Ringkasan Penemuan Shadow API

Ringkasan

Penemuan Shadow API menemukan shadow API (juga dikenal sebagai API yang tidak terdokumentasi) di infrastruktur cloud yang ada. API bayangan menimbulkan risiko keamanan pada sistem Anda, karena API tersebut mungkin tidak diamankan, tidak dipantau, dan tidak dikelola. Penemuan Shadow API adalah bagian dari Pengamatan API di Apigee.

Anda dapat mengonfigurasi dan menjalankan tugas untuk mengamati aktivitas API di setiap Google Cloud project. Dalam instance hub API Apigee terpusat, Anda dapat melampirkan project tersebut untuk melihat hasil tugas tersebut dan membandingkannya secara otomatis dengan API "yang diketahui" yang didokumentasikan di hub API. Untuk mengetahui informasi tentang penggunaan Penemuan Shadow API di hub API Apigee, lihat Pengamatan API di hub API.

Untuk mengetahui informasi tentang kompatibilitas residensi data untuk Penemuan Shadow API, lihat Kompatibilitas residensi data.

Mengaktifkan Penemuan Shadow API

Penemuan Shadow API adalah bagian dari add-on Advanced API Security dan tersedia untuk project Google Cloud dengan atau tanpa penyediaan Apigee.

Jika project Google Cloud Anda disediakan untuk Apigee:

Jika project Google Cloud Anda tidak disediakan untuk Apigee, Anda dapat menambahkan Penemuan Shadow API ke project Anda dengan menghubungi Tim Penjualan Apigee.

Mengaktifkan Penemuan Shadow API dari Apigee

Petunjuk di bagian ini untuk menyiapkan dan melihat hasil pengamatan API didasarkan pada UI Apigee di Konsol Cloud. Anda juga dapat menggunakan Apigee Management (APIM) API untuk mengelola Penemuan Shadow API. Lihat Shadow API discovery management APIs.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Berlangganan untuk mengetahui detail selengkapnya. Jika Anda adalah pelanggan Pay-as-you-go, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk mengetahui informasi selengkapnya, lihat Mengelola add-on Keamanan API Lanjutan.

Mengaktifkan Penemuan Shadow API dari hub API

Untuk mengaktifkan Penemuan Shadow API dari hub API, ikuti petunjuk di Mengonfigurasi Pengamatan API di hub API.

Peran dan izin yang diperlukan untuk Penemuan Shadow API

Tabel di bawah menunjukkan peran yang diperlukan untuk melakukan tugas terkait Penemuan Shadow API.

Tugas Peran yang Diperlukan
Mengaktifkan atau menonaktifkan Keamanan API Lanjutan Admin Organisasi Apigee (roles/apigee.admin)
Membuat sumber dan tugas pengamatan Admin Pengelolaan API (roles/apim.admin)
Melihat pengamatan API Management Viewer (roles/apim.viewer)

Mengakses Penemuan Shadow API di UI Apigee

Bagian ini menjelaskan cara mengakses Penemuan Shadow API di UI Apigee.

Untuk mengakses Penemuan Shadow API di UI Apigee:

  1. Di Google Cloud konsol, buka halaman API Observation > Shadow API.

    Buka Shadow API

  2. Halaman utama menampilkan pengamatan API yang sudah dibuat. Pilih tab Pengamatan API dan Tugas Pengamatan untuk beralih antara melihat hasil dan membuat tugas pengamatan.

Membuat tugas pengamatan

Tugas pengamatan memberikan petunjuk yang diperlukan Shadow API Discovery untuk mencari shadow API. Ikuti langkah-langkah berikut untuk membuat tugas pengamatan. Perhatikan Perilaku dan batasan yang berlaku untuk pembuatan tugas observasi.

  1. Pilih tab Tugas pengamatan, lalu klik Buat tugas pengamatan.
  2. Pilih satu atau beberapa Sumber pengamatan, atau klik Buat sumber pengamatan di bagian bawah daftar Sumber pengamatan untuk membuat lokasi sumber baru jika diperlukan. Perhatikan bahwa proses pembuatan sumber observasi mungkin memerlukan waktu beberapa menit.

