ShpilbergStudios - stock.adobe.c
Welche Security-Bedrohungen gibt es bei CPaaS-Anbietern?
Echtzeitkommunikation über APIs wird gerne eingesetzt. Sie sollten aber die Sicherheitsrisiken kennen und wissen, wie Sie ihre Infrastruktur optimal schützen können.
Echtzeitkommunikation über APIs und Communication Platforms as a Service (CPaaS) ist normalerweise sicherer als die Nutzung von Services im eigenen Haus oder Eigenentwicklungen. Ein Grund dafür ist, dass CPaaS-Anbieter für Skalierbarkeit auslegt sind. Ein weiterer Grund ist, dass APIs und CPaaS-Angebote häufig aktualisiert werden.
Bekannte Schwachstellen werden schnell und effizient gestopft. Allerdings gibt es vier anfällige Bereiche, wenn Sie Echtzeitkommunikation mit APIs und CPaaS nutzen.
1. Offenlegung von Anmeldedaten
Wollen Sie auf die APIs der CPaaS-Anbieter zugreifen, brauchen Sie dafür Anmeldedaten. Auf die müssen Sie aber gut aufpassen. Hinterlegen Sie Anmeldedaten wie zum Beispiel API-Schlüssel in den Repositories für die Versionskontrolle, ist das eine Art Schwachstelle. Dabei ist es egal, ob sie intern oder extern verwaltet werden. Sie wissen oft nicht, wer darauf Zugriff hat und mit wem Sie den Code teilen.
Mithilfe gestohlener Anmeldedaten können Angreifer auf Ihre Infrastruktur zugreifen. Möglicherweise wird Ihr API missbraucht und es kommt in Ihrem Kommunikationsservice zu Datenlecks.
2. Missbrauch der API
Hat eine dritte Partei Zugriff auf die Anmeldedaten Ihres Kontos, kann sie es kostenlos nutzen. Möglicherweise werden Budget und Ressourcen durch Ihre CPaaS-Plattform verbraucht, die Sie dringend selbst benötigen. Es kommt darauf an, welche Anmeldedaten gestohlen wurden, aber es kann vorkommen, dass Sie aus Ihrem eigenen Konto ausgesperrt werden.
Verwenden Sie die APIs von einem CPaaS-Anbieter, sollten Sie eine Art Zugriffskontrolle benutzen. Damit schränken Sie den Zugriff von Anwendern ein und bei einem potenziellen Einbruch lässt sich Schadensbegrenzung betreiben.
3. Sie vergessen, den eigenen Code abzusichern
Nur weil Sie bei der Entwicklung mit einem externen CPaaS-Anbieter arbeiten, dürfen Sie eventuelle Sicherheitsprobleme an Ihrem Ende nicht einfach ignorieren. Ihre Anwendung muss wie jede andere Cloud-Anwendung geschrieben werden. Natürlich müssen Sie verstehen, dass jede einzelne Komponente separat abzusichern ist. Die Nachrichten, die Sie zwischen Ihrer Anwendung und dem API des CPaaS-Anbieters schicken, müssen entsprechend abgesichert sein.
4. Dem falschen Anbieter vertrauen
CPaaS-Anbieter unterscheiden sich teils stark voneinander. Die Services sind unterschiedlich aufgebaut und Tagesgeschäft sowie Wartung läuft bei jedem Provider anders. Sobald Sie die Echtzeitkommunikation in die Hände Dritter legen, vertrauen Sie darauf, dass diese dritte Partei Ihre Anwendung vor Schwachstellen und Bedrohungen schützt. Versichern Sie sich, dass der gewählte Anbieter Ihre Security-Anforderungen erfüllt.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!