Best Practices für die Verwaltung von API-Geheimschlüsseln

Bei API-Geheimschlüsseln handelt es sich um eine Form der Kontozugangsdaten, wie z. B. ein Benutzername und ein Passwort. Wenn Personen mit böswilligen Absichten Zugriff zu einem Geheimschlüssel erlangen, können sie mit diesem Ihrem Unternehmen und anderen Parteien im Stripe-Ecosystem Schaden zufügen.

Stripe-Nutzer/innen sind dafür verantwortlich, geheime API-Schlüssel sicher zu verwahren. Im Folgenden zeigen wir Ihnen einige Best Practices, wie Sie dies tun können, und zeigen Ihnen außerdem, wie Sie die von Stripe angebotenen Sicherheitsfunktionen nutzen.

Schutz vor kompromittierten geheimen API-Schlüsseln

Ergreifen Sie die folgenden Maßnahmen, um sich vor kompromittierten Geheimschlüsseln zu schützen:

• Verwenden Sie sichere Schlüsselverwaltungssysteme (KMS), um Geheimschlüssel zu speichern: Wenn Sie einen Geheimschlüssel live über das Stripe Dashboard erstellen, sehen Sie ihn nur ein einziges Mal. Kopieren Sie den Schlüssel sofort in ein KMS, das sensible Daten mit Verschlüsselung und Zugriffskontrolle verwaltet. Stellen Sie sicher, dass Sie keine Kopie des Schlüssels in der lokalen Datei hinterlassen.
• Zugriff nur Personen gewähren, die ihn benötigen: Legen Sie in einer Richtlinie deutlich fest, welche Nutzer/innen berechtigt sind, Schlüssel zu erstellen, zu aktualisieren oder zu lesen. Beschränken Sie den Zugriff nur auf die Personen, die ihn benötigen. Überprüfen Sie den Zugriff regelmäßig, um übermäßige Berechtigungen für Schlüssel zu vermeiden.
• Geheimschlüssel niemals auf unsichere Weise teilen: Geben Sie Geheimschlüssel niemals in E-Mails, Chat-Nachrichten oder Nachrichten an den Kunden-Support weiter. Stripe fragt Sie niemals nach Ihrem geheimen API-Schlüssel.
• Speichern Sie keine Schlüssel in Source Code Repositorys (wie GitHub): Betrüger könnten öffentliche Quellcode-Repositorys nach API-Schlüsseln durchsuchen. Selbst wenn das Source-Repository privat ist, könnte es von Teammitgliedern in deren Entwicklungsumgebungen genutzt werden.
• Geheimschlüssel nicht in Anwendungen einbetten: Betrügerische Akteure können sich Zugang zu Geheimschlüsseln verschaffen, indem sie bestimmte Zeichenfolgenmuster in der Anwendung abgleichen. Vermeiden Sie daher das Einbetten von Schlüsseln in Anwendungen wie Client-Tools, SDKs und mobile Apps.
• Üben Sie Ihre Fähigkeit, Ihre API-Schlüssel neu zu generieren: Die Definition und Anwendung eines Prozesses zur Neugenerierung von Schlüsseln hilft Ihnen zu verstehen, wo Ihre Schlüssel verwendet werden, und bereitet Ihre Organisation auf den Fall vor, dass Ihr API-Schlüssel komprimiert ist. Wenn Sie Prozesse zur Neugenerierung von Schlüsseln eingerichtet haben, können Sie auf ein Ereignis, bei dem Ihr API-Schlüssel komprimiert wird, mit minimalen Auswirkungen auf Ihr Unternehmen reagieren.
• Prüfen Sie die Logs von API-Anfragen, um verdächtige Aktivitäten zu überwachen. Wir empfehlen Ihnen, die Logs von API-Anfragen regelmäßig zu prüfen oder zu überwachen, um missbräuchlich verwendete API-Schlüssel proaktiv zu identifizieren. Stellen Sie sicher, dass Ihr/e Entwickler/in keine Live-Schlüssel verwenden, wenn ein Sandbox-Schlüssel angemessen ist. Erfahren Sie mehr unter Sandbox versus Live-Modus.
• Regelmäßige Schulung und Aktualisierung der Dokumentation. Halten Sie die Dokumentation zum Umgang mit API-Geheimschlüsseln in Ihrem Unternehmen stets auf dem neuesten Stand und veranstalten Sie regelmäßig Schulungen, um sicherzustellen, dass Ihre Teams die Best Practices befolgen.

