image-cybersecurity-axi
07/08/2023

8 inspirerende best practices voor API Security

De integratie engineers van AXI delen de 8 meest inspirerende best practices rond API Security graag met jullie. Van data-encryptie over strikte validatieregels, HTTP security headers tot shadow API’s. Samen streven we naar maximale ondersteuning op het vlak van API Security voor jouw organisatie.

1. Heb je al nagedacht over het belang van encryptie voor jouw data?

 

Om data onleesbaar te maken voor derden is encryptie ideaal. Over het algemeen wordt er een onderscheid gemaakt tussen 2 verschillende vormen van encryptie, namelijk encryptie op transportniveau en op berichtniveau. 

 

Bij encryptie op transportniveau gebruikt de API een versleutelde netwerkverbinding om gegevens uit te wisselen. Dit verhindert man-in-the-middle attacks waarin een hacker gaat meeluisteren naar de berichten die uitgewisseld worden tussen de cliënt en de API. Om dit te realiseren maken we gebruik van Transport Layer Security (TLS) met veiligheidscertificaten uitgegeven door een erkende instantie.

 

Alle voorgaande toepassingen van encryptie worden al als redelijk standaard beschouwd, maar wij raden toch ook wel encryptie op berichtniveau aan. Dit is vooral interessant wanneer je met gevoelige data werkt bvb. medische gegevens, financiële informatie en andere persoonlijke informatie waarop ook de GDPR-wetgeving van toepassing is. Hierbij kunnen organisaties (bvb. ziekenhuizen, financiële instanties, enz.) ervoor kiezen om de inhoud van de berichten zelf te versleutelen. Dit verzekert hen ervan dat de data die opgeslagen wordt, enkel leesbaar is voor wie die de overeenkomstige sleutel heeft om de data te decrypteren.  

 

2. Beveiligingsaudits en updates zijn crucialer dan je denkt 

 

Software zoals een Web Application Firewall of een API Gateway beschermen tegen heel wat bedreigingen. De security wereld staat echter niet stil, integendeel, alles evolueert razendsnel - er worden steeds nieuwe bedreigingen ontdekt waartegen bedrijven zich moeten beschermen. Het is een feit dat encryptiesleutels die vandaag als veilig beschouwd worden, dit morgen mogelijk al niet meer zijn. Het is daarom van cruciaal belang om steeds de laatste security-updates en patches te installeren in jouw organisatie. 

 

We raden ook aan om minstens 1x per jaar jouw API te laten doorlichten met een API security audit. Regelmatige audits zijn noodzakelijk omdat er voortdurend nieuwere methodes gevonden worden om API’s van organisaties te ontwrichten. In zo’n audit wordt eerst gekeken welke oplossingen er momenteel gebruikt worden binnen de organisatie. Er wordt een maturiteitsniveau op het vlak van API security bepaald, waarbij er rekening gehouden wordt met de toekomstige integratiecapaciteit die nodig is om de business te ondersteunen. Op basis hiervan worden aanbevelingen geformuleerd voor de aanpak van beveiligingsvraagstukken met betrekking tot API-architectuur, -technologie en -organisatie.

3. Herken bepaalde patronen door goede API monitoring & logging 

 

Het is belangrijk om het gebruik van de API's van jouw organisatie goed op te volgen. Een systematische aanpak via automatisatie geniet sterk de voorkeur. Een aanval van een hacker kan dan misschien wel gestopt worden door de Web Application Firewall of API Gateway, maar wanneer die aanval niet gedetecteerd wordt, geeft dat de hacker meer tijd om zijn volgende aanval voor te bereiden. Met een goede monitoring kan je aanvalspogingen herkennen en de aanvaller bijvoorbeeld door middel van IP blacklisting verhinderen om nieuwe aanvallen te proberen. 

 

AI en machinelearning kunnen nu ook bepaalde patronen van een mogelijke aanval herkennen. Hierdoor kunnen er automatisch beschermingsmaatregelen genomen worden.

