So lässt sich die API-Sicherheit bei Cloud-Serviceprovidern bewerten

Unsichere Cloud-APIs bergen eine Vielzahl von Risiken. Kunden und Cloud-Serviceprovider müssen daher auf eine saubere Implementierung achten.

Im jüngsten Bericht der Cloud Security Alliance (CSA) Top Threats to Cloud Computing wurden eine Reihe neuer Risiken vorgestellt, während ältere Risiken modifiziert und neu bewertet wurden. Unter dem Titel The Notorious Nine: Cloud Computing Top Threats in 2013 basiert der Bericht auf Rückmeldungen der Communitys, die sich mit Cloud-Computing und Cloud-Sicherheit beschäftigen. Dabei haben sich viele Personen und Firmen zu ihren größten Sorgen und den Risiken, die ihrer Meinung nach mehr Beachtung im aktuellen Bericht verdienen, geäußert.

Als einer der drei Mitvorsitzenden der für den Bericht zuständigen Arbeitsgruppe habe ich vor kurzem viele Fragen zur Bedrohung Nr. 4 auf der Liste, "unsichere Schnittstellen und APIs", beantwortet. Was bedeutet das genau? Welche Risiken sind damit verbunden? Und wie können Unternehmen diese Cloud-APIs bewerten und sicher machen? In diesem Beitrag werden wir die Sicherheit der Cloud-APIs untersuchen und diese drängenden Fragen beantworten.

Risiko durch unsichere APIs bestimmen

Zunächst als Information für alle, die nicht damit vertraut sind, was Cloud-APIs sind und wie sie verwendet werden: Es handelt sich im Wesentlichen um üblicherweise auf Standards basierende Softwareschnittstellen, die Cloud-Anbieter Kunden zur Verfügung stellen, damit sie ihre Cloud-Dienste verwalten können. APIs dienen dazu, viele gebräuchliche Prozesse beim Cloud-Computing zu erleichtern und die Automatisierung komplexerer Geschäftsanforderungen zu ermöglichen, etwa die Konfiguration unterschiedlicher Cloud-Instanzen bei mehreren Providern und den Einsatz einer fremden Verwaltungsplattform für lokale und Cloud-Systeme.

Cloud-APIs erfordern jedoch besondere Aufmerksamkeit auf Seiten von Cloud-Anbietern und Cloud-Kunden gleichermaßen. Wie im Bericht Notorious Nine angegeben, können unsichere Cloud-APIs eine Vielzahl an Risiken bezüglich Vertraulichkeit, Integrität, Verfügbarkeit und Zuverlässigkeit darstellen. Obwohl alle Cloud-Provider auf die Sicherheit ihrer APIs sorgfältig achten sollten, kann das Ergebnis unterschiedlich ausfallen. Daher ist es so wichtig zu wissen, wie Sie die Sicherheit von Cloud-APIs selbst analysieren können.

Ein guter Ansatzpunkt, um die APIs von Cloud-Providern zu untersuchen, ist Gunnar Petersons PDF-Checkliste Web Services Security Checklist, die viele der auch im CSA-Bericht aufgeführten allgemeinen Problemfelder enthält. Im Folgenden finden Sie einige der für die Kunden wichtigsten Gebiete:

Transportsicherheit. Die meisten APIs sind dafür vorgesehen, über mehrere Kanäle angeboten zu werden, aber APIs, die mit sensiblen Daten interagieren oder solche transportieren, sollten mit einem sicheren Kanal geschützt werden, beispielsweise SSL/TLS oder IPSec. Der Aufbau von IPSec-Tunneln zwischen einem Cloud-Serviceprovider (CSP) und einem Kunden kann sich als große Herausforderung oder als unmöglich erweisen, sodass die meisten zu SSL/TLS tendieren. Das bringt allerdings eine ganze Menge potenzieller Probleme mit sich. Zum Beispiel das Erzeugen und Verwalten von gültigen Zertifikaten einer internen oder (häufiger) externen Zertifizierungsstelle, Konfigurationsprobleme mit Plattformdiensten, die Software-Integration sowie Schwierigkeiten mit einem durchgehenden Schutz, wenn Proxy-Plattformen zwischengeschaltet werden müssen.

Authentifizierung und Autorisierung. Viele Cloud-APIs konzentrieren sich auf die Authentifizierung und Autorisierung. Daher richten auch viele Kunden ihr Hauptaugenmerk darauf. Das sollten Sie CSPs fragen: Können APIs die Verschlüsselung von Benutzernamen und Passwörtern verwalten? Ist es möglich, Attribute für die Zwei-Faktor-Authentifizierung zu verwalten? Lassen sich feinstufige Autorisierungsrichtlinien erstellen und verwalten? Gibt es eine Kontinuität zwischen internen Identitätsverwaltungssystemen und -attributen und denen, die per APIs von Cloud-Providern erweitert wurden?

Code und Entwicklungsmethoden APIs, die JSON- und XML-Nachrichten übergeben oder Eingaben von Benutzern und Anwendungen akzeptieren, müssen hinreichend auf Standard-Injection-Schwachstellen, Angriffe mittels Website-übergreifender Anfragefälschungen (CSRF), Schema-Validierung, Ein- und Ausgabeverschlüsselung usw. getestet werden.