    Sumber pengamatan mencakup:
    Nama sumber: Nama yang Anda tentukan untuk mengidentifikasi sumber.
    Lokasi: Lokasi yang akan diamati. Menyertakan lebih banyak wilayah sumber memungkinkan tampilan API yang lebih luas di seluruh infrastruktur Anda. Lihat Praktik terbaik. Hanya satu sumber pengamatan yang dapat dibuat di suatu lokasi.
    Network dan Subnetwork: Jaringan VPC dan subnetwork. Subjaringan harus berada di region yang sama dengan lokasi sumber pengamatan.
  3. Buat tugas pengamatan. Berikan nama tugas pengamatan, yang harus unik per lokasi. Pilih lokasi, yang menentukan tempat terjadinya agregasi dan pemrosesan data. Semua data yang dikumpulkan di wilayah sumber diproses dan diakses dari wilayah ini, sesuai dengan kebijakan Retensi Data Google. Mungkin perlu waktu beberapa menit untuk menyelesaikan pembuatan tugas pengamatan baru.
  4. Aktifkan tugas pengamatan (Opsional). Anda dapat mengaktifkan tugas saat membuatnya, yang dalam hal ini tugas akan segera mulai mengamati. Jika tidak mengaktifkan tugas secara langsung, Anda dapat mengaktifkan tugas pengamatan nanti dari daftar tugas pengamatan.

Mengaktifkan, menonaktifkan, dan menghapus tugas pengamatan

Untuk mengubah apakah tugas pengamatan yang ada diaktifkan (aktif), pilih Aktifkan atau Nonaktifkan dari menu Tindakan di baris untuk tugas tersebut di halaman Tugas pengamatan.

Untuk menghapus tugas pengamatan yang ada, pilih Hapus dari menu Tindakan untuk tugas tersebut. Menghapus tugas juga akan menghapus hasil pengamatan yang terkait dengan tugas tersebut. Jadi, jika Anda ingin mempertahankan hasil sambil menghentikan tugas agar tidak dilanjutkan, nonaktifkan tugas tersebut, bukan menghapusnya. Tugas aktif tidak dapat dihapus; nonaktifkan tugas aktif terlebih dahulu jika Anda perlu menghapusnya.

Melihat Pengamatan API

Untuk melihat Pengamatan API untuk tugas pengamatan yang diaktifkan, pilih tab Pengamatan API, lalu pilih Tugas pengamatan dari daftar.

Halaman Pengamatan API

Daftar pengamatan menampilkan nilai berikut:

  • Nama host: Nama host API. Klik nama host untuk melihat detail pengamatan.
  • Operasi API: Jumlah operasi API (seperti permintaan GET atau PUT) yang diamati.
  • IP server: IP server yang menghosting API yang ditemukan.
  • Lokasi sumber: Lokasi sumber tempat traffic diamati.
  • Peristiwa terakhir terdeteksi (UTC): Tanggal dan waktu saat permintaan terbaru ke API terdeteksi.
  • Tag: Daftar tag yang Anda atau orang lain buat untuk memberi label pada pengamatan ini. Lihat Menggunakan tag untuk mengetahui informasi selengkapnya.
  • Tindakan: Tindakan tambahan yang tersedia untuk setiap pengamatan.

Melihat detail pengamatan

Setelah mengklik nama host di daftar pengamatan, Anda akan melihat halaman detail pengamatan.

Detail tugas pengamatan Penemuan Shadow API

Halaman ini mencakup informasi berikut tentang pengamatan.

  • Kotak ringkasan di bagian atas halaman menampilkan:
    • ID pengamatan API: Ini adalah ID khusus Apigee.
    • Operasi API: Lihat Melihat pengamatan API untuk deskripsi kolom ini.
    • Waktu pembuatan (UTC): Tanggal dan waktu tugas pengamatan dibuat.
    • Tag: Gunakan tag untuk mengatur hasil tugas pengamatan.
    • Waktu terdeteksi peristiwa terakhir: Lihat Melihat pengamatan API untuk mengetahui deskripsi kolom ini.
  • Tabel operasi API tertentu yang terdeteksi di API yang ditemukan ini. Untuk setiap permintaan, informasi berikut ditampilkan:
    • Path: Jalur permintaan.
    • Method: Metode permintaan (seperti GET, PUT, dll.).
    • Jumlah: Jumlah permintaan ke jalur tersebut dengan metode tersebut.
    • Permintaan transaksi: Isi permintaan dari data traffic. Mencakup header permintaan dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Header respons transaksi: Header respons dari data traffic. Mencakup header respons dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Kode respons transaksi: Kode respons dan jumlah respons yang sesuai dengan kode tersebut untuk operasi API ini.
    • Pertama kali terlihat (UTC): Tanggal dan waktu pertama kali permintaan ke Operasi API ini diamati.
    • Terakhir terlihat (UTC): Tanggal dan waktu terbaru saat permintaan ke Operasi API ini diamati.

Menggunakan tag

Tag memungkinkan Anda mengategorikan hasil pengamatan. Tag adalah metadata dan hanya untuk pelacakan Anda; tag tidak mengubah apa pun dalam hasil pengamatan atau memicu tindakan apa pun. Misalnya, menambahkan tag "Perlu diperhatikan" tidak akan membuat notifikasi atau pemberitahuan apa pun. Hasil pengamatan baru tidak memiliki tag.

Tag memiliki karakteristik berikut:

  • Anda dapat menambahkan tag yang sama ke beberapa hasil pengamatan.
  • Nama tag dapat mencakup karakter huruf besar dan kecil, angka, dan karakter khusus, termasuk spasi.
  • Setelah tag dibuat, namanya tidak dapat diubah; hapus dan buat ulang tag untuk mengganti namanya.
  • Menghapus tag dari semua hasil pengamatan akan menghapusnya dari sistem.

Anda dapat mengelola tag dari daftar pengamatan atau halaman detail pengamatan.

Untuk mengelola tag dari daftar pengamatan API:

  • Lihat tag yang ada di kolom Tag daftar pengamatan.
  • Untuk mengelola tag untuk satu hasil, pilih Kelola tag dari menu Tindakan di baris untuk hasil tersebut.
  • Untuk mengelola tag untuk satu atau beberapa hasil sekaligus, pilih beberapa hasil dari daftar, lalu pilih Kelola tag dari bagian atas daftar.

Untuk mengelola tag dari detail pengamatan API:

  • Lihat tag yang ada di bagian Tag.
  • Untuk menambahkan atau mengelola tag, pilih Kelola tag di bagian atas halaman.

Di panel samping Kelola tag, untuk menambahkan tag, pilih tag yang ada atau tambahkan tag baru. Untuk menghapus tag, batalkan pilihannya. Klik Simpan untuk menyimpan tag baru.

Mengakses Penemuan Shadow API dari hub API

Untuk mengetahui informasi tentang cara mengakses Penemuan Shadow API dari hub API, lihat Mengelola Pengamatan API di hub API.

Praktik terbaik

Kami merekomendasikan praktik ini saat menggunakan Penemuan Shadow API:

  • Ikuti aturan Residensi Data organisasi Anda untuk memastikan kepatuhan terhadap peraturan dan hukum yang berlaku.
  • Gabungkan dari sebanyak mungkin region sumber untuk mendapatkan korelasi lintas region terbaik. Menyertakan lebih banyak wilayah sumber dalam tugas pengamatan akan menghasilkan tampilan API yang lebih luas di seluruh infrastruktur Anda.

Perilaku dan batasan

Bagian ini mencantumkan perilaku dan batasan yang berlaku untuk Penemuan Shadow API:

  • Penggunaan Penemuan API Bayangan tidak menjamin pengamatan 100% traffic atau penemuan semua API bayangan.
  • Penemuan Shadow API hanya menemukan Shadow API di infrastruktur Google Cloud Anda.
  • Penemuan Shadow API saat ini hanya mendukung Load Balancer Aplikasi Eksternal dan Internal. Network Load Balancer tidak didukung.
  • Penemuan Shadow API menemukan API protokol HTTP, bukan gRPC.
  • Menjalankan tugas pengamatan API pada load balancer tidak akan berdampak pada latensi traffic API.
  • Peringatan: Penemuan Shadow API mendukung load balancer di satu jaringan per project. Jika Anda mengaktifkan Penemuan Shadow API di project dengan beberapa jaringan, Anda mungkin melihat perilaku yang tidak terduga.
  • Harus ada traffic yang mengalir melalui load balancer di project yang Anda amati untuk mendeteksi Shadow API.
  • Diperlukan waktu hingga 30 menit agar tugas pengamatan yang baru diaktifkan dapat mendeteksi traffic, bergantung pada volume traffic. Traffic jarang memerlukan waktu pengamatan yang lebih lama sebelum hasil tersedia.
  • Per region, ada batas satu sumber pengamatan dan maksimum tiga tugas pengamatan. Jika Anda memerlukan lebih dari tiga tugas pengamatan, hubungi Layanan Pelanggan Google Cloud untuk mendiskusikan kasus penggunaan.
  • Tugas pengamatan dapat dibuat dan dinonaktifkan atau dihapus, tetapi tidak dapat diedit. Jika Anda perlu mengubah tugas pengamatan, hapus dan buat ulang tugas tersebut.
  • Saat ini, wilayah berikut didukung untuk pengamatan API dan API Shadow:
    • australia-southeast1
    • europe-west2
    • europe-west9
    • us-central1
    • us-east1
    • us-west1