4. Nadenken over het design van je API om overmatige blootstelling van data te voorkomen 

 

Tijdens het API design is het belangrijk dat je goed nadenkt over welke data je beslist beschikbaar te stellen via de API. Daarbij gaat het niet enkel over welke velden je aan de response toevoegt, maar ook dat je bijvoorbeeld vermijdt dat een cliënt de data van een andere partij kan opvragen door de input parameters van het request te wijzigen. 

 

Een kwalitatief goede API design-tool stelt je in staat om te zien wat de API effectief zal terugsturen in zijn response. Zo krijg je op een snelle en eenvoudige manier een handig overzicht van zaken waar eventueel nog verbetering mogelijk is. De echt geavanceerde tools voorkomen ook proactief designfouten en voorspellen de mogelijke impact ervan op de werking van je API.

'Het is van cruciaal belang om steeds de laatste security-updates en patches te installeren in jouw organisatie'

 

 

Steve Van der Vliet, Integration Engineer bij AXI

5. Kiezen voor de juiste HTTP security headers

 

Wanneer een API een antwoord terugstuurt naar een cliënt, kan die bepaalde parameters meegeven in de HTTP response headers. Deze parameters verhinderen klanten om acties uit te voeren die deel kunnen uitmaken van een aanval. Voorbeelden van zulke parameters zijn het forceren van een HTTPS-verbinding (HSTS), het verhinderen van cross-site scripting (XSS) en het vermijden van content-type sniffing.

 

Voor de keuze en het gebruik van security headers laat je je best begeleiden door een expert hierin. Het foutief gebruik kan namelijk hackers toelaten tot bijvoorbeeld cross-site scripting (XSS) of content-type sniffing. 

6. Inputs tegenhouden die je applicaties kunnen platleggen 

 

Wanneer je API een lijst van inputs toelaat maar je beperkt de grootte van die lijst niet, dan kan dat een heel grote load op jouw backend-applicaties veroorzaken. Daarom is het belangrijk dat je gebruikmaakt van strikte validatieregels die dat soort uitzonderlijke inputwaarden tegenhoudt nog voor ze jouw backend bereiken.

7. Voorkom shadow API’s

 

Shadow API's zijn onbeveiligde API's die vaak leiden tot grote inbreuken en storingen in softwaresystemen. Ze bieden kwaadwillenden gemakkelijk toegang tot gevoelige gegevens en kunnen zo schade veroorzaken door ongewild toegang te geven tot privé-gebruikersaccounts en niet gewenste wijzigingen in gebruikersinformatie. Om shadow API's te identificeren, kunnen monitoring, loganalyse en code scans worden toegepast. Het is belangrijk om binnen de organisatie strikte standaarden en richtlijnen te implementeren en gebruik te maken van tools om shadow API's effectief te bestrijden.

Overweeg ook zeker om je te laten begeleiden in het optimaliseren en professionaliseren van de API-architectuur van jouw organisatie. Eén van de mogelijkheden die vaak worden aangereikt is het oprichten van een Center of Excellence (CoE). Dit is een centrale governance structuur met als doelstelling de kwaliteit van integratieoplossingen te garanderen en continu te verbeteren. 

8. Waarborg de beveiliging van jouw data door API-authenticatie 

 

API-authenticatie is het proces van het verifiëren van de identiteit van gebruikers die toegang willen krijgen tot een API. Het is van vitaal belang om de beveiliging van API's te waarborgen en ongeautoriseerde toegang te voorkomen. Er zijn verschillende best practices voor API-authenticatie. Een daarvan is het gebruik van tokens, zoals OAuth-tokens, voor het verifiëren van de identiteit van gebruikers. Het is ook belangrijk om HTTPS (TLS) te gebruiken om de communicatie met de API te versleutelen en gevoelige informatie te beschermen. Tot slot is het aanbevolen om een sterk wachtwoordbeleid toe te passen, zoals het vereisen van complexe wachtwoorden en het implementeren van mechanismen zoals multi-factor authenticatie om extra beveiligingslagen toe te voegen aan het authenticatieproces van de API.

