Moderne Applikationen und Services verlagern die Benutzerführung in die Endgeräte der Benutzer, als Single-Page Application (SPA) im Browser oder als Smartphone-App. Die Kommunikation mit den Servern fokussiert damit auf den Austausch von Prozess-Daten via APIs (Application Programming Interface). Aktuell im Trend sind vor allem REST/JSON-API, die durch die neue Architektur in grossem Umfang exponiert werden und entsprechenden genauso Schutzbedarf vor Web-Attacken haben. Deshalb basiert Airlock API auf Airlock WAF und bringt ein solides Filter-Arsenal für Web Security mit.
Airlock API
Highlights- Durchsetzen der API Spezifikation
- API Keys und Usage Plans
- Mandantentrennung auf REST API
- Verhindert ungültige & unberechtigte Requests
- Blockiert API Attacken
- DevSecOps: garantiert sichere DevOps
- Reporting, Statistiken & Monitoring
- Load Balancing
- Mobile Security
Die OWASP Top 10 API Security Bedrohungen
APIs entwickeln sich voraussichtlich in den nächsten Jahren zur Hauptangriffsfläche von Webanwendungen. OWASP reagiert darauf mit einer neuen und spezialisierten Top-Ten-Liste für API-Security.
Lesen Sie unser Whitepaper "Airlock und die OWASP Top 10 für API Security 2019" und erfahren Sie alles zu den zehn grössten API Security Risiken und wie Sie sich davor schützen können. | |
Lesen Sie den im Heise Magazin veröffentlichten Fachartikel, um mehr über die neue OWASP Top 10 Liste, die Hintergründe und Verantwortlichkeiten zu erfahren. | |
Im Sonderheft des iX Developer Magazins erfahren Sie mehr über die neue und spezialisierte OWASP Top-Ten-Liste und an welchen Stellen Entwickler gefordert sind. | Sonderheft lesen |
Erweiterter API Schutz
Airlock API bietet diverse Schutzmechanismen an, die für APIs massgeschneidert sind. JSON Schema und OpenAPI-Spezifikationen für APIs können auf dem Gateway integriert und durchgesetzt werden. Nur API Calls, die der Spezifikation entsprechen, werden an die internen APIs weitergeleitet. Innovative Funktionen wie Dynamic Value Endorsement (DyVE) erlauben zudem ein dynamisches Whitelisting von erlaubten Werten innerhalb einer API-Interaktion.
API Access Control
Die Zugriffskontrolle auf APIs ist einer der wichtigsten Gründe für den Einsatz von API Gateways. Airlock API validiert Access Tokens und erlaubt rollenbasierte Zugriffsautorisierung für API Endpoints. Im Zusammenspiel mit Airlock IAM unterstützt der Airlock API Security Gateway OAuth 2.0, OpenID Connect 1.0 und SAML 2.0 um Zugriffe auf APIs zu schützen.
Hohe Verfügbarkeit
Airlock API ist ein Reverse-Proxy mit Failover- und Loadbalancing-Funktionen. Damit können angebundene Services auf einfache Weise hochverfügbar gemacht werden. Bei Anpassungen in der Applikationsinfrastruktur (z.B. hoch-/runterfahren zusätzlicher Instanzen) übernimmt Airlock API automatisch und ermöglicht hohe Skalierbarkeit. Ebenso wird TLS vorgängig terminiert, was die APIs entlastet und eine einfache Skalierung ermöglicht.
API Monitoring, Statistiken und Reporting
Das eingebaute dynamische Reporting bietet jederzeit Überblick über sämtliche API-Zugriffe. Access Logs zu API Calls können an Umsysteme weitergeleitet werden und so beispielsweise als Basis für die Monetarisierung von Zugriffen dienen. Interaktive Dashboards liefern eine Übersicht der Angriffsversuche und Spezifikationsverletzungen, zeigen Performance-Probleme auf und machen Back-end-Fehler sichtbar.
Mehr zu Reporting und SIEM Integration
DevSecOps
Airlock API lässt sich dank eines umfangreichen REST APIs einfach in DevOps Pipelines integrieren. Die Auswirkungen von Service Events in einer Microservice-Architektur lassen sich automatisch auf dem API Gateway nachführen. Beispielsweise kann bei einem Service Update automatisch die neue OpenAPI-Spezifikation auf dem API Gateway aktualisiert werden.
Auf zu DevSecOps
In „DevSecOps“ Kulturen hat jedes agile Team einen Sicherheitsexperten. Er erfüllt nichtfunktionale Anforderungen, sodass der Product Owner im Entwicklungsplan auch Security berücksichtigt.
Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.
Deployment
Virtual Appliance
Airlock Cloud Image
Microgateway als Container
Überzeugende Leistung: Gold für den Airlock API Gateway
Nicht nur unsere Kunden, auch die unabhängige Information Security Community ist überzeugt. Der Airlock API Gateway wurde mit Gold bei den Cyber Security Excellence Awards 2022 im Bereich API Security ausgezeichnet. insgesamt konnten die Airlock Lösungen die goldene Auszeichnung sieben Mal gewinnen.