Panoramica della funzionalità di rilevamento delle API shadow

Panoramica

Apigee Shadow API Discovery trova le API shadow (note anche come API non documentate) nella tua infrastruttura cloud esistente. Le API shadow rappresentano un rischio per la sicurezza del tuo sistema, in quanto potrebbero essere non protette, non monitorate e non gestite.

Le istruzioni riportate in questa pagina per configurare e visualizzare i risultati delle osservazioni delle API si basano sull'interfaccia utente di Apigee in Cloud Console. Puoi anche utilizzare le API Apigee Management (APIM) per gestire Shadow API Discovery. Consulta API di gestione del rilevamento delle API shadow.

Abilita il rilevamento delle API shadow

Shadow API Discovery fa parte del componente aggiuntivo Apigee Advanced API Security. Per Shadow API Discovery, il componente aggiuntivo è applicabile per organizzazione. Per i clienti con abbonamento, è disponibile con l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono attivare il componente aggiuntivo per almeno un ambiente. Shadow API Discovery non è disponibile per gli ambienti di valutazione Apigee.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo negli ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Advanced API Security.

Ruoli e autorizzazioni richiesti per Shadow API Discovery

La tabella seguente mostra i ruoli richiesti per eseguire attività correlate a Shadow API Discovery.

Attività Ruolo o ruoli richiesti
Attivare o disattivare Advanced API Security Apigee Organization Admin (roles/apigee.admin)
Crea origini e job di osservazione API Management Admin (roles/apim.admin)
Visualizza osservazioni API Management Viewer (roles/apim.viewer)

Accedere a Shadow API Discovery nella UI Apigee

Per accedere a Shadow API Discovery nella UI di Apigee:

  1. Nella Google Cloud console, vai alla pagina Osservazione API > API shadow.

    Vai ad API Shadow

  2. La pagina principale mostra le osservazioni API già generate. Seleziona le schede Osservazioni API e Job di osservazione per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.

Creare job di osservazione

I job di osservazione forniscono le istruzioni necessarie a Shadow API Discovery per cercare le API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione dei job di osservazione.

  1. Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
  2. Seleziona una o più origini di osservazione o fai clic su Crea origine di osservazione in fondo all'elenco Origini di osservazione per creare nuove posizioni di origine, se necessario. Tieni presente che la creazione dell'origine dell'osservazione potrebbe richiedere diversi minuti.

    Le origini delle osservazioni includono:
    Nome origine: un nome che specifichi per identificare l'origine.
    Località:una località da osservare. L'inclusione di più regioni di origine consente una visione più ampia delle API nella tua infrastruttura. Consulta le best practice. È possibile creare una sola origine di osservazione in una località.
    Rete e subnet:la rete VPC e la subnet. La subnet deve trovarsi nella stessa regione della località di origine dell'osservazione.
  3. Crea un job di osservazione. Fornisci un nome del job di osservazione, che deve essere univoco per posizione. Seleziona una località, che specifica dove avverrà l'aggregazione e il trattamento dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati e a cui si accede da questa regione, in conformità alle norme di residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
  4. (Facoltativo) Abilita il job di osservazione. Puoi attivare il job quando lo crei, nel qual caso inizia a osservare immediatamente. Se non attivi immediatamente il job, puoi attivarlo in un secondo momento dall'elenco dei job di osservazione.

Attivare, disattivare ed eliminare i job di osservazione

Per modificare l'attivazione (lo stato) di un job di osservazione esistente, seleziona Attiva o Disattiva dal menu Azioni nella riga del job nella pagina Job di osservazione.

Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per il job. L'eliminazione di un job comporta anche la rimozione dei risultati dell'osservazione associati, pertanto se vuoi conservare i risultati e interrompere l'esecuzione del job, disabilitalo anziché eliminarlo. I job attivi non possono essere eliminati. Disattiva prima i job attivi se devi eliminarli.

Visualizza osservazioni API

Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e poi seleziona il Job di osservazione dall'elenco.

Pagina Osservazioni API

L'elenco delle osservazioni mostra questi valori:

  • Nome host:il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
  • Operazioni API:il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
  • IP server:IP dei server che ospitano le API rilevate.
  • Posizioni di origine: le posizioni di origine in cui è stato osservato il traffico.
  • Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata l'ultima richiesta all'API.
  • Tag:un elenco dei tag che tu o qualcun altro avete creato per etichettare questa osservazione. Per ulteriori informazioni, consulta la sezione Utilizzare i tag.
  • Azioni:azioni aggiuntive disponibili per ogni osservazione.

