Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d' Apigee Edge.
La page Actions de sécurité vous permet de créer des actions de sécurité qui définissent la manière dont Apigee gère le trafic détecté, en fonction des informations de la page Détection d'abus. Par exemple, vous pouvez créer une action de sécurité visant à refuser les requêtes provenant d'une adresse IP identifiée comme une source d'abus. Lorsqu'une requête provenant de cette adresse est reçue, Apigee l'empêche d'accéder à vos API. Vous pouvez également créer une action de sécurité pour refuser les requêtes taguées avec des règles de détection spécifiées.
Outre les actions de refus, vous pouvez également créer des actions de signalement, qui ajoutent des en-têtes aux requêtes détectées, ou des actions d'autorisation, qui remplacent une action de refus dans des cas spécifiques. Consultez la section Actions de sécurité.
Pour connaître les rôles nécessaires pour effectuer des tâches liées aux actions de sécurité, consultez la section Rôles requis pour les actions de sécurité.
Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.
Fonctionnement des actions de sécurité
Sur la page Actions de sécurité, vous pouvez prendre des mesures pour autoriser, refuser ou signaler explicitement les requêtes de clients spécifiques. Apigee applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous prenez des mesures soit parce que les requêtes correspondent à des modèles de comportement indésirable, soit (dans le cas de l'action d'autorisation) parce que vous souhaitez remplacer une action de refus pour des adresses IP spécifiques.
L'action de signalement permet aux requêtes de transmettre à vos API, mais ajoute jusqu'à cinq en-têtes aux requêtes signalées afin que vous puissiez les suivre pour observer leur comportement.
Pour identifier les requêtes à traiter, vous pouvez utiliser les vues de détection d'abus, de trafic détecté ou d'incident, qui indiquent les adresses IP qui constituent une source d'abus. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.
Actions de sécurité
Vous pouvez effectuer les types d'actions de sécurité suivants.
Action | Description | Ordre de priorité |
---|---|---|
Autoriser | Autorise certaines requêtes qui seraient autrement bloquées par une action de refus. Par exemple, supposons que vous ayez créé une action de sécurité permettant de refuser le trafic signalées avec une règle de détection. Vous pouvez créer une action d'autorisation pour remplacer l'action de refus pour les requêtes provenant d'une adresse IP spécifique de confiance. | 1 |
Refuser | Bloque toutes les requêtes qui répondent aux conditions de l'action, par exemple celles provenant d'une adresse IP spécifiée. Lorsque vous choisissez de refuser les requêtes, Apigee répond au client avec un code de réponse que vous pouvez choisir. | 2 |
Option | Signalez les requêtes qui répondent à la condition de l'action afin que vos services de backend puissent les prendre en compte. Lorsque vous signalez les requêtes d'un client, Apigee ajoute jusqu'à cinq en-têtes, que vous définissez, à la requête. Vos services de backend peuvent traiter les appels d'API conformément à ces signalements, par exemple en redirigeant les appels vers un autre flux. L'action de signalement permet de signaler à vos services de backend qu'un appel d'API est suspect. | 3 |
Ordre de priorité
Lorsqu'une requête remplit la condition de plusieurs actions de sécurité, l'ordre de priorité des actions détermine quelle action est effectuée. Par exemple, supposons qu'une requête remplisse les conditions d'une action d'autorisation et d'une action de refus. Étant donné que l'ordre de priorité d'une action d'autorisation est de 1 et que l'ordre de priorité d'une action de refus est de 2, l'action d'autorisation est prioritaire, la requête est donc autorisée à accéder à l'API.
Par exemple, vous pouvez autoriser les requêtes provenant de l'adresse IP d'un client interne ou approuvé, même si ces requêtes correspondent à une action de refus distincte. L'ordre de priorité garantit qu'une action d'autorisation pour l'adresse IP approuvée remplace toute action de refus.
Actions de sécurité spécifiques au proxy
Une action de sécurité peut s'appliquer à tous les proxys d'un environnement ou uniquement à un ou plusieurs proxys spécifiques de l'environnement. Pour en savoir plus sur les limites des actions de sécurité spécifiques aux proxys, consultez la section Limites des actions de sécurité.
Limites des actions de sécurité
Les actions de sécurité sont appliquées au niveau de l'environnement Apigee. Pour chaque environnement, les actions de sécurité présentent les limites suivantes :
- Vous pouvez utiliser au maximum 1 000 actions dans un environnement à tout moment.
- Vous pouvez ajouter au maximum cinq en-têtes de signalement pour chaque action.
