Erweiterte API-Sicherheit – Übersicht

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Advanced API Security überwacht Ihre APIs kontinuierlich, um sie vor Sicherheitsbedrohungen zu schützen, einschließlich Angriffen durch böswillige Clients und Missbrauch. Advanced API Security analysiert Ihren API-Traffic, um verdächtige API-Anfragen zu identifizieren, und bietet Tools zum Blockieren oder Kennzeichnen dieser Anfragen. Darüber hinaus wertet Advanced API Security Ihre API-Konfigurationen aus, um sicherzustellen, dass sie den Sicherheitsstandards entsprechen. Außerdem erhalten Sie Empfehlungen zur Verbesserung, falls erforderlich.

Die erweiterte API-Sicherheit wirkt sich nicht auf den Laufzeittraffic aus.

Das folgende Diagramm veranschaulicht die Funktionsweise von Advanced API Security.

Advanced API Security verwendet den folgenden Prozess, um Ihre APIs zu schützen:

1. Advanced API Security erfasst Daten für aktuellen Traffic, der über Ihre APIs geleitet wird.
2. Advanced API Security analysiert die Daten, um ungewöhnliche Trafficmuster zu erkennen, die auf eine Bedrohung für Ihre APIs hinweisen.
3. Advanced API Security stellt die Ergebnisse der Analyse auf den folgenden Seiten in der Apigee-Benutzeroberfläche dar:
   • Missbrauchserkennung
   • Sicherheitsberichte
   • Risikobewertung
4. Nachdem Sie die Analyse überprüft haben, können Sie Anfragen von bestimmten IP-Adressen über die Seite Sicherheitsaktionen blockieren oder kennzeichnen. Sie können auch Sicherheitswarnungen erstellen, die Sie über Ereignisse im Zusammenhang mit Advanced API Security informieren.

Hinweis: Advanced API Security unterstützt keine APIs, die unter Apigee Adapter for Envoy ausgeführt werden.

Erweiterte API-Sicherheit verwenden

Erweiterte API-Sicherheit ist als kostenpflichtiges Add-on für die folgenden Organisationstypen verfügbar:

• Apigee-Organisationen mit Abo- und „Pay as you go“-Tarifen
• Apigee Hybrid-Organisationen
• Apigee-Organisationen, für die der Datenstandort aktiviert ist. Informationen zur Verwendung mit DRZ-fähigen Hybridorganisationen finden Sie unter Datenstandort und Apigee Hybrid.

Wenn Sie die erweiterte API-Sicherheit verwenden möchten, müssen Sie sie zuerst aktivieren, wie in den folgenden Abschnitten beschrieben:

• Erweiterte API-Sicherheit für „Pay as you go“-Organisationen verwalten
• Erweiterte API-Sicherheit für Abo-Organisationen verwalten

Sie können die erweiterte API-Sicherheit in jeder Testorganisation kostenlos testen. Weitere Informationen erhalten Sie von Apigee Sales.

Features von Advanced API Security

In den folgenden Abschnitten werden die Funktionen von Advanced API Security kurz beschrieben.

Missbrauchserkennung

Mithilfe der Missbrauchserkennung können Sie Sicherheitsvorfälle in Verbindung mit Ihren APIs sehen. Ein Sicherheitsvorfall ist eine Gruppe erkannter Sicherheitsereignisse, die miteinander zusammenhängen. Advanced API Security verwendet Erkennungsregeln, die auf den Algorithmen des maschinellen Lernens von Google basieren, um Muster zu identifizieren, die Anzeichen für bösartige Aktivitäten sind, einschließlich API-Scraping und Anomalien. Sie können dann mithilfe von Sicherheitsmaßnahmen Maßnahmen ergreifen, um diese Bedrohungen abzuwehren.

Sicherheitsberichte

Sicherheitsberichte bieten Ihnen eine detaillierte Analyse der Sicherheitsbedrohungen für Ihre APIs. Sie können beispielsweise Berichte für die Anzahl schädlicher Anfragen nach verschiedenen Dimensionen erstellen, z. B. dem Land der Herkunft der Anfrage. Sie können diese Berichte auf der Apigee-Benutzeroberfläche oder über die API anzeigen lassen.

Risikobewertung

Mit der Risikobewertung können Sie APIs ermitteln, die nicht den Sicherheitsstandards entsprechen. Die Risikobewertung wertet Ihre API-Konfigurationen regelmäßig aus und berechnet Punktzahlen, um ihr Sicherheitsniveau zu bewerten. Wenn eine niedrige Punktzahl auf ein Konfigurationsproblem hinweist, gibt Advanced API Security Empfehlungen zur Behebung des Problems.

Sicherheitsaktionen

Mit Sicherheitsaktionen können Sie definieren, wie Apigee erkannten Traffic auf der Grundlage von Informationen auf der Seite zur Missbrauchserkennung verarbeitet. Sie können beispielsweise eine Sicherheitsaktion erstellen, um Anfragen von einer IP-Adresse abzulehnen, die als Missbrauchsquelle identifiziert wurde.

Sicherheitswarnungen

Sie können Sicherheitswarnungen konfigurieren, um Benachrichtigungen zu erhalten, wenn Advanced API Security Ereignisse in Bezug auf Advanced API Security erkennt, z. B. Änderungen an Ihren Sicherheitspunktzahlen oder Sicherheitsvorfällen.

Datenverschleierung mit der erweiterten API-Sicherheit

Advanced API Security verwendet Daten, die verschleiert werden, um sensible Daten durch einen Hashwert zu ersetzen. Informationen zur Datenverschleierung finden Sie unter Nutzerdaten für Apigee API Analytics verschleiern.

Wenn die Verschleierung konfiguriert ist, werden Advanced API Security-Prüfungen wie in der Missbrauchserkennung und Sicherheitsaktionen vor der Verschleierung angewendet. So ist es beispielsweise möglich, Missbrauch von einer bestimmten IP-Adresse zu erkennen, auch wenn die IP-Adresse verschleiert ist. Verschleierte Werte wie die Client-IP-Adresse sind für Nutzer in den Benutzeroberflächen oder APIs für Advanced API Security nicht im Klartext (unverschlüsselt) sichtbar. Die gehashten Werte werden angezeigt.

In einigen Fällen müssen Sie einen nicht verschleierten Datenwert abrufen, um ihn mit Advanced API Security zu verwenden. Möglicherweise benötigen Sie beispielsweise eine Client-IP-Adresse, um eine Sicherheitsaktion zu konfigurieren. Wenn der Wert bereits verschleiert ist, können Sie die IP-Adresse im Klartext nicht abrufen. Die Verwendung des verschleierten (gehashten) Werts in der Konfiguration der Sicherheitsaktion funktioniert nicht, da bei der Datenverschleierung ein Einweg-Hash verwendet wird und Advanced API Security den gehashten Wert nicht wieder in den Klartextwert umwandeln kann.