Ein API-Gateway ist ein zentraler Eingangspunkt für API-Verkehr, der Funktionen wie Authentifizierung, Rate Limiting, Logging und Routing bündelt. Bekannte Implementierungen sind Kong, AWS API Gateway und Azure API Management.
Im ISMS dient ein API-Gateway der Umsetzung mehrerer ISO 27001 Annex A Controls: A.8.20 (Netzwerksicherheit) durch zentralisierte Zugriffskontrolle, A.8.16 (Überwachung) durch einheitliches Logging und A.8.25 (Sichere Entwicklung) durch konsistente Sicherheitsregeln für alle APIs. Ohne ein Gateway müsste jeder einzelne Microservice eigene Authentifizierungs- und Rate-Limiting-Logik implementieren. Ein gut konfiguriertes API-Gateway reduziert die Angriffsfläche und vereinfacht den Audit-Nachweis, weil Sicherheitsrichtlinien zentral durchgesetzt werden.