- Les actions de sécurité spécifiques aux proxys sont compatibles avec un maximum de 100 proxy.
- Les actions de sécurité spécifiques au proxy ne sont pas compatibles avec Apigee hybrid pour le moment.
Latences
Les actions de sécurité présentent les latences suivantes :
- Lorsque vous créez une action de sécurité, la prise en compte de celle-ci peut prendre jusqu'à 10 minutes. Une fois qu'une action a pris effet et a été appliquée à un certain trafic d'API, vous pouvez consulter les effets de l'action sur la page Détails des actions de sécurité. Remarque : Même si l'action a pris effet, vous ne pouvez pas déterminer à partir de la page des détails de l'action de sécurité, sauf si l'action a été appliquée à un certain trafic d'API.
- Les actions de sécurité activées entraînent une légère augmentation (moins de 2 %) du temps de réponse du proxy d'API.
Ouvrir la page Actions de sécurité
Pour ouvrir la page Actions de sécurité, procédez comme suit :
- Ouvrez l'interface utilisateur d'Apigee dans la console Cloud.
- Sélectionnez Advanced API Security > Actions de sécurité.
La page principale Actions de sécurité s'ouvre, comme illustré ci-dessous :
Sur la page Actions de sécurité, vous pouvez effectuer les actions suivantes :
- Créer une action de sécurité
- Suspendre toutes les actions de sécurité activées
- Pour activer ou désactiver une action de sécurité individuelle, utilisez le menu à trois points de la ligne correspondante.
La page Actions de sécurité affiche la liste des actions de sécurité, avec les détails suivants :
- Nom : nom de l'action
- État : état de l'action, qui peut être Activé, Suspendu ou Désactivé
- Action : action de sécurité
- Expiration (UTC) : date d'expiration de l'action
- Dernière mise à jour (UTC) : date et heure de la dernière mise à jour de l'action
- Un menu à trois points dans lequel vous pouvez activer ou désactiver une action de sécurité. Pour ce faire, cliquez sur le menu se trouvant sur la ligne de l'action, puis sélectionnez Activer ou Désactiver. Les actions de sécurité désactivées n'affectent pas les requêtes API.
Créer une action de sécurité
Cette section explique comment créer une action de sécurité. Notez qu'actuellement, une fois qu'une action de sécurité est créée, vous ne pouvez plus la supprimer ni modifier ses paramètres. Vous pouvez désactiver l'action (pour l'empêcher d'être appliquée), mais elle apparaîtra toujours dans l'UI Apigee.
Pour créer une action de sécurité :
- En haut de la page Actions de sécurité, cliquez sur Créer pour ouvrir la boîte de dialogue Créer une action de sécurité, comme illustré ci-dessous.
- Sous Paramètres généraux, saisissez les paramètres suivants :
- Nom : nom de l'action de sécurité
- Description (facultatif) : brève description de l'action
- Environnement : environnement dans lequel vous souhaitez créer l'action de sécurité
- Proxys (facultatif) : proxys auxquels vous souhaitez appliquer l'action de sécurité.
Limitez la liste des proxys par nom à l'aide du champ Filtrer.
- Laissez le champ Proxies vide pour appliquer l'action de sécurité à tous les proxys actuels et futurs de l'environnement.
- Sélectionnez des proxys individuels pour n'appliquer l'action de sécurité qu'à ces proxys, quels que soient les nouveaux proxys ajoutés à l'environnement par la suite.
- Utilisez Tout sélectionner pour sélectionner tous les proxys actuels de l'environnement. Les proxys ajoutés ultérieurement ne seront pas automatiquement inclus dans la règle.
- Expiration : date et heure d'expiration de l'action, le cas échéant Sélectionnez Jamais ou Personnalisé, puis saisissez la date et l'heure d'expiration de l'action. Vous pouvez également modifier le fuseau horaire.
- Cliquez sur Suivant pour afficher la section Rule (Règle), comme illustré ci-dessous :
Dans cette section, vous allez créer la règle pour l'action de sécurité. Saisissez ce qui suit :
- Type d'action : type de l'action de sécurité, parmi les suivants :
- Autoriser : la requête est autorisée.
- Refuser : la requête est refusée. Si vous sélectionnez Refuser, vous pouvez également spécifier le code de réponse renvoyé lorsqu'une requête est refusée. Il peut s'agir de l'un des éléments suivants :
- Prédéfini : sélectionnez un code HTTP
- Personnalisé : saisissez un code de réponse
- Signalement : la requête est autorisée, mais également signalée avec un en-tête HTTP spécial qu'un proxy recherche pour déterminer si la requête nécessite un traitement spécial. Pour définir l'en-tête, sous En-têtes, sélectionnez Signalement, vous pouvez également créer les éléments suivants sous En-têtes :
- Nom de l'en-tête
- Valeur d’en-tête
- Conditions : conditions dans lesquelles l'action de sécurité est effectuée.
Sous Nouvelle condition, saisissez les informations suivantes :
- Type de condition : il peut s'agir de Règles de détection ou de l'un des attributs suivants :
- Adresses IP/Plages CIDR, qui peuvent inclure à la fois des adresses IP et des plages CIDR IPv4.
- Clés API, une ou plusieurs clés API.
- Produits d'API : un ou plusieurs produits d'API Apigee.
- Jetons d'accès, un ou plusieurs jetons d'accès.
- Développeurs : une ou plusieurs adresses e-mail de développeurs Apigee.
- Applications de développeur : une ou plusieurs applications de développeur Apigee.
- User-agents (un ou plusieurs)
- Méthodes HTTP, méthodes HTTP telles que GET ou PUT.
- Codes région : liste des codes région à traiter. Voir les codes ISO 3166-1 alpha-2.
- Numéros de système autonome (ASN), liste des numéros ASN à traiter, par exemple "23". Voir Système autonome (Internet).
- Valeurs : saisissez l'une des valeurs suivantes :
- Si Type de condition est défini sur Règles de détection, sélectionnez un ensemble de règles de détection qu'une requête doit déclencher pour que l'action de sécurité s'applique.
- Si Type de condition est un attribut, saisissez les valeurs de l'attribut auquel vous souhaitez appliquer l'action de sécurité. Par exemple, si l'attribut est Adresses IP/Plages CIDR, saisissez les adresses IP des sources des requêtes auxquelles vous souhaitez appliquer l'action de sécurité. Vous pouvez saisir une liste d'adresses IPv4 ou IPv6 séparées par une virgule.
- Type de condition : il peut s'agir de Règles de détection ou de l'un des attributs suivants :
- Type d'action : type de l'action de sécurité, parmi les suivants :
- Cliquez sur Créer pour créer l'action de sécurité.
Suspendre toutes les actions activées
Pour suspendre toutes les actions de sécurité activées, cliquez sur Suspendre les actions activées en haut de la page Actions de sécurité. Lorsque les actions de sécurité sont suspendues, elles n'affectent pas les requêtes API. Utilisez cette fonctionnalité lorsque vous devez diagnostiquer un problème avec toutes les actions de sécurité. Pour désactiver une action de sécurité individuelle, utilisez le menu à trois points de la ligne correspondante.
Pour reprendre toutes les actions de sécurité activées, cliquez sur Reprendre les actions suspendues.
Afficher les détails de l'action de sécurité
Pour afficher les données de trafic d'API récentes associées à une action de sécurité, sélectionnez la ligne de l'action de sécurité sur la page principale des actions de sécurité. La page "Informations sur l'action de sécurité" s'affiche. Elle comporte deux onglets :
Présentation
Sélectionnez l'onglet Présentation pour afficher la page Présentation :
La page Présentation affiche des informations sur le trafic récent des API au cours de la période sélectionnée en haut de la page : 12 heures, 1 jour, 1 semaine ou 2 semaines.
La page affiche les données de trafic suivantes :
- Type d'action : type d'action, qui peut être refuser, autoriser ou signaler.
- Trafic total de l'environnement : nombre total de requêtes dans l'environnement
- Trafic total détecté pour l'événement : nombre de requêtes associées à l'événement
- Trafic total affecté par l'action :
- Pour une action de refus, nombre de requêtes refusées.
- Nombre de requêtes signalées pour une action de signalement.
- Pour une action d'autorisation, nombre de requêtes autorisées.
La page affiche également les graphiques suivants :
- Tendances de trafic de l'environnement : graphiques représentant le trafic détecté, le trafic signalé et le trafic total dans l'environnement. Voir la remarque ci-dessus.
- Top des règles
- Top des pays
- Détails des actions
Attributs
Sélectionnez l'onglet Attributs pour afficher la page Attributs :
La page Attributs affiche les données de l'action de sécurité par attributs, également appelés dimensions, qui sont des regroupements des données, ce qui vous permet d'afficher l'action de sécurité de différentes manières. Par exemple, l'attribut "Produits d'API" vous permet d'afficher l'action de sécurité par produit d'API.
Les informations affichées dans la page Attributs est semblable à la vue Attributs de la page Détails de l'incident de la détection des abus.