Panoramica della funzionalità di rilevamento delle API shadow

Panoramica

La funzionalità di rilevamento delle API shadow di Apigee trova le API shadow (note anche come API non documentate) nell'infrastruttura cloud esistente. Le API shadow rappresentano un rischio per la sicurezza del sistema, in quanto potrebbero non essere protette, monitorate e gestite.

Le istruzioni riportate in questa pagina per configurare e visualizzare i risultati delle osservazioni API si basano sull'interfaccia utente di Apigee in Cloud Console. Puoi anche utilizzare le API Apigee Management (APIM) per gestire la scoperta delle API shadow. Consulta API di gestione del rilevamento delle API shadow.

Attivare il rilevamento delle API shadow

La funzionalità di rilevamento delle API shadow fa parte del componente aggiuntivo Apigee Advanced API Security. Per la scoperta delle API shadow, il componente aggiuntivo è applicabile per organizzazione. Per i clienti con abbonamento, è disponibile con l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono attivare il plug-in per almeno un ambiente. La funzionalità di rilevamento delle API shadow non è disponibile per gli ambienti di valutazione Apigee.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza API avanzata per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per saperne di più, consulta Gestire il componente Advanced API Security avanzata.

Ruoli e autorizzazioni richiesti per la scoperta di API shadow

La tabella seguente mostra i ruoli richiesti per eseguire attività relative al rilevamento delle API shadow.

Attività Ruoli richiesti
Attivare o disattivare Advanced API Security Apigee Organization Admin (roles/apigee.admin)
Creare origini e job di osservazione Amministratore API Management (roles/apim.admin)
Visualizza osservazioni Visualizzatore API Management (roles/apim.viewer)

Accedere alla scoperta delle API shadow nella console Apigee

Per accedere alla funzionalità di rilevamento delle API shadow nella console Apigee:

  1. Accedi all'interfaccia utente di Apigee nella console Cloud.
  2. Vai a API Observation > Shadow API.
  3. La pagina principale mostra eventuali osservazioni API già generate. Seleziona le schede Osservazioni API e Job di osservazione per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.

Creare job di osservazione

I job di osservazione forniscono le istruzioni necessarie a Shadow API Discovery per cercare le API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione dei job di osservazione.

  1. Seleziona la scheda Job di osservazione e fai clic su Crea job di osservazione.
  2. Seleziona una o più Origini di osservazione oppure fai clic su Crea origine di osservazione nella parte inferiore dell'elenco Origini di osservazione per creare nuove posizioni delle origini, se necessario. Tieni presente che la procedura di creazione della fonte di osservazione potrebbe richiedere diversi minuti.

    Le origini di osservazione includono:
    Nome origine: un nome specificato per identificare l'origine.
    Località: una posizione in cui effettuare l'osservazione. L'inclusione di più regioni di origine consente una visione più ampia delle API nell'infrastruttura. Consulta le best practice. In una località è possibile creare una sola fonte di osservazioni.
    Rete e Subnet:la rete e la subnet VPC. La subnet deve trovarsi nella stessa regione della posizione dell'origine dell'osservazione.
  3. Crea job di osservazione. Fornisci un nome per il job di osservazione, che deve essere univoco per ogni posizione. Seleziona una località, che specifica dove verranno eseguite l'aggregazione e l'elaborazione dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati in questa regione e vi accedono, in conformità alle norme di Google sulla residenza dei dati. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
  4. (Facoltativo) Attiva il job di osservazione. Puoi attivare il job quando lo crei, nel qual caso inizierà immediatamente l'osservazione. Se non attivi il job immediatamente, puoi attivarlo in un secondo momento dall'elenco dei job di osservazione.

Attivare, disattivare ed eliminare i job di osservazione

Per modificare l'attivazione (stato attivo) di un job di osservazione esistente, seleziona Attiva o Disattiva dal menu Azioni nella riga del job nella pagina Job di osservazione.

Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per quel job. L'eliminazione di un job comporta anche la rimozione dei risultati dell'osservazione associati al job, quindi se vuoi conservare i risultati e interrompere l'esecuzione del job, disattivalo anziché eliminarlo. I job attivi non possono essere eliminati. Se devi eliminarli, disattivali prima.

Visualizza le osservazioni API

Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e seleziona il Job di osservazione dall'elenco.

Pagina Osservazioni API

L'elenco delle osservazioni mostra i seguenti valori:

  • Nome host:il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
  • Operazioni API: il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
  • IP dei server:gli IP dei server che ospitano le API rilevate.
  • Località di origine: le località di origine in cui è stato osservato il traffico.
  • Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata la richiesta più recente all'API.
  • Tag:un elenco dei tag creati da te o da qualcun altro per etichettare questa osservazione. Per ulteriori informazioni, consulta Utilizzare i tag.
  • Azioni:azioni aggiuntive disponibili per ogni osservazione.

Visualizzare i dettagli dell'osservazione

Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, viene visualizzata la pagina dei dettagli dell'osservazione.

Dettagli del job di osservazione Discovery API Shadow

Questa pagina include le seguenti informazioni sull'osservazione.

  • La casella del riepilogo nella parte superiore della pagina mostra:
    • ID osservazione API:si tratta di un identificatore specifico di Apigee.
    • Operazioni API:consulta Visualizza le osservazioni dell'API per una descrizione di questo campo.
    • Data/ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
    • Tag: utilizza i tag per organizzare i risultati dei job di osservazione.
    • Ora dell'ultimo evento rilevato: consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
  • Una tabella di operazioni API specifiche rilevate in questa API scoperta. Per ogni richiesta, vengono visualizzate le seguenti informazioni:
    • Percorso:il percorso della richiesta.
    • Metodo:il metodo di richiesta (ad es. GET, PUT e così via).
    • Conteggio:il numero di richieste al percorso con quel metodo.
    • Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Sono incluse le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
    • Intestazioni di risposta delle transazioni: le intestazioni di risposta dei dati sul traffico. Sono incluse le intestazioni di risposta e i conteggi delle transazioni corrispondenti per questa operazione API.
    • Codici di risposta della transazione:i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione dell'API.
    • Primo rilevamento (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione dell'API.
    • Ultimo accesso (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione dell'API.

Utilizzare i tag

I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e sono destinati solo al monitoraggio. I tag non modificano i risultati dell'osservazione né attivano azioni. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non genera notifiche o avvisi. I nuovi risultati di osservazione non hanno tag.

I tag hanno le seguenti caratteristiche:

  • Puoi aggiungere lo stesso tag a più risultati di osservazione.
  • I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
  • Una volta creato, il nome di un tag non può essere modificato. Per rinominarlo, rimuovi e ricrea il tag.
  • Se rimuovi un tag da tutti i risultati dell'osservazione, questo viene eliminato dal sistema.

Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.

Per gestire i tag dall'elenco delle osservazioni dell'API:

  • Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
  • Per gestire i tag di un risultato, seleziona Gestisci tag dal menu Azioni nella riga corrispondente.
  • Per gestire i tag di uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.

Per gestire i tag dai dettagli dell'osservazione dell'API:

  • Visualizza i tag esistenti nella sezione Tag.
  • Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.

Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona quelli esistenti o creane di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.

Best practice

Ti consigliamo queste pratiche quando utilizzi la scoperta API shadow:

  • Rispetta le regole di residenza dei dati della tua organizzazione per garantire la conformità a eventuali normative e leggi vigenti.
  • Esegui l'aggregazione da quante più regioni di origine possibile per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei job di osservazione consente di avere una visualizzazione più ampia delle API nell'intera infrastruttura.

Comportamenti e limitazioni

Questa sezione elenca i comportamenti e le limitazioni che si applicano a Shadow API Discovery:

  • L'utilizzo della funzionalità di rilevamento delle API shadow non garantisce l'osservazione del 100% del traffico o la rilevamento di tutte le API shadow.
  • Il rilevamento delle API shadow trova le API shadow solo nella tua Google Cloud infrastruttura.
  • Al momento, Shadow API Discovery supporta solo bilanciatori del carico delle applicazioni regionali.
  • Il rilevamento delle API shadow trova le API del protocollo HTTP, non gRPC.
  • Avviso: Discovery API shadow supporta i bilanciatori del carico su una rete per progetto. Se attivo il rilevamento delle API shadow in un progetto con più reti, potresti notare un comportamento imprevisto.
  • Potrebbero essere necessari fino a 60 minuti prima che un nuovo job di osservazione abilitato rilevi il traffico.
  • Per rilevare le API shadow, deve essere presente traffico che passa attraverso i bilanciatori del carico nei progetti osservati. Come minimo, la scoperta API shadow richiede da alcuni minuti a qualche ora di rilevamento del traffico, a seconda del volume di traffico. Il traffico sporadico richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
  • Per regione è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
  • I job di osservazione possono essere creati e disattivati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e creane uno nuovo.
  • Al momento, solo alcune regioni sono supportate per i job di rilevamento delle API shadow. Consulta l'elenco delle regioni supportate con questa richiesta: 
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations