Inhaltsübersicht
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praxisübungen
- Technische Arbeitsumgebung
Seminarprofil
Das Seminar behandelt API-Sicherheit als durchgängige Verarbeitungskette vom Netzwerkzugang bis zur fachlichen Berechtigungsentscheidung. Neben TLS, mTLS, CORS und Sicherheitsheadern stehen JWT-Validierung, OAuth2 Client Credentials, Claim-Prüfungen, Tokenwiderruf, Eingabevalidierung und Security Policies im Mittelpunkt.
Community- und Enterprise-Funktionen werden getrennt ausgewiesen. Die Übungen verwenden einen Identity Provider, geschützte Endpoints und gezielte Negativtests, damit Fehlkonfigurationen nicht nur beschrieben, sondern praktisch erkannt werden.
Lernziele
- eine Bedrohungsanalyse für öffentlich und intern erreichbare API-Endpunkte erstellen
- TLS, mTLS, CORS, Hostregeln und HTTP-Sicherheitsheader sinnvoll kombinieren
- JWT-Signaturen, Claims, Scopes, Rollen und Schlüsselrotation korrekt validieren
- OAuth2 Client Credentials und servicebezogene Authentifizierung einrichten
- RBAC- und ABAC-Regeln mit deklarativen Policies umsetzen
- Konfigurationen mit Positiv- und Negativtests sowie Auditregeln absichern
Zielgruppe
API- und Plattform-Engineers, DevOps, SRE, Security Engineers, IAM-Verantwortliche und technische Architekten.
Voraussetzungen
Sichere HTTP- und JSON-Kenntnisse. Grundlagen zu TLS, OAuth2, OpenID Connect und JWT werden empfohlen.
Seminarinhalte
1. Bedrohungsmodell und Sicherheitszonen
Sicherheitsmechanismen werden aus Schutzbedarf und Angriffsflächen abgeleitet, statt einzelne Funktionen unverbunden zu aktivieren.
- Schritt 1: Externe Clients, interne Dienste, Administratoren und Identitätsdienste als getrennte Akteure erfassen.
- Schritt 2: Schützenswerte Daten, privilegierte Operationen und mögliche Missbrauchsszenarien dokumentieren.
- Schritt 3: Vertrauensgrenzen vor und hinter dem Gateway sowie zwischen Mandanten festlegen.
- Schritt 4: Kontrollen den Phasen Verbindung, Anfrage, Identität, Berechtigung, Backend und Antwort zuordnen.
2. TLS, mTLS und HTTP-Schutzmechanismen
Transport- und Browsermechanismen bilden die erste Schutzschicht, ersetzen jedoch keine fachliche Autorisierung.
- Schritt 1: TLS-Terminierung im Gateway und in einem vorgelagerten Load Balancer vergleichen.
- Schritt 2: Zertifikate, Protokollparameter und sichere Weiterleitung zu Backends konfigurieren.
- Schritt 3: mTLS für ausgewählte B2B- oder Maschinenzugriffe mit vertrauenswürdigen CAs testen.
- Schritt 4: CORS, Hosteinschränkungen, HSTS, MIME-Schutz und Clickjacking-Schutz passend zum Clienttyp einstellen.
3. JWT-Validierung und Claim-Verarbeitung
Token werden kryptografisch und semantisch geprüft, bevor Claims für Routing oder Berechtigungen verwendet werden.
- Schritt 1: JWK-Endpunkt, Signaturalgorithmen, Issuer und Audience als Pflichtprüfungen festlegen.
- Schritt 2: Ablaufzeit, Gültigkeitsbeginn und zulässige Zeitabweichung kontrollieren.
- Schritt 3: Scopes, Rollen und verschachtelte Claims auf konkrete Endpointrechte abbilden.
- Schritt 4: Nur benötigte Claims in kontrollierte Header übertragen und Manipulationsversuche testen.
4. OAuth2, Tokenausgabe und Widerruf
Maschinenzugriffe und benutzerbezogene Zugriffe erfordern unterschiedliche Flows und Verantwortlichkeiten.
- Schritt 1: OAuth2 Client Credentials für den Zugriff des Gateways auf geschützte Backends einrichten.