Benieuwd hoe we jouw organisatie kunnen ondersteunen op het vlak van API Security? Schrijf je in voor onze Masterclass API Security

 

In de tweede kennissessie van onze API Security Masterclass demonstreren we een handige tool die controleert of de inlogprocedure van uw website voldoet aan de OAuth 2.0 standaarden en de laatste nieuwe security aanbevelingen. 

Schrijf hier in

Ontdek meer

API Management op Kubernetes
Blog

Waarom een API Management platform deployen op Kubernetes een goed idee is

In deze blog bespreken we twee verschillende platformen: API Management, een platform voor het ontwerpen, beveiligen, beheren, documenteren, ontdekken en analyseren van API's en Kubernetes, een platform dat het mogelijk maakt om container-workloads efficiënt te orkestreren. Tot slot ontdekt u waarom het een goed idee is om uw API Management platform op Kubernetes te deployen.

AXI-shoot-ThomasMike
Nieuws

AXI-klanten geven AXI 8 op 10

Bij AXI streven we ernaar om klanten een uitzonderlijke ervaring te bieden, want in elke organisatie zijn tevreden klanten van cruciaal belang. Wij geloven dan ook dat er een onlosmakelijke band bestaat tussen de dienstverlening die wij bieden en de tevredenheid van onze klanten.

Boomi is integration technology partner van AXI
Blog

AXI kiest Boomi als nieuwe integratie technology partner

Sinds eind vorig jaar is AXI officieel Boomi partner. Waarom we deze keuze hebben gemaakt naast de integratie oplossingen van IBM, Gravitee.io en MS Azure en wat de mogelijkheden en voordelen zijn van Boomi vertellen we u in dit artikel.

API Security blog trends AX
Blog

Nieuwe trends in API-beveiliging

Als je met API security bezig bent dan weet je dat de huidige tijden uitdagingen en veranderingen meebrengen op het vlak van API-beveiliging, maar ze creëren ook nieuwe opportuniteiten. Ontdek hier de opkomende trends in API security.

cybersecurity-masterclass-axi
Blog

8 inspirerende best practices voor API Security

Wij selecteerden onze 8 meest inspirerende best practices rond API Security voor jullie. Van data-encryptie over strikte validatieregels, HTTP security headers tot shadow API’s. Samen streven we naar maximale ondersteuning op het vlak van API Security voor jouw organisatie. Lees ze hier.

AXI op Connect 2023
Nieuws

AXI lanceert innovatieve en unieke API Modeler tijdens Connect 2023

Op 4 mei 2023 was AXI aanwezig op Connect 2023, de belangrijkste Benelux API en integratie conferentie. Het werd een dag vol inspiratie en dat alles in een Star Wars jasje. AXI introduceerde er haar gloednieuwe API Modeler. Lees er meer over en ontdek hoe collega’s Glenn Lievens en Steve Van der Vliet Connect 2023 ervaarden.

Frederik Riebbels Directeur Public bij AXI
Insight

Ontmoet Frederik Riebbels, Director Public bij AXI

Als Directeur Public bij AXI praat Frederik Riebbels vol enthousiasme over de uitdagingen die publieke organisaties ondervinden en hoe AXI vanuit haar ervaring en expertise de overheid kan helpen om sneller en trefzekerder tot het gewenste resultaat te komen. Benieuwd naar Frederik zijn inzichten?

applicatie integratie binnen de overheid met AXI API Management
Insight

Applicatie integratie als business enabler voor de overheid

Niek Jacobsen, Integration Architect bij AXI, geeft zijn visie over hoe integratie in de loop van de jaren geëvolueerd is en vandaag meer en meer een business enabler geworden is. Tevens geeft hij inzicht in hoe organisaties, en specifiek overheidsinstellingen, concrete integratietrajecten kunnen aanpakken om succesvol te blijven dankzij een goede visie en duidelijke doelstellingen.

AXI op TDV2022
Blog

AXI weer van de partij op Trefdag Digitaal Vlaanderen 2022

Op donderdag 22 september gaven enkele AXI-collega’s present op Trefdag Digitaal Vlaanderen, het grootste govtech-event van het land. AXI was standhouder en liet de aanwezigen kennismaken met haar verschillende software oplossingen die de veranderingsprocessen binnen de overheid kunnen ondersteunen. Lees hier het verslag.

Steven Janssens van AXI
Nieuws

Collega Steven Janssens werd geïnterviewd door Gravitee.io

AXI collega Steven Janssens werd geïnterviewd door Gravitee.io, één van onze integration technology partners. Door zijn inzet is hij ondertussen een Power User binnen de Gravitee Community. Lees hier het interview.

AXI Masterclasses rond Gravitee.io
Insight

Ontdek & leer van AXI's inspirerende Gravitee.io Masterclasses

Ontdek via AXI's Masterclasses Gravitee.io als het open-source en no-code API ecosysteem. Leer van onze integratiespecialisten via inspirerende deep-dive content en geniet van hun kennisdeling.

AXI TRAXI Days 2022
Insight

AXI TRAXI Day 2022 - Verbinden rond technologie

Op vrijdag 13 mei 2022 vond de eerste editie van de AXI TRAXI Days plaats op locatie bij Technopolis in Mechelen. Een dag voor en door AXI medewerkers waarbij technologie, kennisdeling en de AXI Guilds in de kijker stonden. Nadien kon iedereen een bezoekje brengen aan Technopolis.

AXI op Kafka Summit 2022
Blog

Collega Niek Jacobsen bezoekt Kafka Summit 2022 in Londen

Op maandag 25 en dinsdag 26 april vond de Kafka Summit 2022 plaats in Londen. Niek Jacobsen, Integration Architect bij AXI, was aanwezig. Benieuwd naar wat hem is bijgebleven? Lees hier zijn takeaways.

e comm
Nieuws

AXI in RetailTrends: De twee geheimen van een unified commerce-strategie

Collega Niek Jacobsen, Integratie architect bij AXI vertelt over de synergie van integratiemogelijkheden in de retailsector. Lees het artikel hier.

AXI customer case Gezinsbond
Case

Gezinsbond deelt veilig en gecontroleerd ledendata met haar externe partners

De Gezinsbond wil gegevens voortaan digitaal ter beschikking stellen aan externe partijen. AXI heeft een Gravitee API-platform opgezet waarmee de Gezinsbond dit veilig en gecontroleerd kan doen.

API Community Belgium
Nieuws

AXI is Gold partner van API Community Belgium

Het AXI Integratie team is trotse Gold partner van API Community Belgium. Lees hier alle details

AXI Cloud Event
Nieuws

Throwback naar het online AXI Cloud Event 2021

Op dinsdag 19 oktober 2021 namen IT business professionals uit België en Nederland virtueel deel aan de tweede editie van het AXI Cloud Event. De deelnemers kregen best practices aangereikt om op een pragmatische manier alles uit de cloud te halen. Benieuwd naar de sessies?

OAuth 2.0 met Gravitee API Mangement
Insight

Ontdek de kracht van het OAuth 2.0 veiligheidsprotocol via Gravitee.io API Management

In deze insight ontdekt u hoe OAuth2.0 binnen het Gravitee.io API Management platform kan gebruikt worden als extra beveiliging bovenop uw API’s. Door middel van plannen, die functioneren als een toegangslaag bovenop uw API, kunt u data beschikbaar stellen aan interne of externe partijen.

APIs in de cloud
Insight

Hoe uw data en API's in de cloud beveiligen met Gravitee.io

Ontdek in deze Insight hoe u eenvoudig uw interne API(s) die beschikbaar worden gesteld in de cloud met Gravitee.io API Management kunt beveiligen.

AZUG sessie Ruben
Nieuws

AXI geeft live sessie op AZUG User Group Belgium

Ruben Delange, gepassioneerd .Net & Azure Solution Architect bij AXI geeft op donderdagavond 3 juni een live sessie rond Azure API Management.

API Management
Insight

Hoe een SOAP-backend-service beschikbaar stellen als een REST API met Gravitee.io

In deze insight ontdekt u hoe u een SOAP-backend-service beschikbaar kunt stellen als een REST API dankzij het inzetten van het Gravitee.io API Platform.

Man die op API 'knop' duwt
Blog

Waarom een programmeerbare organisatie opzetten?

Een API (Application Programming Interface) is een gemakkelijk te gebruiken en te leren interface die stabiel en veilig is én een organisatie op veel manieren tot een hoger niveau kan tillen.

Beeld van een PLUS Retail winkel
Nieuws

Business continuïteit PLUS Retail verzekerd dankzij AXI

AXI kreeg de opdracht van PLUS Retail om de bestaande AXI systemen te vernieuwen. Aan de hand van een agile aanpak met maandelijkse releases, werd het centrale ERP van een verouderde client/server omgeving naar een moderne HTML based gebruikersinterface getransformeerd.

JDN
Case

Jan De Nul ontplooit zich in een nieuwe integratie strategie

Baggerbedrijf Jan De Nul koos resoluut voor een vernieuwde integratie strategie samen met AXI

Lunch & Learn sessie API management bij AXI
Blog

Lunch & Learnsessie API Management in de Publieke Sector

Op 19 november 2019 hadden we een boeiende middag met informatiemanagers en architecten tijdens de AXI Lunch & Learnsessie 'API Management in de Publieke Sector'.

MLOZ
Case

De integratie van een nieuwe ESB-oplossing bij Onafhankelijke Ziekenfondsen

Dankzij de integratie van een IBM ESB-oplossing en de ondersteunende rol van het ESB Competence Center hebben medewerkers meer capaciteit vrij voor onderhoud en ondersteuning van de diverse MLOZ diensten. Voor de leden is de doorlooptijd van de terugbetalingen aanzienlijk verkort.

Tablet app FOD Justitie
Nieuws

Collega Gert Nys toont nieuwe tablet applicatie aan Minister van Justitie Koen Geens

Op 15 mei 2019 bracht Koen Geens een werkbezoek aan de rechtbank van eerste aanleg in Leuven. AXI toonde de nieuwe tablet applicatie waarmee de rechtbank en het parket mee aan de slag zullen gaan.

AXI Scrum training 2019
Blog

Let's SCRUM again

It’s that time of the year again. De paasvakantie staat tegenwoordig garant voor mooi weer, chocolade én de jaarlijkse SCRUM-workshop van AXI.

Naaimachines
Case

Lingeriespecialist Van de Velde kiest voor een integratie-oplossing van AXI

AXI implementeerde een integratieoplossing bij Van de Velde om het IT-landschap van de groeiende organisatie te stroomlijnen en zorgde voor de nodige kennisoverdracht bij de medewerkers dankzij training en coaching.

Persoon aan pc
Case

De succesvolle digitale transformatie van de FMSB

AXI hielp de FSMB met strategisch advies (Architect), tijdens de implementatie van de nieuwe oplossing (Assist) en bij de training van het team om toekomstige uitdagingen zelfstandig te kunnen aanpakken (Assure).

OVB
Nieuws

AXI helpt mee aan de uitbouw van het Digital Platform for Attorneys

Belgische advocaten kunnen op een betrouwbare manier elektronisch conclusies neerleggen bij de rechtbank, documenten opladen, vertrouwelijk communiceren met griffies, collega's en clienten.

Openbaar vervoer
Case

Business Data Monitoren voor de MIVB

AXI voorzag MIVB's ticketautomaten, toegangspoortjes, valideertoestellen en voertuigen van een Business Activity Monitoring systeem om zo steeds vinger aan de pols te houden en defecten preventief aan te kunnen pakken.