Visualizza i dettagli dell'osservazione

Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, vedrai la pagina dei dettagli dell'osservazione.

Dettagli del job di osservazione di Shadow API Discovery

Questa pagina include le seguenti informazioni sull'osservazione.

  • La casella di riepilogo nella parte superiore della pagina mostra:
    • ID osservazione API:si tratta di un identificatore specifico di Apigee.
    • Operazioni API:consulta la sezione Visualizzare le osservazioni API per una descrizione di questo campo.
    • Ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
    • Tag:utilizza i tag per organizzare i risultati dei job di osservazione.
    • Ora dell'ultimo evento rilevato:consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
  • Una tabella delle operazioni API specifiche rilevate in questa API scoperta. Per ogni richiesta vengono visualizzate le seguenti informazioni:
    • Percorso:il percorso della richiesta.
    • Metodo:il metodo di richiesta (ad esempio GET, PUT e così via).
    • Conteggio:il numero di richieste a quel percorso con quel metodo.
    • Richiesta di transazione: il corpo della richiesta dai dati sul traffico. Include le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
    • Intestazioni della risposta della transazione:le intestazioni della risposta dai dati sul traffico. Include le intestazioni della risposta e i conteggi delle transazioni corrispondenti per questa operazione API.
    • Codici di risposta della transazione:i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione API.
    • Data e ora della prima visualizzazione (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione API.
    • Ultima visualizzazione (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione API.

Utilizzare i tag

I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e servono solo per il tuo monitoraggio; i tag non modificano nulla nei risultati dell'osservazione né attivano alcuna azione. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non crea avvisi o notifiche. I nuovi risultati dell'osservazione non hanno tag.

I tag hanno le seguenti caratteristiche:

  • Puoi aggiungere lo stesso tag a più risultati di osservazione.
  • I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
  • Una volta creato un tag, il nome non può essere modificato. Rimuovi e ricrea il tag per rinominarlo.
  • La rimozione di un tag da tutti i risultati dell'osservazione lo elimina dal sistema.

Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.

Per gestire i tag dall'elenco delle osservazioni API:

  • Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
  • Per gestire i tag per un risultato, seleziona Gestisci tag dal menu Azioni nella riga del risultato.
  • Per gestire i tag per uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.

Per gestire i tag dai dettagli di API Observation:

  • Visualizza i tag esistenti nella sezione Tag.
  • Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.

Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona quelli esistenti o aggiungine di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.

Best practice

Ti consigliamo queste pratiche quando utilizzi Shadow API Discovery:

  • Segui le regole di residenza dei dati della tua organizzazione per garantire la conformità a eventuali leggi e normative vigenti.
  • Aggrega il maggior numero possibile di regioni di origine per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei risultati dei job di osservazione consente di ottenere una visione più ampia delle API nella tua infrastruttura.

Comportamenti e limitazioni

Questa sezione elenca i comportamenti e le limitazioni che si applicano a Shadow API Discovery:

  • L'utilizzo di Shadow API Discovery non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API shadow.
  • Shadow API Discovery trova le API shadow solo nella tua infrastruttura Google Cloud .
  • Al momento, Shadow API Discovery supporta solo i bilanciatori del carico delle applicazioni regionali.
  • Shadow API Discovery trova le API del protocollo HTTP, non gRPC.
  • Avviso:Shadow API Discovery supporta i bilanciatori del carico su una rete per progetto. Se abiliti Shadow API Discovery in un progetto con più reti, potresti notare un comportamento inatteso.
  • Potrebbero essere necessari fino a 60 minuti prima che un job di osservazione appena attivato rilevi il traffico.
  • Per rilevare le API ombra, deve esserci traffico che scorre attraverso i bilanciatori del carico nei progetti osservati. Come minimo, Shadow API Discovery richiede da pochi minuti a qualche ora di rilevamento del traffico, a seconda del volume di traffico. Il traffico sparso richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
  • Per regione, è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
  • I job di osservazione possono essere creati e disattivati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e ricrealo.
  • Al momento, solo alcune regioni sono supportate per i job di rilevamento delle API ombra. Consulta l'elenco delle regioni supportate con questa richiesta:
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
    https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations