安全性動作

本頁適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

您可以透過「安全性動作」頁面建立安全性動作,定義 Apigee 處理偵測到的流量的方式,也就是觸發濫用行為偵測規則的流量。舉例來說,您可以建立安全性動作,拒絕濫用行為偵測功能已識別為濫用行為的 IP 位址所提出的要求,並封鎖這些 IP 位址存取您的 API。

如要使用這項功能,您必須啟用加購項目。如果您是訂閱客戶,可以為機構啟用外掛程式。詳情請參閱「 為訂閱機構管理進階 API 安全性」。如果您是預付費客戶,可以在符合資格的環境中啟用外掛程式。詳情請參閱「 管理進階 API 安全性外掛程式」。

此外,請參閱「 安全性動作所需的角色」,瞭解執行安全性動作工作所需的角色。

安全性動作的運作方式

在「安全性動作」頁面中,您可以採取行動,明確允許、拒絕或標記特定用戶端的要求。Apigee 會在 API 代理程式處理要求前,將這些動作套用至要求。通常,您會採取行動,是因為要求符合不當行為的模式,或是 (在允許動作的情況下) 您想要針對特定 IP 位址覆寫拒絕動作。

標記動作可讓要求傳遞至 API,但會在標記的要求中加入最多五個標頭,方便您追蹤並觀察這些要求的行為。

如要找出要採取行動的請求,您可以使用「濫用行為偵測」偵測到的流量或「事件」檢視畫面,這兩個檢視畫面會顯示濫用行為來源的 IP 位址。您可以採取行動,封鎖來自這些 IP 位址的要求。

安全性動作

您可以採取下列類型的安全防護措施。

動作 說明 優先順序
允許 允許某些要求,否則這些要求會遭到拒絕動作封鎖。舉例來說,假設您已建立安全動作,拒絕標示有偵測規則的流量。您可以建立允許動作,針對您信任的特定 IP 位址的請求,覆寫拒絕動作。 1
拒絕 封鎖符合動作條件的所有要求,例如來自特定 IP 位址的要求。當您選擇拒絕要求時,Apigee 會使用您選擇的回應代碼回應用戶端。 2
旗標 標記符合動作條件的請求,以便後端服務採取行動。當您標示用戶端要求時,Apigee 會在要求中加入最多五個您定義的標頭。後端服務可以根據這些標記處理 API 呼叫,例如將呼叫重新導向至其他流程。標記動作可讓您向後端服務發出 API 呼叫的可疑信號。 3

優先順序

如果要求符合多個安全性動作的條件,則系統會根據動作的優先順序決定要執行哪個動作。舉例來說,假設要求同時符合允許和拒絕動作的條件。由於允許動作的優先順序為 1,而拒絕動作的優先順序為 2,因此允許動作優先,因此要求可存取 API。

舉例來說,您可能會想允許內部或信任用戶端的 IP 位址提出要求,即使這些要求與個別拒絕動作相符也一樣。優先順序可確保信任 IP 位址的允許動作會覆寫任何拒絕動作。

代理程式專屬安全性動作

安全性動作可套用至環境中的所有 Proxy,或僅套用至環境中的特定 Proxy。如要瞭解代理特定安全性動作的限制,請參閱「 安全性動作的限制」。

安全性動作限制

安全性動作會在 Apigee 環境層級強制執行。每個環境的安全性動作都有下列限制:

  • 任何時間點最多只能為環境啟用 1000 個動作。
  • 每個動作最多可新增 5 個標頭。
  • 特定 Proxy 安全性動作最多支援 100 個 Proxy。
  • Apigee hybrid 目前不支援 Proxy 專屬安全性動作。
  • 系統不支援多個同名安全性動作。您可能會在短時間內建立多個動作,導致多個動作名稱相同。在這種情況下,只有最近一次的動作會生效。

延遲

安全性動作的延遲時間如下:

  • 建立安全防護動作時,該動作最多可能需要 10 分鐘才會生效。措施生效並套用至部分 API 流量後,您就能在「安全性動作詳細資料」頁面中查看措施的影響。注意:即使已採取行動,您也無法從「安全性操作詳細資料」頁面判斷,除非該操作已套用至部分 API 流量。
  • 啟用安全性動作會導致 API 代理程式回應時間略微增加 (不到 2%)。

開啟「安全性動作」頁面

如何開啟「安全性動作」頁面:

  1. 開啟 Cloud 控制台中的 Apigee UI
  2. 依序選取「進階 API 安全性」>「安全性動作」

這會開啟主要的「安全性動作」頁面,如下所示:

安全性動作主頁。

您可以在「安全性動作」頁面中執行下列操作:

「安全性動作」頁面會顯示安全性動作清單,並提供以下詳細資料:

  • 名稱:動作名稱。
  • 狀態:動作的狀態,可為「已啟用」、「已暫停」或「已停用」
  • 動作安全性動作
  • 到期時間 (世界標準時間):動作的到期日期。
  • 上次更新時間 (世界標準時間):上次更新動作的日期和時間。
  • 三點圖示選單,可用來啟用或停用安全性動作。如要這樣做,請按一下該動作所在列的選單,然後選取「啟用」或「停用」。停用的安全性動作不會影響 API 要求。

建立安全性動作

本節將說明如何建立安全性動作。請注意,目前建立安全性動作後,無法刪除該動作,也無法變更設定。您可以停用該動作 (避免系統強制執行),但該動作仍會顯示在 Apigee UI 中。

如要建立新的安全性動作,請按照下列步驟操作:

  1. 在「安全性動作」頁面頂端,按一下「建立」,開啟「建立安全性動作」對話方塊,如下所示。

    建立安全性操作檢視畫面。

  2. 在「一般設定」下方,輸入下列設定:
    • 名稱:安全性動作的名稱。
    • 說明 (選填):動作的簡短說明。
    • 環境:您要在其中建立安全性動作的環境。
    • Proxy (選用):您要套用安全性動作的 Proxy。使用「Filter」欄位,依名稱限制 Proxy 清單。
      • 將「Proxies」欄位留空,即可將安全性動作套用至環境中所有現有和日後的 Proxy。
      • 選取個別 Proxy,只將安全防護動作套用至這些 Proxy,不論日後是否有任何新的 Proxy 新增至環境。
      • 使用「選取全部」選取環境中的所有現有 Proxy。日後新增的任何 Proxy 都不會自動納入規則。
    • 到期日:動作到期日 (如有)。選取「永不」或「自訂」,然後輸入要讓動作到期的日期和時間。您也可以修改時區。
  3. 按一下「Next」即可顯示「Rule」部分,如下所示:

    安全性動作的規則設定。

    在本節中,您將建立安全性動作的規則。輸入下列資訊:

    • 動作類型:安全性動作的類型:
      • 允許:允許要求。
      • 拒絕:要求遭拒。如果您選取「拒絕」,還可以指定在要求遭拒時傳回的回應代碼。可以是下列任一項:
        • 預先定義:選取 HTTP 代碼。
        • 自訂:輸入回應代碼。
      • 標記:允許要求,但也會加上特殊 HTTP 標頭,以便代理伺服器判斷要求是否需要特殊處理。如要定義標頭,請在「Headers」下方選取「Flag」,您也可以在「Headers」下方建立以下項目:
        • 標頭名稱
        • 標頭值
    • 條件:執行安全性動作的條件。在「New condition」(新增條件) 下方,輸入以下內容:
      • 條件類型:可為「偵測規則」或下列任一屬性:
        • IP 位址/CIDR 範圍:可同時包含 IP 位址和 IPv4 CIDR 範圍。
        • API 金鑰:一或多個 API 金鑰。
        • API 產品:一或多個 Apigee API 產品。
        • 存取權杖:一或多個存取權杖。
        • 開發人員:一或多個 Apigee 開發人員電子郵件地址。
        • 開發人員應用程式:一或多個 Apigee 開發人員應用程式。
        • 使用者代理程式,一或多個使用者代理程式。
        • HTTP 方法,例如 GET 或 PUT 等HTTP 方法
        • 區域代碼:要處理的區域代碼清單。請參閱 ISO 3166-1 alpha-2 代碼
        • 自治系統編號 (ASN),也就是要執行的 ASN 編號清單,例如「23」。請參閱「Autonomous system (Internet)」。
      • 值:請輸入下列其中一個值:
        • 如果「條件類型」為「偵測規則」,請選取一組偵測規則,要求必須有要求觸發才能套用安全性動作。
        • 如果「條件類型」是屬性,請輸入要套用安全性動作的屬性值。舉例來說,如果屬性是「IP 位址/CIDR 範圍」,請輸入要套用安全性動作的來源要求 IP 位址。您可以輸入以半形逗號分隔的 IPv4 和 IPv6 位址清單。
  4. 按一下「建立」,建立安全性動作。

暫停所有已啟用的動作

如要暫停環境中所有已啟用的安全性動作,請按一下「安全性動作頁面頂端的「暫停已啟用的動作」。安全性動作暫停時,不會影響 API 要求。如需診斷所有安全性動作的問題,請使用這項功能。如要停用個別安全防護動作,請使用安全防護動作列中的三點圖示選單。

如要恢復所有已啟用的安全性動作,請按一下「Resume Paused Actions」

查看安全性動作詳細資料

如要查看與安全性動作相關的近期 API 流量資料,請在主要安全性動作頁面中選取安全性動作的資料列。這會顯示「安全性動作」詳細資料頁面,其中包含兩個分頁:

總覽

選取「總覽」分頁標籤,即可查看「總覽」頁面:

安全性動作詳細資料頁面。

「總覽」頁面會顯示您在頁面頂端選取的時間範圍 (12 小時、1 天、1 週或 2 週) 內的近期 API 流量資訊。

這個頁面會顯示下列流量資料:

  • 動作類型:拒絕、允許或標記。如要瞭解動作類型,請參閱「安全性動作」。
  • 環境流量總數:環境中的請求總數。
  • 總偵測到的事件流量:在環境中「偵測到」(觸發濫用規則) 的與事件相關要求數量。
  • 受這項處置影響的總流量:
    • 對於拒絕動作,則是拒絕要求的數量。
    • 如果是標記動作,則為標記的要求數量。
    • 對於允許動作,則是允許的請求數量。

這個頁面也會顯示下列圖表:

  • 環境流量趨勢:偵測到的流量、標記的流量和環境總流量的圖表。這張圖表僅限於最近的時間間隔,其中包含所有觀察到的流量。這個間隔時間可能比您選取的間隔時間短。
  • 熱門規則
  • 觀看次數最高的國家/地區
  • 動作詳細資料

屬性

選取「屬性」分頁標籤,即可顯示「屬性」頁面:

選取「屬性」的安全性動作詳細資料頁面。

「屬性」頁面會依屬性 (也稱為維度) 顯示安全性動作的資料,屬性是資料的群組,可讓您以不同方式查看安全性動作。舉例來說,您可以透過 API 產品屬性查看 API 產品的安全性動作。

「Attributes」頁面顯示的資訊與「Incident details」頁面的「Attributes」檢視畫面相似。