Barracuda API-Sicherheit

Stoppen Sie API-Angriffe und verbessern Sie das Kundenerlebnis.

Grundlegende API-Sicherheit

Als Reverse-Proxy greifen Barracuda Web Application Firewall und WAF-as-a-Service alle URLs auf und sichern sie gegen Angriffe ab. Somit werden Angriffe, die die reine URL-Oberfläche nutzen, vereitelt und die gesamte URL auf bösartige Eingaben untersucht.

Eingehende Anfragen werden auf zulässige Inhalte geprüft. Die Überprüfung erstreckt sich sowohl auf die Korrektheit des Protokolls als auch auf die zulässige Größe der Anfrage. Durch dieses Vorgehen wird der Parser der Backend-Anwendung vor gezielten Angriffen geschützt.

Mithilfe unserer intelligenten Signaturtechnologie wird der API-Datenverkehr auf Angriffsmuster untersucht. Alle Benutzereingaben werden anhand dieser intelligenten Signaturen validiert, um Angriffe wie XML External Entities, SQL Injections und mehr zu erkennen.

Unter Verwendung der API-Spezifikation erstellt und implementiert Barracuda automatisch eine stufenweise Positive Security, die bis zur wichtigsten Ebene reicht. Diese Implementierung bietet eine zusätzliche Schutzebene für die Signatur-Ebene.

Der ausgehende Datenverkehr kann auf bestimmte Muster wie Sozialversicherungsnummern, Personalausweisnummern, Kreditkartennummern usw. untersucht werden, um diese herauszufiltern und so Datenlecks zu verhindern.

Sichere API-Bereitstellung

Die sichere Reverse-Proxy-Architektur sorgt für ein gehärtetes HTTPS-Frontend. Dieses Frontend implementiert konkrete HTTPS-Protokolle und -Verschlüsselungen, was zu einer besseren Einhaltung von Standards wie NIST und PCI-DSS führt und gleichzeitig Ihren Backend-Stack vor Protokollangriffen schützt.

Unabhängig davon, ob es darum geht, je nach Anwendungsversionen, Headern oder Plattformen unterschiedliche Antworten zu liefern oder A/B-Tests, „Canary“-Bereitstellungen usw. durchzuführen – das Content-Routing-Modul der Barracuda Web Application Firewall ermöglicht eine schnelle Einrichtung und eine einfache API-Bereitstellung.

REST-APIS sind in der Regel „geschwätzig“ und erhöhen den Betriebsaufwand auf dem Backend-Server. Barracuda setzt Verbindungspooling ein, um die Belastung des Backend-Servers zu reduzieren: Hierbei werden eingehende Anfragen auf einen dauerhaft offenen Verbindungspool verteilt. Antwort-Caching und Komprimierung beschleunigen die Antworten auf API-Anfragen, verbessern die Performance für den Endanwender und unterstützen Sie bei der Einhaltung von SLAs.

Bereits ein einziger fehlerhafter Client kann dazu führen, dass die API mitunter überlastet ist. Mit IP-basierten Durchsatzratenbegrenzungen und Teerfallen-Verfahren können Sie Clients, die eine große Anzahl von Anfragen senden, blockieren oder verlangsamen und so Ihren Backend-Server vor Überlastung schützen.

Bot-Protection

Barracuda Web Application Firewall und WAF-as-a-Service sind in der Lage, hochentwickelte Bots, die automatisierte Angriffe gegen Ihre APIs durchführen, zu erkennen und zu blockieren. Die cloud-basierte Ebene mit maschinellem Lernen erkennt selbst die fortschrittlichsten – beinahe schon menschlichen – Bots, welche darauf abzielen, die standardmäßigen Erkennungs- und Präventionsmethoden zu umgehen.

Brute Force attacks are typically used during reconnaissance attempts, and include attacks like directory traversal, credential cracking, and others. Barracuda Web Application Firewall solutions can identify brute force attempts from individual clients and block them.

Viele RESTful-Webservice-APIs werden von Drittanbieter-Aggregatoren betrieben. So kann es beispielsweise dazu kommen, dass Preisvergleichs-Websites die REST-APIs von E-Commerce-Diensten maßlos überlasten. Die Barracuda Web Application Firewall- und WAF-as-a-Service-Richtlinien für Brute-Force und Anti-DDoS tragen dazu bei, einen disziplinierten Zugriff auf die API sicherzustellen.

Die Web Application Firewall-Lösungen von Barracuda bieten einen umfassenden Schutz gegen alle Arten von Volumen- und Anwendungs-DDoS-Angriffen.

Zugriffskontrolle

REST-Anwendungen binden HTTP-Methoden häufig an betriebliche Richtlinien und rollenbasierte Zugriffskontrollen. Oftmals sind nicht alle Verben für jede Ressource gültig. Web Application Firewall-Lösungen von Barracuda können mithilfe von granularen positiven Profiling-Funktionen dabei helfen, festzulegen, welche Methoden auf welchen Ressourcen erlaubt sind.

Barracuda Web Application Firewall-Lösungen können API-Dienste im Voraus authentifizieren oder die Authentifizierung vollständig auf sich selbst in der DMZ verlagern. Neben der einfachen Authentifizierung, OpenID Connect, SAML, LDAP, RADIUS, werden auch Client-Zertifikate, CRL und OCSP unterstützt. Zusätzlich können API-Schlüssel in jedem Teil der Anfrage, einschließlich der Header, zugelassen und validiert werden.

Benutzerfreundlichkeit und Transparenz

Web Application Firewall und WAF-as-a-Service von Barracuda können XML- und JSON-API-Spezifikationen für die automatische Konfiguration von Sicherheitsfunktionen für Ihre APIs importieren. Eine benutzerfreundliche Assistenten-Oberfläche bezieht die Spezifikation mit ein und ermöglicht es Ihnen, verschiedene Sicherheitselemente wie Brute-Force-Schutz, DDoS-Schutz, Authentifizierung und mehr von einer einzigen Oberfläche aus zu konfigurieren und so die Arbeitsbelastung des Administrators zu reduzieren.

Die Web Application Firewall-Lösungen von Barracuda bieten umfangreiche Protokollierungs- und Berichtsfunktionen für alle HTTP-Anfragen und sind mit den wichtigsten SEIM-Anbietern integriert. Auf diese Weise entsteht ein zentralisiertes Prüfungs- und Compliance-Framework für Unternehmens-API-Dienste, die mit personenbezogenen, vertraulichen oder sensiblen Daten befasst sind.

Zudem wird das cloud-basierte erweiterte Analyse-Dashboard von den Daten Ihrer Websites unterstützt, die mit Barracuda Advanced Bot Protection verbunden sind. Dieses Dashboard bietet einen detaillierten Einblick in die Bot-Traffic-Statistiken. So haben Sie die Möglichkeit, jeden erfassten Bot genauestens zu analysieren und Einzelheiten über seine Besuche auf Ihrer Anwendung, den von ihm generierten Traffic, die Quell-IP-Adresse und vieles mehr einzusehen. Die Daten bieten Ihnen tiefe historische Einblicke in den Bot-Traffic und die entsprechenden Auswirkungen auf Ihre Anwendung.