- Schritt 2: Token-Caching, Erneuerung und Fehlerbehandlung des Autorisierungsservers prüfen.
- Schritt 3: JWT-Signing vor einem vorhandenen Login-Backend sicher einordnen.
- Schritt 4: Widerrufsszenarien, Bloom-Filter und zentrale Enterprise-Mechanismen anhand ihrer Konsistenzanforderungen bewerten.
5. Enterprise-Authentifizierung und Cloud-Dienste
Erweiterte Verfahren werden nur dort eingesetzt, wo Standard-JWT oder mTLS den Anwendungsfall nicht abdecken.
- Schritt 1: API-Key- und Basic-Authentication hinsichtlich Ablage, Rotation und Protokollierung absichern.
- Schritt 2: Mehrere Identity Provider pro Endpoint mit klarer Claim-Normalisierung planen.
- Schritt 3: AWS-Signatur- und Google-Cloud-Serviceauthentifizierung für Backendzugriffe einordnen.
- Schritt 4: Fehlende, abgelaufene und falsch zugeordnete Zugangsdaten mit standardisierten Negativtests prüfen.
6. Eingabevalidierung und Angriffsflächenbegrenzung
Die Angriffsfläche sinkt, wenn nur ausdrücklich benötigte Daten das Gateway und die Backends erreichen.
- Schritt 1: Header, Query-Parameter und Pfadparameter über Positivlisten begrenzen.
- Schritt 2: Maximale Requestgrößen und zulässige Content-Typen festlegen.
- Schritt 3: JSON-Schema-Validierung für Pflichtfelder, Datentypen und Wertebereiche einrichten.
- Schritt 4: Fehlermeldungen so gestalten, dass Clients korrigieren können, ohne interne Details offenzulegen.
7. Security Policies mit CEL
Deklarative Regeln ergänzen die kryptografische Tokenprüfung um fachliche RBAC- und ABAC-Entscheidungen.
- Schritt 1: Verfügbare Daten aus Request, JWT, Parametern, Zeit und Backendantwort identifizieren.
- Schritt 2: Einfache Regeln klein halten und komplexe Entscheidungen in nachvollziehbare Teilprüfungen zerlegen.
- Schritt 3: Eigene Fehlercodes und sichere Fehlermeldungen für abgewiesene Anfragen definieren.
- Schritt 4: Regeln für Rollen, Mandanten, Wartungsfenster, Parameter und Antwortpflichtfelder automatisiert testen.
8. Audit, Secrets und Sicherheitsabnahme
Vor der Freigabe werden Konfiguration, Artefakte und Betriebsprozesse gegen wiederholbare Kontrollen geprüft.
- Schritt 1: Geheimnisse aus Konfigurationsdateien entfernen und über das Zielsystem bereitstellen.
- Schritt 2: Konfiguration mit Check- und Auditläufen in der Pipeline prüfen.
- Schritt 3: Testkatalog für gültige, fehlende, manipulierte, abgelaufene und unberechtigte Tokens ausführen.
- Schritt 4: Zertifikats- und Schlüsselrotation, Notfallwiderruf, Protokollierung und Verantwortlichkeiten dokumentieren.
Praxisübungen
- Absicherung eines Endpoints mit JWT, Issuer, Audience, Scopes und Rollen
- Einrichtung eines mTLS-Zugangs für einen Maschinenclient
- OAuth2-Client-Credentials-Zugriff auf ein geschütztes Backend
- JSON-Schema-Validierung und Begrenzung erlaubter Eingabedaten
- RBAC- und ABAC-Regeln mit CEL einschließlich Negativtests
- Automatisierter Sicherheitscheck der Konfiguration
Technische Arbeitsumgebung
Benötigt werden Docker, ein lokaler Identity Provider oder vorbereitete Tokens, ein API-Client, Testzertifikate und ein JSON-fähiger Editor.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -
Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | API-, Plattform-, DevOps-, IAM- und Security-Verantwortliche |
| Voraussetzungen: | HTTP- und JSON-Kenntnisse; Grundlagen zu TLS, OAuth2, OpenID Connect und JWT |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
