Esta página foi traduzida pela API Cloud Translation.

Visão geral e UI das ações de segurança

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Com as ações de segurança da Segurança avançada de API, é possível configurar ações que definem como a Apigee lida com o tráfego. Por exemplo, é possível criar uma ação de segurança para negar solicitações de um endereço IP identificado pela detecção de abuso como abuso e impedir que ele acesse suas APIs.

Para usar esse recurso, é necessário ativar o complemento. Se você é um cliente de assinatura, ative o complemento para sua organização. Consulte Gerenciar organizações da Segurança avançada da API por assinatura se quiser mais detalhes. Se você é um cliente de pagamento por uso, ative o complemento nos seus ambientes qualificados. Para mais informações, consulte Gerenciar o complemento Segurança avançada da API.

Esta página oferece uma visão geral da funcionalidade de ação de segurança e como usá-la na interface da Apigee no console do Cloud. Também é possível gerenciar ações de segurança usando a API Security Actions ou o Terraform.

Consulte também Papéis necessários para ações de segurança para saber quais são os papéis necessários para realizar tarefas de ações de segurança.

Como as ações de segurança funcionam

Com as ações de segurança, é possível permitir, negar ou sinalizar solicitações com base em condições específicas. A Apigee aplica essas ações às solicitações antes que os proxies de API as processem. Normalmente, a ação é realizada porque as solicitações estão em conformidade com padrões de comportamento indesejado ou, no caso da ação de permissão, porque você quer modificar uma ação de negação para tráfego específico.

A ação de flag permite que as solicitações sejam transmitidas para as APIs, mas adiciona até cinco cabeçalhos a solicitações sinalizadas para que você possa acompanhá-las e observar o comportamento delas.

Uma maneira de identificar em quais solicitações agir é usar as visualizações Detecção de abuso, Tráfego detectado ou Incidentes, que mostram endereços IP e chaves de API que são fontes de abuso.

Ações de segurança

Você pode realizar os tipos de ações de segurança a seguir.

Tipo de ação	Descrição	Ordem de precedência
Permitir	Permite algumas solicitações que seriam bloqueadas por uma ação de negação. Por exemplo, suponha que você tenha criado uma ação de segurança para negar tráfego marcado com uma regra de detecção. Você pode criar uma ação de permissão para substituir a ação de negação para solicitações com algumas condições específicas.	1
Negar	Bloqueia todas as solicitações que atendem às condições da ação, por exemplo, originadas de um endereço IP especificado. Quando você opta por negar solicitações, a Apigee responde ao cliente com um código de resposta à sua escolha.	2
Sinalização	Sinalize solicitações que atendam à condição especificada para que os serviços de back-end possam agir sobre elas. Quando você sinaliza as solicitações de um cliente, a Apigee adiciona até cinco cabeçalhos, que você define, à solicitação. Os serviços de back-end podem processar as chamadas de API de acordo com essas flags, por exemplo, redirecionando as chamadas para um fluxo diferente. Com a ação de flag, é possível sinalizar aos serviços de back-end que uma chamada de API é suspeita.	3

Ordem de precedência

Quando uma solicitação atende à condição de mais de uma ação de segurança, a ordem de precedência das ações determina qual ação vai ser executada. Por exemplo, suponha que uma solicitação atenda às condições de uma ação de permissão e negação. Como a ordem de precedência de uma ação de permissão é 1 e a ordem de precedência de uma ação de negação é 2, a ação de permissão tem precedência. Portanto, a solicitação tem acesso permitido à API.

Por exemplo, é possível permitir solicitações do endereço IP de um cliente interno ou confiável, mesmo que elas correspondam a uma ação de negação separada. A ordem de precedência garante que uma ação de permissão para o endereço IP confiável substituiria qualquer ação de negação.

Ações de segurança específicas do proxy

Uma ação de segurança pode ser aplicada a todos os proxies em um ambiente ou apenas a um proxy específico ou proxies específicos no ambiente. Consulte Limitações das ações de segurança para ver as limitações das ações de segurança específicas do proxy.

Status das ações de segurança

Cada ação de segurança tem um status:

Ativada: a ação de segurança está ativa e afeta as solicitações de API enquanto não expirar.
Desativada: a ação de segurança está inativa e não afeta as solicitações de API.
Pausada: a ação de segurança está inativa e não afeta as solicitações de API.

Limitações das ações de segurança

As ações de segurança são aplicadas no nível do ambiente da Apigee. Para cada ambiente, as ações de segurança têm as seguintes limitações:

No máximo 1.000 ações ativadas para um ambiente são permitidas a qualquer momento. As ações ativadas que também expiraram contam para esse limite.
É possível adicionar no máximo cinco cabeçalhos de flag para cada ação.
As ações de segurança específicas do proxy oferecem suporte a um máximo de 100 proxies.
No momento, a Apigee híbrida não oferece suporte a ações de segurança específicas do proxy.
Não é possível ter várias ações de segurança com o mesmo nome. É possível criar várias ações com o mesmo nome criando várias ações em rápida sucessão. Nesse caso, apenas a ação mais recente com esse nome é válida.

Latências

As ações de segurança têm as seguintes latências:

Quando você cria, edita ou exclui uma ação de segurança, pode levar até 10 minutos para que a mudança entre em vigor. Quando uma nova ação entrar em vigor e for aplicada a parte do tráfego da API, você poderá ver os efeitos dela na página Detalhes da ação de segurança. Observação:não é possível determinar se uma ação entrou em vigor na página de detalhes da ação de segurança, a menos que ela tenha sido aplicada a algum tráfego da API.
As ações de segurança ativadas geram um pequeno aumento (menos de 2%) no tempo de resposta do proxy de API.

Gerenciar ações de segurança na UI

Esta seção descreve como usar a página Ações de segurança na interface da Apigee no console do Cloud. Também é possível gerenciar ações de segurança usando a API Security Actions.

Abra a página Ações de segurança.

Para abrir a página Ações de segurança:

No console do Google Cloud , acesse a página Segurança avançada da API > Ações de segurança.

Acessar "Ações de segurança"

Isso abre a página principal Ações de segurança:

Na página Ações de segurança, você pode fazer o seguinte:

Criar uma nova ação de segurança
Editar uma ação de segurança.
Ativar ou desativar ações de segurança.
Pausar todas ou algumas ações de segurança ativadas.
Excluir ações de segurança.

A página Ações de segurança exibe uma lista de ações de segurança, com os seguintes detalhes:

Nome: o nome da ação de segurança. Clique no nome para ver os detalhes da ação.
Status: o status da ação. Consulte Status das ações de segurança.
Ação: o tipo de ação de segurança.
Validade (UTC): a data de validade da ação.
Última atualização (UTC): a última data e hora em que a ação foi atualizada.
Um menu de três pontos em que você pode editar, desativar, ativar ou excluir a ação.

Criar ou editar uma ação de segurança

Nesta seção, explicamos como criar ou editar uma ação de segurança. Não é possível mudar o nome da ação de segurança ou o ambiente depois de criados.

Para criar ou editar uma ação de segurança:

Abra a página Ações de segurança.
Para criar uma ação de segurança, clique em Criar na parte de cima da página. Para editar uma ação de segurança existente, clique em "Editar" no menu de três pontos dessa ação na lista de ações ou selecione a ação e clique em Editar na parte de cima da página.
Em Configurações gerais, insira ou edite as seguintes configurações:
- Nome: um nome para a ação de segurança.
- Descrição (opcional): uma breve descrição da ação.
- Ambiente: o ambiente em que você quer criar a ação de segurança.
- Proxies (opcional): os proxies em que você quer aplicar a ação de segurança. Limite a lista de proxies por nome usando o campo Filtro.
  - Deixe o campo Proxies em branco para aplicar a ação de segurança a todos os proxies atuais e futuros no ambiente.
  - Selecione proxies individuais para aplicar a ação de segurança apenas a eles, independentemente de novos proxies adicionados ao ambiente mais tarde.
  - Use Selecionar tudo para selecionar todos os proxies atuais no ambiente. Os proxies adicionados mais tarde não serão incluídos automaticamente na regra.
- Validade: a data e a hora em que a ação expira, se houver. Selecione Nunca ou Personalizado e insira a data e a hora em que a ação deve expirar. Também é possível modificar o fuso horário.
Clique em Avançar para exibir a seção Regra. Nesta seção, insira ou edite:
- Tipo de ação:o tipo de ação de segurança:
  - Permitir:a solicitação é permitida.
  - Negar: a solicitação é negada. Se você selecionar Negar, também poderá especificar o código de resposta retornado quando uma solicitação é negada. Pode ser:
    - Predefinido: selecione um código HTTP.
    - Personalizado: digite um código de resposta.
  - Flag: a solicitação é permitida, mas também sinalizada com um cabeçalho HTTP especial que um proxy procura para determinar se requer processamento especial. Para definir o cabeçalho, em Cabeçalhos. Se você selecionar Flag, também é possível criar o seguinte em Cabeçalhos:
    - Nome do cabeçalho
    - Valor do cabeçalho
- Condições: as condições em que a ação de segurança é realizada. Em Nova condição, insira o seguinte:
  - Tipo de condição:pode ser Regras de detecção ou um dos seguintes atributos:
    - Endereços IP/intervalos CIDR, que podem incluir endereços IP e intervalos CIDR IPv4 ao mesmo tempo.
    - Chaves de API: uma ou mais chaves de API.
    - Produtos de API: um ou mais produtos de API da Apigee.
    - Tokens de acesso: um ou mais tokens de acesso.
    - Desenvolvedores: um ou mais endereços de e-mail de desenvolvedores do Apigee.
    - Apps para desenvolvedores: um ou mais apps para desenvolvedores da Apigee.
    - User agents, um ou mais user agents.
    - Métodos HTTP, métodos HTTP, como GET ou PUT.
    - Códigos de região: uma lista de códigos de região a serem usados. Consulte Códigos ISO 3166-1 alfa-2.
    - Números de sistema autônomo (ASN, na sigla em inglês), uma lista de números de ASN a serem usados, como "23". Consulte Sistema autônomo (Internet).
    Observações:
    - Para os tipos de condição Regras de detecção e Intervalo CIDR/Endereços IP, é possível criar no máximo duas condições com esses tipos. Para qualquer outro tipo de condição, é possível criar no máximo uma condição.
    - Para usar as condições chaves de API, produtos de API, tokens de acesso, desenvolvedores ou apps para desenvolvedores, também é necessário usar a política Verify API Key ou a OAuthV2. Consulte Como as chaves de API funcionam para mais informações.
    - Para a Apigee híbrida, estas condições estão disponíveis na versão 1.12 e mais recentes: chaves de API, produtos de API, tokens de acesso, desenvolvedores, apps de desenvolvedor e user agents. Estas condições estão disponíveis na versão 1.13 e mais recentes: números de sistema autônomo, intervalos CIDR, métodos HTTP e códigos de região.
  - Valores: insira uma das seguintes opções:
    - Se o Tipo de condição for Regras de detecção, selecione um conjunto de regras de detecção para as quais uma solicitação precisa ter sido acionada para a ação de segurança a ser aplicada.
    - Se o Tipo de condição for um atributo, insira os valores dele para aplicar a ação de segurança. Por exemplo, se o atributo for Endereços IP/intervalos CIDR, insira os endereços IP das origens das solicitações às quais você quer que a ação de segurança seja aplicada. Você pode inserir uma lista separada por vírgulas de endereços IPv4 e IPv6.
Clique em Criar para criar a ação de segurança.

Ativar, desativar, pausar ou excluir ações de segurança

Esta seção descreve como mudar o status de uma ação de segurança na página Ações de segurança. Consulte Status das ações de segurança para saber mais sobre cada tipo de status e como ele afeta as ações em solicitações de API.

Estas são as ações que você pode realizar para mudar os status:

Para desativar uma ação de segurança ativa, clique no menu de três pontos na linha da ação e selecione Desativar ou clique no nome da ação de segurança e em Desativar na parte de cima da página.
Para ativar uma ação de segurança, clique no menu de três pontos na linha da ação e selecione Ativar ou clique no nome da ação de segurança e em Ativar na parte de cima da página.
Para pausar todas as ações de segurança ativas e desativá-las temporariamente, clique em Pausar ações ativadas na parte de cima da lista de ações de segurança da página. Para retomar todas as ações pausadas, clique em Retomar ações pausadas na parte de cima da página.
Observação:quando você retoma todas as ações ativadas, as desativadas permanecem desativadas.

Você também pode excluir uma ação de segurança. A exclusão remove permanentemente o item da sua configuração. Para excluir uma ação de segurança, clique no menu de três pontos na linha da ação e selecione Excluir ou clique no nome da ação de segurança e em Excluir na parte de cima da página.

Mais detalhes da ação de segurança

Para ver os dados recentes de tráfego da API relacionados a uma ação de segurança, clique no nome dela na página principal "Ações de segurança". Isso exibe a página de detalhes da ação de segurança, que tem duas guias: Visão geral e Atributos.

Visão geral

Selecione a guia Visão geral para exibir a página Visão geral:

Página de detalhes das ações de segurança.

A página Visão geral exibe informações sobre o tráfego recente da API durante o período selecionado na parte superior da página: 12 horas, 1 dia, 1 semana ou 2 semanas.

A página mostra os seguintes dados de tráfego:

Tipo de ação: negar, permitir ou sinalizar. Consulte Ações de segurança para informações sobre os tipos de ação.
Tráfego total do ambiente: o número total de solicitações no ambiente.
Tráfego total do evento detectado:o número de solicitações que foram "detectadas" (acionaram uma regra de abuso) no ambiente.
Tráfego total afetado pela ação:
- Para uma ação de negação, o número de solicitações negadas.
- Para uma ação de flag, é o número de solicitações sinalizadas.
- O número de solicitações permitidas para uma ação de permissão.

A página também exibe os seguintes gráficos:

Tendências de tráfego do ambiente: gráficos de tráfego detectado, tráfego sinalizado e tráfego total do ambiente. Esse gráfico está restrito a um intervalo recente que contém todo o tráfego observado. Esse intervalo pode ser menor do que o selecionado.
Principais regras
Principais países
Detalhes da ação

Atributos

Selecione a guia Atributos para exibir a página Atributos.

A página Atributos exibe dados da ação de segurança por atributos, também conhecidos como dimensões, que são agrupamentos dos dados que permitem visualizar a ação de segurança de maneiras diferentes. Por exemplo, o atributo de produtos da API permite que você visualize a ação de segurança por produto da API.

As informações mostradas na página Atributos são semelhantes à visualização Atributos dos Atributos de detalhes do incidente da detecção de abuso.