Nachrichtenschutz. Neben der Sicherstellung, dass allgemein bewährte Verfahren bei der API-Entwicklung zum Einsatz kommen, ist besonders die Nachrichtenstruktur, Integritätsprüfung sowie Verschlüsselung oder Kodierung zu berücksichtigen.

Cloud-APIs sicher machen

Wenn ein Unternehmen mit den Problemen, die durch unsichere APIs verursacht werden können, ausreichend vertraut ist, kann es damit fortfahren, einige bewährte Methoden zu implementieren, um sie sicher zu machen. Bestimmen Sie zuerst die API-Sicherheit von Cloud-Providern, indem Sie um Dokumentation zu deren APIs bitten, einschließlich aller vorhandenen Ergebnisse zur Anwendungsbewertung und Berichte, die optimale Sicherheitsverfahren nachweisen, sowie Audit-Ergebnisse im durch den Standard Statement on Standards for Attestation Engagements No. 16 definierten Format oder weiterer Berichte. Die Dasein-Cloud-API bietet ein gutes Beispiel für Cloud-APIs mit einer offenen und umfangreichen Dokumentation.

Kunden sollten die Cloud-Provider nicht nur um die Dokumentation bitten, sondern ebenfalls darum, Penetrationstests und Gefährdungseinstufungen der APIs durchführen zu dürfen. Alternativ können die Cloud-Provider diese Tests selbst übernehmen oder von Dritten vornehmen lassen. Dabei müssen die Resultate unter einer Vertraulichkeitsvereinbarung Kunden und Interessenten zur Verfügung gestellt werden, sodass diese die vorhandenen Sicherheitsmaßnahmen beurteilen können. Die APIs von Webdiensten sollten vor den im Verzeichnis "Open Web Application Security Project" aufgeführten zehn häufigsten Sicherheitslücken bei Anwendungen durch eine Kombination aus Netzwerk- und Anwendungskontrollen sowie optimale Entwicklungsverfahren und gründliche Tests zur Qualitätssicherung geschützt sein.

Zusätzlich bieten viele CSPs Schlüssel als Zugriffs- und Authentifizierungsmechanismus, damit ihre Kunden die Vorteile durch die APIs nutzen können. Der Schutz dieser Schlüssel ist sowohl auf Kundenseite als auch innerhalb der CSP-Umgebung enorm wichtig. Sicherheitsrichtlinien, die das Generieren, Verbreiten, Speichern und Löschen von Schlüsseln regeln, sollten etabliert sein. Zudem sollten die Schlüssel sicher in einem Hardware-Sicherheitsmodul oder einem anderen verschlüsselten und geschützten Dateispeicher abgelegt werden. Vermeiden Sie es, Schlüssel in Konfigurationsdateien, andere Skripte oder direkt in Code einzubetten. Dadurch können Schlüssel-Updates zu einem Albtraum nicht nur für Entwickler werden. Schauen Sie explizit nach CSPs wie Amazon und Microsoft Azure. Diese Anbieter binden Hash-basierte Nachrichten-Authentifizierungscodes in symmetrische Schlüssel ein, um die Integrität zu wahren und zu verhindern, dass gemeinsame geheime Schlüssel in nicht vertrauenswürdigen Netzwerken geteilt werden. Auch Dritte, die APIs eines CSPs verwenden, sollten diesen Rat befolgen und Schlüssel (sowie die Sicherheit von APIs generell) so ernst nehmen wie der CSP.

Fazit

Mit der Verbreitung von Anwendungsentwicklung und -integration in der Cloud überrascht es nicht, dass Cloud-Nutzer die Bedrohung durch unsichere APIs ernst nehmen. Hoffentlich gilt das ebenso für die Provider, sodass dieses Problem nicht auf der CSA-Liste der gefährlichsten Bedrohungen erscheint.

Über den Autor
Dave Shackleford ist Senior Vice President des Forschungsbereichs und Chief Technology Officer (CTO) bei IANS sowie SANS-Analyst, Ausbilder und Kursautor. Er hat hunderte von Unternehmen in den Bereichen Sicherheit, Einhaltung gesetzlicher Bestimmungen sowie Netzwerkarchitektur und Netzwerktechnik beraten. Er ist VMware-vExpert und besitzt breite Erfahrung bei Entwurf und Konfiguration von sicheren virtualisierten Infrastrukturen. Zuvor hat er als Chief Security Officer für Configuresoft gearbeitet. Außerdem als CTO für das "Center for Internet Security" sowie als Sicherheitsarchitekt, -analyst und -manager für eine Reihe von Fortune-500-Firmen. Shackleford ist der Autor des Sybex-Buchs "Virtualization Security: Virtualization Security: Protecting Virtualized Environments", und vor kurzem war er Mitautor des ersten veröffentlichten Kurses über Virtualisierungssicherheit für das SANS-Institut. Aktuell arbeitet er im Vorstand beim SANS Technology Institute und unterstützt den Ortsverband Atlanta der Cloud Security Alliance als Leiter.

Artikel wurde zuletzt im Mai 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Strategien für Zweifaktor-und Multifaktor-Authentifizierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close