API-Zugriff mit eingeschränkten API-Schlüsseln anpassen

Sie können eingeschränkte API-Schlüssel verwenden, um eingeschränkten Zugriff auf bestimmte API-Ressourcen zu gewähren. Bei eingeschränkten Schlüsseln, insbesondere wenn Sie Dritten Zugriff gewähren, können Sie nur den minimal erforderlichen Zugriff auf die erforderlichen Ressourcen gewähren und so Risiken durch ungewollten Zugriffe begrenzen. Wenn Sie Microservices verwenden, die in Ihrem Namen mit der API interagieren, definieren Sie eingeschränkte Schlüssel, die nur den Mindestzugriff zulassen, den diese Microservices benötigen. Wenn Sie beispielsweise einen Überwachungsdienst für Zahlungsanfechtungen nutzen, erstellen Sie einen eingeschränkten Schlüssel, der nur Lesezugriff auf Ressourcen im Zusammenhang mit Zahlungsanfechtungen bietet. Mit diesem Schlüssel kann der Dienst die benötigten Daten abrufen, aber keine Änderungen vornehmen und nicht auf andere Daten zugreifen.

Eingeschränkte Schlüssel können mit vielen Teilen der API von Stripe nicht interagieren, da ihr einziger Zweck darin besteht, das Risiko bei der Verwendung oder Erstellung von Microservices zu reduzieren. Verwenden Sie bei der Entwicklung Ihrer Stripe-Integration keine eingeschränkten Schlüssel als Alternative zu den geheimen oder veröffentlichbaren API Schlüsseln Ihres Kontos.

IP-Adressen beschränken, die API-Anfragen senden können

Sie können die Sicherheit eines geheimen oder eingeschränkten Schlüssels erhöhen, indem Sie die IP-Adressen einschränken, die ihn zum Senden von API-Anfragen verwenden können. Dies wird empfohlen, wenn Ihr Dienst über stabile IP-Bereiche für ausgehenden Datenverkehr und einen Änderungsverwaltungsprozess zum Aktualisieren der Zulassungsliste verfügt, wenn sich diese Ausgangsbereiche ändern.

Anweisungen zum Beschränken eines Schlüssels auf eine oder mehrere IP-Adressen finden Sie unter Beschränken von geheimen oder eingeschränkten Schlüsseln auf eine Liste oder einen Bereich von IP-Adressen.

Umgang mit kompromittierten geheimen API-Schlüsseln

Wenn Sie feststellen, dass ein geheimer API-Schlüssel kompromittiert wurde, z. B. durch versehentliche Veröffentlichung auf GitHub, generieren Sie den Schlüssel sofort neu über das Stripe Dashboard und ersetzen Sie Ihre Integration mit dem neuen Schlüssel. Wenn Sie abnormales Verhalten feststellen, ohne zu bestätigen, dass der API-Schlüssel kompromittiert ist, empfehlen wir Ihnen, die API-Schlüssel proaktiv neu zu generieren und gleichzeitig die Ursache zu untersuchen.

Wenn Stripe feststellt, dass ein geheimer Live-API-Schlüssel exponiert wurde, benachrichtigen wir Sie sofort und fordern an, dass Sie den Schlüssel neu generieren. Sie müssen umgehend handeln, um mögliche Schäden und finanzielle Verluste durch die unbefugte Nutzung des kompromittierten Schlüssels zu verringern. Je nach Risiko und der Aktivität auf dem Konto können wir beschließen, den Schlüssel in Ihrem Namen neu zu generieren. In diesem Fall benachrichtigen wir Sie über alle Maßnahmen, die wir ergreifen.

Stripe garantiert nicht, dass wir alle kompromittierten Schlüssel erkennen. Sie sind selbst dafür verantwortlich, die Best Practices zu befolgen, um die Kompromittierung von Schlüsseln zu verhindern und sicherzustellen, dass Ihre Integration mit Stripe sicher ist.