Best Practices zum Sichern Ihrer Anwendungen und APIs mit Apigee

Unternehmen auf der ganzen Welt verzeichnen bei Kund*innen, Mitarbeiter*innen und Partnern eine steigende Nachfrage nach digitalen Angeboten. Viele dieser Unternehmen hosten Hunderte von Geschäftsanwendungen in privaten oder öffentlichen Clouds, mit denen ihre Nutzer*innen (also ihre Kund*innen, Partnerunternehmen und Mitarbeiter*innen) in verschiedensten Regionen, Zeitzonen und Kanälen (Web, Mobile, API, VPN, Cloud-Service) interagieren.

Mit der Nachfrage steigt für diese Unternehmen auch der Druck, ihre technische Infrastruktur gegen Cyberangriffe zu wappnen: Wie das FBI mitteilt, ist 2020 die Anzahl gemeldeter Cyberangriffe auf US-Unternehmen um 69 % gegenüber dem Vorjahr gestiegen. Laut einer aktuellen Studie verzeichnen 55 % der Unternehmen mindestens einmal im Monat einen DDoS-Angriff (Distributed Denial of Service). Web- und API-Angriffe können zwar nicht gänzlich verhindert, aber deutlich entschärft werden. 

Viele Unternehmen beschleunigen derzeit ihre digitale Transformation, indem sie ihren Kunden Omnichannel-Erlebnisse anbieten. Dies bedeutet aber auch, dass sie Sicherheit und Datenschutz auf allen Kanälen im Blick behalten müssen. Erreicht werden kann dies nur durch die Implementierung einer robusten Sicherheitsarchitektur und eines Modells zur Durchsetzung der Organisationsrichtlinien, mit dem die Unternehmen neuartige Bedrohungen erkennen, bekämpfen und verhindern können. Doch die Realisierung eines solchen Systems kann eine erhebliche Herausforderung sein. 

Best Practices zum Schutz Ihrer Anwendungen und APIs

Um Unternehmen bei der Bewältigung dieser Herausforderungen zu unterstützen, haben wir vor kurzem Best Practices zum Sichern Ihrer Anwendungen und APIs mit Apigee veröffentlicht. Hierin beschreiben wir bewährte Methoden und Ansätze, die Unternehmen helfen, ihre Anwendungen und APIs mittels Apigee API Management, Google Cloud Armor, reCAPTCHA Enterprise und Cloud CDN zu schützen.

Diese Best Practices setzen auf die Verwendung von Apigee als Proxy-Layer zum Schutz von Backend-APIs, von Google Cloud Armor als Web Application Firewall (WAF), von Cloud CDN für Caching sowie von umfassender Web App and API Protection (WAAP) mit der Google Cloud-Lösung. 

Apigee als Proxy-Layer

In diesem Modell dient Apigee als ein äußerer Layer, der mittels seiner Out-of-Box-Funktionen Ihre Backend-APIs schützen und sichern kann.

Apigee bietet eine breite Palette von Sicherheitsfunktionen, die einheitlich auf alle Ihre APIs angewendet werden können. Auf diese Weise können Anfragen an verschiedene Backends weitergeleitet werden, was auch bei der Migration hilfreich ist. 

Google Cloud Armor als WAF-Layer zusammen mit Apigee

Um Ihr Sicherheitsfundament zu erweitern, können Sie problemlos Google Cloud Armor zusammen mit Apigee aktivieren. Google Cloud Armor bietet WAF-Funktionen (Web Application Firewall) und hilft, DDoS-Angriffe zu verhindern. Darüber hinaus hilft es Ihnen, Ihre Anwendungen vor den in den OWASP Top 10 aufgeführten Risiken zu schützen. Weitere Informationen zum Konfigurieren von Regeln in Google Cloud Armor finden Sie in den Anleitungen zu Google Cloud Armor, oder in unserem Blogpost über Apigee und Google Cloud Armor.

Cloud CDN für Caching

Durch die Verwendung von Cloud CDN (Content Delivery Network) können Sie das globale Netzwerk von Google nutzen, um Inhalte näher an den Nutzer*innen bereitzustellen. Dies verkürzt die Latenzzeiten Ihrer Websites und Anwendungen. Zudem bietet Cloud CDN Caching-Funktionen für noch schnellere Antworten. Damit sichern sie das Backend, weil Anfragen vom Cache abgefertigt und Datenverkehrsspitzen abgefangen werden. Dies kann auch dazu beitragen, die Auslastung von Webservern, Rechenkapazitäten und Netzwerken zu minimieren. Um diese Architektur zu implementieren, müssen Sie Cloud CDN an dem Load-Balancer aktivieren, der den Apigee-Datenverkehr bedient. Mehr dazu erfahren Sie in diesem Blogpost.

Implementierung von umfassender Web App and API Protection (WAAP)

Zur weiteren Verbesserung Ihres Sicherheitsprofils können Sie auch WAAP verwenden, das Google Cloud Armor, reCAPTCHA Enterprise und Apigee kombiniert, um Ihr System vor DDoS-Angriffen und Bots zu schützen. Außerdem bietet es eine Web Application Firewall (WAF) und API-Schutz.

Wir empfehlen WAAP für Unternehmensanwendungen, bei denen die API-Aufrufe von einer Website oder mobilen Anwendungen aus erfolgen. Sie können Anwendungen so konfigurieren, dass sie die reCAPTCHA-Bibliotheken laden, um ein reCAPTCHA-Token zu generieren und es zusammen mit einer Anfrage zu senden. Mehr über WAAP lesen Sie in diesem Blogpost oder in diesem Whitepaper.

Nächste Schritte

Je mehr Unternehmen sich auf den Weg der digitalen Transformation begeben, desto stärker werden Systeme und Geschäftskanäle auf digitalen Interaktionen basieren. Damit einher geht ein signifikant höherer Bedarf an Sicherheits- und Schutzmaßnahmen. Eine Architektur, mit der Ihr Unternehmen schnell und effizient handeln und gleichzeitig den Schutz vor Bedrohungen und die Transparenz verbessern kann, ist von größter Bedeutung.  

• Machen Sie den ersten Schritt mit dem Cloud-Architekturmodell anhand unserer Best Practices zum Sichern Ihrer Anwendungen und APIs mit Apigee.

• Informieren Sie sich in unserem Cloud Architecture Center über die OWASP Top 10 2021 – Optionen zur Risikominimierung in Google Cloud und erfahren Sie, wie Apigee und andere GCP-Produkte dazu beitragen, die OWASP-Top-10-Angriffe zu entschärfen.

• Schauen Sie sich das Video zur Verbesserung der API-Sicherheit mit Apigee und Cloud Armor an (in englischer Sprache verfügbar).

• In diesem Video lernen Sie, wie Sie Ihre APIs vor sechs häufigen Sicherheitsbedrohungen schützen (in englischer Sprache verfügbar).

• Stellen Sie Ihre Fragen und lesen Sie die Antworten in der Apigee-Community.