IP-whitelisting voor API-sleutels
Bird
19 aug 2015
1 min read
Belangrijkste punten
API-sleutels zijn krachtige inloggegevens — als ze worden gecompromitteerd, kunnen aanvallers e-mails verzenden, gegevens stelen of uw merk imiteren.
Brute-forceren van een hexadecimale sleutel van 40 tekens is in wezen onmogelijk; echte bedreigingen komen door blootstelling (MITM-aanvallen, onzekere coderepos, gelekte inloggegevens).
Gebruik altijd HTTPS en valideer SSL-certificaten om onderschepping van uw API-sleutels te voorkomen.
IP-whitelisting voegt een kritieke beschermingslaag toe door het gebruik van een sleutel te beperken tot specifieke IP's of IP-bereiken.
Zelfs als een aanvaller uw API-sleutel steelt, kunnen ze deze niet gebruiken tenzij ze verbinding maken vanaf een goedgekeurd IP.
CIDR-ondersteuning maakt het eenvoudig om hele netwerken te autoriseren zonder elke server te hoeven vermelden.
Vermijd het inbedden van API-sleutels in code — gebruik in plaats daarvan omgevingsvariabelen of veilige oplossingen voor geheimenbeheer.
Maak meerdere API-sleutels met een smal bereik in plaats van één ‘do-everything’ sleutel — elk met beperkte machtigingen en zijn eigen whitelist.
Maak voor integraties van derden speciale sleutels met beperkte machtigingen en beperkte IP's aan.
Schakel 2FA in op uw account, aangezien API-sleutels alleen via de UI kunnen worden aangemaakt.
Regelmatig sleutels herzien, roteren en buiten gebruik stellen om sterke operationele beveiliging te handhaven.
Q&A Hoogtepunten
Wat is IP-whitelisting?
Het is een beveiligingsfunctie die het gebruik van API-sleutels beperkt tot specifieke IP-adressen of IP-bereiken.
Waarom gebruikt SparkPost/Bird API keys voor authenticatie?
API-sleutels zijn eenvoudig, algemeen geaccepteerd en werken netjes met REST API's en SMTP.
Wat gebeurt er als iemand mijn API key steelt?
Ze kunnen namens u post verzenden, ontvangerlijsten downloaden, sjablonen wijzigen of phishing/spam verzenden die uw merk schaadt.
Kunnen API keys brute-forced worden?
Praktisch onmogelijk. Een hexadecimale string van 40 tekens heeft ~1,46e48 combinaties — brute force zou langer duren dan de leeftijd van het universum.
Dus hoe krijgen aanvallers normaal gesproken API keys?
Man-in-de-middle-aanvallen (als SSL niet geverifieerd is), blootgestelde sleutels in openbare GitHub-repositories, of logs die per ongeluk sleutels lekken.
Hoe helpt IP-whitelisting?
Zelfs als een aanvaller uw sleutel steelt, zal het niet werken tenzij ze verbinding maken vanaf een goedgekeurd IP-adres.
Kan ik hele netwerken whitelisten?
Ja, via CIDR-notatie — ideaal voor load-balanced servers, VPNs, of statische kantoorbereiken.
Is whitelisting van toepassing op zowel REST als SMTP?
Ja, het IP-adres van het binnenkomende verzoek moet overeenkomen met uw whitelist.
Hoeveel IP's of reeksen kan ik whitelisten?
Zo veel als je nodig hebt — meerdere individuele IP's of blokken.
Moet ik één API key gebruiken voor alles?
Nee. Creëer aparte sleutels voor verschillende systemen, teams of leveranciers. Dit verbetert de beveiliging en maakt het gemakkelijker om sleutels te roteren of in te trekken.
Waar moet ik API keys bewaren?
Gebruik omgevingsvariabelen — codeer nooit sleutels rechtstreeks in bronbestanden of openbare repositories.
Zijn er aanvullende beveiligingsrichtlijnen?
Schakel altijd 2FA in op uw SparkPost/Bird-account en maak speciale sleutels voor derden met minimale permissies en hun eigen whitelists.
