Die 2020er Jahre haben die Art und Weise, wie Anwendungen gebaut werden, neu geschrieben. Der Browser lädt immer noch HTML, aber die meiste eigentliche Arbeit findet über APIs statt — öffentliche, Partner- und interne. Jede API ist ein Vertrag; jeder Vertrag hat eine Struktur; jede Struktur kann auf Weisen gebrochen werden, die klassische WAAP-Regeln nicht erkennen. Broken Object Level Authorization, Mass Assignment, Excessive Data Exposure, Broken Authentication — die OWASP API Top 10 ist eine eigene Liste, weil die Angriffsmuster andere sind.
Die Antwort der Branche war eine Welle reiner API-Sicherheitsplattformen — fast alle als Cloud-SaaS. Um zu funktionieren, müssen Ihnen Ihr API-Traffic für sie sichtbar sein, was meist das Routing durch deren Edge oder das Senden von Mirror-Kopien bedeutet. Für regulierte Branchen, souveräne Deployments oder alle, deren API-Antworten PII oder Zahlungsdaten enthalten, ist das ein sofortiges Compliance- und Betriebsproblem.
TR7 hält die API-Sicherheit dort, wo die API tatsächlich lebt — auf Ihrer Plattform. Discovery, Schema-Enforcement, OWASP API Top 10-Abdeckung, inhaltsbewusste Regeln und Maskierung sensibler Daten laufen alle On-Prem, angehängt an denselben vService, der die API liefert. Dieselbe Konsole, die Sie für WAAP und Delivery verwenden, deckt auch API-Sicherheit ab.
Jedes davon ist für sich allein wertvoll. Zusammen definieren sie, wie API-Sicherheit aussieht, wenn sie nicht erfordert, Ihre APIs in die Cloud eines anderen zu senden.
Die meisten modernen API-Sicherheitsplattformen sind SaaS — sie benötigen Ihren Traffic und Ihre Schemas sichtbar für ihre Cloud. TR7 läuft auf Ihrer Hardware. Die von Ihnen hochgeladenen Schemas, das von uns erlernte Inventar und die von uns inspizierten Antworten verlassen Ihr Netzwerk nie.
Vollständige Abdeckung der OWASP API Security Top 10 — Broken Object Level Authorization, Broken Authentication, Excessive Data Exposure, Mass Assignment, Security Misconfiguration und der Rest. Jede Erkennung gemappt auf CWE (100+ Codes), CAPEC (30+ Muster) und MITRE ATT&CK (30+ Techniken), sodass sie Ihr SOC in derselben Taxonomie erreicht, die es bereits verwendet.
API-Endpoints tauchen automatisch durch passive Verkehrsbeobachtung auf. Der Operator überprüft das Inventar, bevor es live geht. OpenAPI-Schemas können direkt hochgeladen oder aus Traffic erlernt werden; Enforcement ist ein positives Sicherheitsmodell, das Methode, Pfad, Parameter und Body gegen den Vertrag validiert — alles außerhalb des Vertrags wird geloggt oder blockiert.
Rate-limitieren, challengen oder blockieren auf jedem Traffic-Attribut — Header-Werte, Cookie-Inhalte, URL-Parameter, sogar aus JSON-Request-Bodies geparste Werte. Beispiel: ein Such-Endpoint anders rate-limitieren, wenn der Request-Body 'tier: free' versus 'tier: enterprise' setzt. Alles im visuellen Regel-Builder konfiguriert; keine Skriptsprache.
PII, Zahlungsdaten, Zugangsdaten und andere sensible Muster werden in API-Antworten identifiziert und per Policy maskiert, bevor sie den Client erreichen — nützlicher Kontext (letzte vier Ziffern, Teil-E-Mail) bleibt, wo Sie es wählen, der Rest wird verborgen. Dasselbe Konfigurationsmodell wie für den Rest Ihrer Regeln.
Jede der folgenden Fähigkeiten wird als Teil der Plattform geliefert und an Ihre bestehenden vServices angehängt.
Passive Verkehrsbeobachtung bringt jeden tatsächlich genutzten Endpoint zutage, einschließlich Shadow- und undokumentierter APIs. Der Operator überprüft das Inventar und bestätigt, was nachverfolgt werden soll, damit der Katalog ohne manuelle Listenpflege korrekt bleibt.
Laden Sie eine OpenAPI-Spezifikation hoch oder lassen Sie TR7 eine aus beobachtetem Traffic erlernen. Enforcement validiert Request-Methode, Pfad, Parameter und Body-Struktur gegen den Vertrag; Abweichungen werden per Policy geloggt oder blockiert. Positives Sicherheitsmodell — alles außerhalb des Vertrags wird abgelehnt, einschließlich Injection- und Mass-Assignment-Versuche.
