BLACKSHIELD

Öffentlicher Leitfaden

API-Sicherheits-Härtung (OWASP API Top 10: 2023)

Prüfen Sie, wie BlackShield öffentliche und mandantenbezogene APIs gegen Autorisierungs-, Missbrauchs- und Fehlkonfigurationsrisiken aus den OWASP API Top 10 absichert. Zielgruppe: Security-Architekten, AppSec-Reviewer und Compliance-Stakeholder. Typische Einrichtungszeit: 12-15 Minuten.

trust

Use this if

Prüfen Sie, wie BlackShield öffentliche und mandantenbezogene APIs gegen Autorisierungs-, Missbrauchs- und Fehlkonfigurationsrisiken aus den OWASP API Top 10 absichert.

Audience
Security-Architekten, AppSec-Reviewer und Compliance-Stakeholder
Typical time
12-15 Minuten

Bevor Sie beginnen

  • Stellen Sie sicher, dass Ihr API-Inventar aktuell ist und öffentliche sowie Mandanten-Endpunkte enthält.
  • Benennen Sie Verantwortliche für Authentifizierung, Autorisierung und Missbrauchsschutz.
  • Sammeln Sie aktuelle Nachweise zu Rate-Limiting, RBAC und Endpoint-Reviews.

Guide walkthrough

Schritt 1

Autorisierungsgrenzen validieren

Bestätigen Sie, dass jeder Endpoint explizite Authentifizierung und Rollenprüfungen erzwingt und Workspace-Zugriffsgrenzen in Query-Filtern nutzt.

  • Prüfen Sie die RBAC-Durchsetzung für Lese- und Schreiboperationen.
  • Bestätigen Sie, dass Tenant-Datenzugriff auf den aktiven Workspace begrenzt ist.
  • Prüfen Sie reine Admin-Flows und deren Schutz für erhöhte Berechtigungen.

What success looks like

Prüfen Sie reine Admin-Flows und deren Schutz für erhöhte Berechtigungen.

Schritt 2

Missbrauchsschutz validieren

Prüfen Sie, dass sensible API-Flows Request-Limits enthalten und kostenintensive Operationen nicht missbraucht werden können.

  • Prüfen Sie Auth-Rate-Limits und das 429-Verhalten.
  • Prüfen Sie Rate-Limits für Tenant-Lifecycle und Identitätsverwaltung.
  • Prüfen Sie Fairness-Kontrollen pro Tenant bei hoher Ingest-Last.

What success looks like

Prüfen Sie Fairness-Kontrollen pro Tenant bei hoher Ingest-Last.

Schritt 3

Inventar und Änderungssteuerung validieren

Verwenden Sie ein versioniertes API-Inventar und einen Deprecation-Plan, damit Kontrollen mit der aktiven Endpoint-Fläche übereinstimmen.

  • Prüfen Sie Inventareinträge mit Auth-Modell und Zugriffsgrenzen.
  • Verfolgen Sie Deprecations mit konkreten Zieldaten.
  • Wiederholen Sie diese Prüfung mindestens einmal pro Quartal.

What success looks like

Wiederholen Sie diese Prüfung mindestens einmal pro Quartal.

What success looks like

  • Eigentümerschaft von API-Kontrollen und Review-Rhythmus sind je kritischer Endpoint-Klasse dokumentiert.
  • Autorisierungs-, Rate-Limiting- und Inventar-Kontrollen haben aktuelle Nachweise mit zugewiesenen Reviewern.
API-Sicherheits-Härtung (OWASP API Top 10: 2023) | BlackShield Docs