderne Unternehmen nutzen APIs, um schnelle, überzeugende digitale Erlebnisse zu bieten. APIs – die inzwischen mehr als die Hälfte des von Cloudflare verarbeiteten Internet-Traffics ausmachen — bergen jedoch neue Risiken, da sie Außenstehenden den Zugriff auf eine Anwendung ermöglichen. Dieses Problem wird durch schnellere kontinuierliche Bereitstellungszyklen noch verschärft, wenn die Sicherheitsprozesse übersehen werden.

API-Sicherheit schützt vor API-zentrierten Angriffen, die die Anwendungslogik offenlegen, die Anwendungsperformance stören, sensible Daten preisgeben und andere Bedrohungen darstellen können. Im Vergleich zu den üblichen Sicherheitsdiensten für Webanwendungen bieten API-Sicherheitslösungen einen umfassenderen Geschäftskontext, Erkennungsmethoden und Kontrollen zur Überprüfung der Authentifizierung und Autorisierung.

Schatten-API

Viele Unternehmen haben keinen vollständigen Überblick über ihren API-Bestand. Solche „Schatten-APIs“ können zur Offenlegung von Daten, ungepatchten Schwachstellen, lateraler Bewegung und anderen Risiken führen.

Auf Geschäftslogik basierender Betrug

Bot operators can directly attack the APIs behind workflows such as account creation, form fills, and payments to steal credentials and more.

Unsicherer KI-generierter Code

The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.

Was spricht für Cloudflare?

Wichtige Anwendungsfälle

Schützen Sie APIs, wo immer sie gehostet werden – ohne die Innovation und Produktivität der Entwickler und Entwicklerinnen zu beeinträchtigen.

Schatten-APIs entdecken

Unternehmen können eine API nicht sichern oder verwalten, wenn sie nicht wissen, dass sie existiert. Entdecken Sie alle API-Endpunkte, einschließlich Schatten-APIs, durch Machine Learning- und Session Identifier-Modelle.

Mehr dazu

API-Missbrauch abwehren

Bots und DDoS-Angriffe nutzen zunehmend APIs aus – die in der Regel weniger geschützt sind als Webanwendungen – um Anmeldedaten und Geld zu stehlen. Verhindern Sie API-Missbrauch, indem Sie nur geprüften, vertrauenswürdigen API-Traffic zulassen.

Mehr dazu

Datenlecks erkennen

Schwachstellen in unternehmenseigenen APIs oder bei API-Integrationen von Drittanbietern können zu unberechtigtem Datenzugriff führen. Konsolidieren Sie den Schutz vor Datenlecks für alle SaaS-Anwendungen, Webanwendungen und APIs.

Mehr dazu

API-Performance überwachen und analysieren

API-Fehler können auf Cyberangriffe oder Performance-Probleme der App hinweisen – und letztlich legitimen Datenverkehr verhindern. Erkennen Sie die reale Performance Ihrer APIs und ergreifen Sie dann schnell die am besten geeigneten Maßnahmen.

Mehr dazu

Wichtigste Funktionen

Eine integrierte Plattform für die Sicherheit von Webanwendungen und APIs bietet „Defense in Depth“ für APIs

Integrierte Authentifizierung

Blockieren Sie Anfragen von illegitimen Clients. Authentifizieren und validieren Sie den API-Traffic mit mTLS-Zertifikaten, JSON-Web-Tokens (JWT), API-Schlüsseln und OAuth 2.0-Tokens.

API-Missbrauch erkennen

Erfassen Sie den API-Traffic und stoppen Sie den Missbrauch mit sitzungsbasierten Vorschlägen zur Durchsatzbegrenzung pro Endpunkt und GraphQL Denial of Service (DoS)-Schutzmaßnahmen.

Schemavalidierung

Viele API-Verstöße sind auf permissive Schemata zurückzuführen (die Metadaten, die eine gültige API-Anfrage/Antwort definieren). Die Schema-Validierung blockiert fehlerhafte Anfragen und HTTP-Anomalien, um nur gültige API-Anfragen zu akzeptieren.

Sensible Daten schützen

Erkennen Sie sensible Daten in API-Antworten, die Ihren Server verlassen, und erhalten Sie Warnmeldungen pro Endpunkt.

Sind Sie bereit, Ihre APIs ohne Innovationsverluste zu schützen?

Zum Tarifvergleich

Weitere Informationen

Berichte

Globale Trends und Vorhersagen bezüglich API-Sicherheit

Bericht lesen

E-Book

API-Sicherheit: Ein Leitfaden für CISOs

E-Book herunterladen

Cloudflare Produktübersichten Ressourcen-Hub – Karte 4 – Miniaturansicht

Kurzdarstellung der Lösung

Cloudflare API Shield: Verwaltung und Schutz der APIs, die Ihr Geschäft beflügeln

Kurzbeschreibung anfordern

Blog

Defensive AI: das Framework von Cloudflare zum Schutz vor Bedrohungen der nächsten Generation

Blog lesen

Miniaturansicht - Bericht - Vorlage 1 Diagramme

Artikel

3 Wege zum proaktiven API-Schutz

Artikel lesen

Blog

GraphQL-APIs vor bösartigen Abfragen schützen

Blog lesen

FAQs zu API-Sicherheitslösungen

Wie unterscheidet sich die API-Sicherheit von der Sicherheit von Webanwendungen?