10/10-Abdeckung der OWASP API Top 10 — Broken Object Level Authorization, Broken User Authentication, Excessive Data Exposure, Lack of Resources & Rate Limiting, Broken Function Level Authorization, Mass Assignment, Security Misconfiguration, Injection, Improper Assets Management und unzureichendes Logging.
Jede API-Erkennung wird auf ihren CWE-Code, ihr CAPEC-Angriffsmuster und ihre MITRE ATT&CK-Technik gemappt. SIEM-Korrelation, Incident Response und Compliance-Berichte verwenden dieselbe Taxonomie, die Ihr Sicherheitsteam bereits nutzt.
Unterschiedliche Rate-Limits für /login, /search und /export derselben API. Methodeneinschränkungen (GET erlaubt, POST blockiert) pro Endpoint. Alles auf den vService beschränkt, der die API liefert.
Rate-limitieren, challengen oder blockieren auf jedem Traffic-Attribut — Header-Werte, Cookie-Inhalte, URL-Parameter, geparste JSON-Body-Werte. Visuell konfiguriert; keine proprietäre Skriptsprache zu erlernen.
PII (Namen, E-Mails, nationale IDs), Zahlungsdaten (Kartennummern, IBANs), Zugangsdaten und Gesundheitsdaten in API-Antworten identifizieren. Per Policy vor Auslieferung an den Client maskieren — nützlichen Präfix oder Suffix behalten, den Rest verbergen — oder die Antwort vollständig blockieren, wenn die Daten nie hätten ausgeliefert werden sollen.
JWT-Validierung, mTLS, OAuth2 und OIDC-Enforcement am API-Edge, delegiert an die Zugangsverwaltungsschicht von TR7. Dieselben Identity-Policies, die Webanwendungen schützen, schützen auch APIs.
Dieselbe Verhaltens-Engine, die für WAAP und Bot-Management verwendet wird, bewertet auch API-Traffic — TLS-Fingerabdrücke, IP-Reputation über 23 Kategorien, Request-Rhythmus und Request-Form. Die Verhaltensbasislinie passt sich dem normalen API-Nutzungsmuster Ihrer Anwendung an.
HTTP-Flood, Slowloris und auf die Anwendung zielende Bot-Floods werden in der WAAP-Schicht absorbiert — mit API-bewussten Schwellenwerten pro Endpoint angewendet. Pro vService beschränkt.
Credential-Stuffing-Muster treffen API-Login-Endpoints, nicht nur Web-Formulare. Dieselbe ATO-Erkennung, die Web-Login-Oberflächen schützt, schützt auch /api/v1/login — verteilte Low-and-Slow-Versuche, Impossible Travel, anomale Session-Erstellungsraten.
Jede API-Request-Entscheidung — erlaubt, blockiert, rate-limitiert, maskiert — wird in dieselbe Konsole wie WAAP und Delivery geloggt. Jede Request-Anfrage lückenlos untersuchen. Audit-Trails bereit für PCI DSS, HIPAA und andere Compliance-Anforderungen.
API-Metriken, Angriffstelemetrie und Inventar befinden sich in derselben Operator-Konsole wie der vService, die WAAP-Policy und die DDoS-Ansicht. Kein separates API-Sicherheitspanel zu erlernen.
Die OWASP API Top 10 ist eine eigene Liste von der Web-OWASP-Top-10, weil API-Angriffsmuster andere sind. TR7 deckt alle zehn ab.
Angreifer manipulieren Objekt-IDs in URLs, um auf Daten anderer Benutzer zuzugreifen. Schema-Enforcement plus Autorisierungsprüfungen pro Endpoint machen BOLA-Versuche sichtbar und blockierbar.
Schwache oder fehlkonfigurierte Authentifizierung auf API-Endpoints. JWT-Validierung, mTLS und OAuth2-Enforcement am API-Edge verhindern gängige Bypass-Muster.
APIs, die mehr Daten zurückgeben als der Client benötigt. Erkennung und Maskierung sensibler Daten stellen sicher, dass PII, Zahlungsdaten und Zugangsdaten entfernt oder maskiert werden, bevor sie den Client erreichen.
APIs ohne Rate-Limits werden von Bots, Scrapern und Credential-Stuffing missbraucht. Rate-Limits pro Endpoint, Methode, Tenant und inhaltsbewusste Rate-Limits stoppen Missbrauch auf Plattformebene.
Privilegierte Funktionen, die nicht autorisierten Benutzern zugänglich gemacht werden. Methodeneinschränkungen pro Endpoint in Kombination mit identitätsbewussten Policies verhindern unauthorisierten Funktionszugriff.