APIs sind aufgrund vieler Eigenschaften einzigartig. So tauschen APIs beispielsweise Daten zwischen Systemen aus, während Webanwendungen von Endnutzern über einen Webbrowser aufgerufen werden. APIs verwenden auch ein anderes Format für die Datenübertragung und greifen direkt auf Backend-Systeme zu. Sie dienen oft als Vermittler zwischen modernen Webanwendungen und ihren Backend-Datenbanken und -Servern. Aufgrund dieser und anderer Unterschiede weichen die Erkennungsmethoden für die API-Sicherheit von denen für die Sicherheit von Webanwendungen ab, selbst bei sich überschneidenden Kategorien von Schwachstellen wie Injektionsangriffen und Zugriffsrisiken.

Was sind gängige API-Sicherheitsansätze?

Es gibt eine Reihe von Ansätzen für Unternehmen, um ihr gesamtes API-Wachstum zu verwalten – API-Verwaltung über den gesamten Lebenszyklus, API-Beobachtung und, ganzheitlicher betrachtet, Schutz von Webanwendungen und APIs („Web Application and API Protection“, WAAP). API Observability-Tols bieten Beobachtungen und Einblicke (und nicht Sicherheit) in die Performance einer API. Die API-Verwaltung über den gesamten Lebenszyklus konzentriert sich oft auf die API-Verwaltung, sind aber in puncto Sicherheit nicht sehr ausgereift. WAAP bzw. Schutz von Webanwendungen und APIs (Web Application and API Protection) wird von Gartner als eine Kategorie von Sicherheitslösungen definiert, die Webanwendungen unabhängig von ihrem Standort schützen sollen. WAAP eignet sich am besten für produktiv geschaltene APIs, Echtzeitüberwachung und Schutz vor Missbrauch, Zero-Day-Bedrohungen und Angreifern.

Wie schützt man REST-APIs?

REST-APIs ermöglichen es einem Client, Ressourcen von einem Server anzufordern, der die Informationen in ihrem aktuellen Zustand an den Client zurückgibt. Angreifer können die API an jedem beliebigen Punkt während des REST-API-Aufrufs und der Antwort angreifen. Um den Missbrauch von REST-APIs zu verhindern, ist es daher erforderlich, nur authentifizierten, „vertrauenswürdigen“ API-Traffic zu autorisieren, um Anfragen von illegitimen Clients zu blockieren. Zu den API-Authentifizierungs- und Autorisierungsmethoden gehören mTLS-Zertifikate, JSON-Web-Tokens, gültige API-Schlüssel, OAuth 2.0-Tokens und andere.

Wie sichern Sie API-Schlüssel?

API-Zugangsschlüssel, die die Authentifizierung von den Anmeldedaten des Nutzers lösen und stattdessen geheime Textzeichenfolgen zusammen mit API-Anfragen senden, ermöglichen einen sichereren Zugang zu APIs. API-Schlüssel können jedoch immer noch durch Man-in-the-Middle-Angriffe, unsachgemäße Verwendung durch Entwickler und problematische Speicherung von Secrets im Quellcode gefährdet sein. JSON-Web-Tokens (JWTs) bieten eine sicherere und flexiblere Alternative zu statischen API-Schlüsseln, solange die JWTs mit sicheren kryptografischen Algorithmen signiert sind, sensible Daten in der Nutzlast vermieden werden und der Ablauf des Tokens erzwungen wird.

Wie testen Sie Ihre API-Sicherheit?

Diverse Metriken können der IT-Abteilung, der Sicherheitsabteilung und den Verantwortlichen für die Anwendungsentwicklung dabei helfen, das Sicherheitsniveau ihrer APIs zu bewerten. Ein Unternehmen mit einem robusten API-Sicherheitsmodell sollte beispielsweise über ein aktuelles API-Inventar verfügen, das zeigt, dass alle APIs datenkonform sind und starke Authentifizierungs- oder Autorisierungsmethoden verwenden. Audits sollten auch durchgeführt werden, um die in API-Anfragen verwendeten offengelegten Anmeldeinformationen zu identifizieren und um nach personenbezogenen Informationen (PII), Kreditkartendaten oder persönlichen Gesundheitsdaten in API-Anfragen/Antworten zu suchen. Es ist möglich, adaptive, intelligente Durchsatzbegrenzungen für APIs festzulegen, die sich nach den beobachteten Traffic-Mustern für jeden Endpunkt richten – auch ein Zeichen für eine fortschrittlichere API-Sicherheit.

Welche Formen des API-Missbrauchs gibt es?

Unter API-Missbrauch versteht man den böswilligen Missbrauch von APIs durch das Ausnutzen von Fehlern in der Geschäftslogik und Schwachstellen in Anwendungen, die das Nutzererlebnis für einen echten Nutzer behindern oder verschlechtern. Bei heutigen APIs kommt es aufgrund fehlender Authentifizierungs- und Autorisierungskontrollen, die als „Broken Object Level Authorization“ (BOLA) und „Broken Function Level Authorization“ (BFLA) bekannt sind, häufig zur Offenlegung von Daten, zu nicht autorisierten Aktionen, zur Umgehung von Sicherheitskontrollen, zur Unterbrechung von Diensten und zur Erhöhung von Berechtigungen.