Angreifer injizieren Felder, die die API nicht erwartet, um sensible Eigenschaften zu aktualisieren. OpenAPI-Schema-Enforcement lehnt Request-Bodies mit unerwarteten Feldern direkt ab.
Ausführliche Fehlermeldungen, fehlende Header, offengelegte Admin-Endpoints. Discovery bringt diese Endpoints zutage; Policy setzt produktionssichere Standardwerte durch.
SQL Injection, NoSQL Injection, Command Injection in API-Parametern und -Bodies. WAAP-Signaturen plus Parametervalidierung gegen das Schema blockieren Injection-Versuche.
Alte API-Versionen, veraltete Endpoints und undokumentierte APIs, die in der Produktion erreichbar sind. Discovery bringt sie zutage; Inventar hält das Bild aktuell.
Angriffe, die für das Sicherheitsteam unsichtbar sind. Jede API-Request-Entscheidung wird in dieselbe Konsole wie Delivery und Sicherheit geloggt; SIEM-Exporte verwenden CWE / MITRE-Taxonomien.
Striktes Schema-Enforcement für Partner-APIs, Maskierung sensibler Daten in Kundenkonto-Antworten, OAuth2-Authentifizierung am API-Edge erzwungen, Audit-Logs für die regulatorische Überprüfung.
HIPAA-relevante API-Antworten werden auf PHI gescannt; sensible Patientendaten werden per Policy maskiert, bevor sie Client-Anwendungen erreichen. On-Prem-Deployment hält APIs und Daten innerhalb des Krankenhausnetzwerks.
Entwicklungsteams liefern neue Endpoints schneller aus, als Sicherheitsteams sie verfolgen können. Passive Discovery bringt jeden genutzten Endpoint zutage; Operator-bestätigtes Inventar hält den Katalog ohne manuelle Wartung korrekt.
Carding-Bots, Scraper-Farmen und Credential Stuffing treffen alle API-Endpoints. Rate-Limits pro Endpoint, inhaltsbewusste Regeln und verhaltensbasiertes Bot-Scoring stoppen Missbrauch ohne echte Kunden zu blockieren.
Datenlokalisierungsregeln verbieten API-Inspektion durch Dritte. On-Prem-API-Sicherheit hält jedes Byte innerhalb des Bürger-Daten-Perimeters; Compliance-Audits verfolgen jede Anfrage über eine Konsole.
Hunderte interner Endpoints über Teams hinweg, oft undokumentiert. Discovery + Schema-Enforcement verwandeln eine nicht nachverfolgte Oberfläche in einen verwalteten Katalog, ohne dass jedes Service-Team einen separaten SaaS-Agent einbinden muss.
Von dieser Lösung referenzierte Fähigkeiten — die technischen Bausteine, die die oben beschriebenen Kontrollen bilden.
Verwalten Sie Preflight- und Response-CORS-Header aus einer einzigen Regel, ohne den Anwendungscode zu berühren.
WAAP-Inspektion, mTLS-Identität und Datenmaskierung laufen weiter, auch wenn Traffic über TLS zu Backends fließt.
JSON-Body-Felder und JWT-Inhalt in erstklassige Signale für jede Traffic-Entscheidung umwandeln.
Eine Ausdruckssprache — Verkehr, Gesundheit, Logging, GTM, Sicherheit und Zugriffsentscheidungen im selben Modell.
3.000+ Regeln, OWASP / API Top 10 / CWE-Taxonomie, 14 Korrelationsachsen, Pro-Host-Group + Cross-Group-Rollups.
Über Header hinausgehen — Body-Inhalt zum Teil der Verkehrs- und Sicherheitsentscheidung machen.
Das Client-Zertifikat aus der Verbindungskontrolle herausheben und in ein Identitätsobjekt verwandeln, das Traffic-Entscheidungen steuert.
Signatur, Score und Kontext in einer einzigen Engine kombinieren — bekannte Angriffe mit voller Kontrolle verwalten.
Sensible Daten auf Plattform-Ebene maskieren, bevor sie den Benutzer oder die Logs erreichen.
Ein API-Inventar aus echtem Traffic extrahieren; Requests außerhalb des erlaubten Schemas unter Kontrolle bringen.
Eine IP, ein Konto, ein API-Key — Sie entscheiden, welche Dimension zu begrenzen ist.
GraphQL-Traffic nicht als einfachen POST-Body behandeln — Introspection-, verschachtelte DoS- und Query-Batching-Muster innerhalb Ihres WAAP erkennen.
Fordern Sie eine Live-Demo von TR7 API-Sicherheit an. Wir führen Discovery auf Ihrem API-Traffic durch, zeigen den Schema-Enforcement-Flow und demonstrieren die Maskierung sensibler Daten an einer echten Antwort.