Descripción general de Shadow API Discovery

Descripción general

Apigee Shadow API Discovery encuentra APIs shadow (también conocidas como API sin documentar) en tu infraestructura de nube existente. Las APIs shadow representan un riesgo de seguridad para tu sistema, ya que pueden estar sin protección, sin supervisión y sin mantenimiento.

El uso del descubrimiento de API paralelas no afecta significativamente el tráfico del entorno de ejecución ni es lento. Sin embargo, las latencias finales del tráfico a través de los balanceadores de cargas observados pueden verse afectadas de forma notable.

Las instrucciones de esta página para configurar y ver los resultados de las observaciones de API se basan en la IU de Apigee en la consola de Cloud. También puedes usar las APIs de administración de Apigee (APIM) para administrar Shadow API Discovery. Consulta las APIs de administración de Shadow API Discovery.

Habilita Shadow API Discovery

Shadow API Discovery es parte del complemento Apigee Advanced API Security. Para Shadow API Discovery, el complemento se aplica por organización. Para los clientes de suscripción, está disponible con la organización de Apigee. Sin embargo, los clientes de pago por uso deben habilitar el complemento para al menos un entorno. Shadow API Discovery no está disponible para los entornos de evaluación de Apigee.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Roles y permisos obligatorios para Shadow API Discovery

En la siguiente tabla, se muestran los roles necesarios para realizar tareas relacionadas con Shadow API DiscoveryI.

Tarea Roles requeridos
Habilita o inhabilita Advanced API Security Administrador de la organización de Apigee (roles/apigee.admin)
Crea trabajos y fuentes de observación Administrador de administración de API (roles/apim.admin)
Ver observaciones Visualizador de administración de API (roles/apim.viewer)

Accede Shadow API Discovery en la consola de Apigee

Para acceder a APIM API Discovery en la consola de Apigee, haz lo siguiente:

  1. Accede a la IU de Apigee en la consola de Cloud.
  2. Ve a API Observation > Shadow API.
  3. En la página principal, se muestran las observaciones de la API que ya se generaron. Selecciona las pestañas Observaciones de APIs y Trabajos de observación para alternar entre visualizar resultados y crear trabajos de observación.

Crea trabajos de observación

Los trabajos de observación proporcionan las instrucciones que Shadow API Discovery necesita para buscar APIs shadow. Sigue estos pasos para crear un trabajo de observación. Ten en cuenta los comportamientos y limitaciones que se aplican a la creación de trabajos de observación.

  1. Selecciona la pestaña Trabajos de observación y, luego, haz clic en Crear trabajo de observación.
  2. Selecciona una o más Fuentes de observación, o haz clic en Crear fuente de observación en la parte inferior de la lista Fuentes de observación para crear nuevas ubicaciones de origen si es necesario. Ten en cuenta que el proceso para crear la fuente de observación puede demorar varios minutos.

    Las fuentes de observación incluyen:
    Nombre de la fuente: Un nombre que especifiques para identificar la fuente.
    Ubicación: Una ubicación para observar. La inclusión de más regiones de origen permite una vista más amplia de las APIs en toda tu infraestructura. Ver prácticas recomendadas. Solo se puede crear una fuente de observación en una ubicación.
    Red y subred: La red y la subred de VPC. La subred debe estar en la misma región que la ubicación de la fuente de observación.
  3. Crea un trabajo de observación. Proporciona un nombre de trabajo de observación, que debe ser único por ubicación. Selecciona una ubicación que especifica dónde ocurrirá la agregación y el procesamiento de datos. Todos los datos recopilados en las regiones de origen se procesan en esta región y se accede a ellos desde ella, de conformidad con las políticas de residencia de datos de Google. La creación de un trabajo de observación nuevo puede tomar unos minutos.
  4. Habilita trabajo de observación (opcional). Puedes habilitar el trabajo cuando lo crees, en cuyo caso comenzará a observar de inmediato. Si no habilitas el trabajo de inmediato, puedes habilitar el trabajo de observación más tarde desde la lista de trabajos de observación.

Habilita, inhabilita y borra trabajos de observación

Para cambiar si un trabajo de observación existente está habilitado (activo), selecciona Habilitar o Inhabilitar en el menú Acciones en la fila de la siguiente manera: ese trabajo en la página Trabajos de observación.

Para borrar un trabajo de observación existente, selecciona Borrar en el menú Acciones de ese trabajo. Cuando se borra un trabajo, también se quitan los resultados de la observación asociados con el trabajo, por lo que si deseas conservar los resultados mientras evitas que el trabajo continúe, inhabilítalo en lugar de borrarlo. Los trabajos activos no se pueden borrar. Inhabilita los trabajos activos primero si necesitas borrarlos.

Visualiza observaciones de APIs

Para ver observaciones de APIs para los trabajos de observación habilitados, elige la pestaña Observaciones de APIs y, luego, selecciona Trabajo de observación de la lista.

Página Observaciones de APIs

La lista de observaciones muestra los siguientes valores:

  • Nombre de host: El nombre de host de la API. Haz clic en el nombre de host para ver los detalles de la observación.
  • Operaciones de API: La cantidad de operaciones de API (como solicitudes GET o PUT) que se observan.
  • IP de servidor: IP de los servidores que alojan las APIs descubiertas.
  • Ubicaciones de origen: Son las ubicaciones de origen en las que se observó el tráfico.
  • Último evento detectado (UTC): La fecha y hora en que se detectó la solicitud más reciente a la API.
  • Etiquetas: Una lista de las etiquetas que tú o alguien más crearon para etiquetar esta observación. Consulta Usa etiquetas para obtener más información.
  • Acciones: acciones adicionales disponibles para cada observación.

Visualiza los detalles de la observación

Después de hacer clic en el nombre de host en la lista de observaciones, verás la página de detalles de la observación.

Detalles del trabajo de observación de Shadow API Discovery

En esta página, se incluye la siguiente información sobre la observación.

  • El cuadro de resumen en la parte superior de la página muestra lo siguiente:
    • ID de observación de API: Este es un identificador específico de Apigee.
    • Operaciones de la API: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
    • Fecha de creación (UTC): Es la fecha y hora en que se creó el trabajo de observación.
    • Etiquetas: Usa etiquetas para organizar los resultados de los trabajos de observación.
    • Hora del último evento detectado: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
  • Una tabla de operaciones de API específicas detectadas en la API detectada. Para cada solicitud, se muestra la siguiente información:
    • Ruta de acceso: La ruta de la solicitud.
    • Método: El método de solicitud (como GET, PUT, etcétera).
    • Recuento: La cantidad de solicitudes a esa ruta con ese método.
    • Solicitud de transacción: El cuerpo de la solicitud a partir de datos de tráfico. Incluye los encabezados de la solicitud y los recuentos de transacciones correspondientes para esta operación de API.
    • Encabezados de respuesta de transacción: Los encabezados de respuesta de los datos de tráfico. Incluye los encabezados de respuesta y los recuentos de transacciones correspondientes para esta operación de API.
    • Códigos de respuesta de transacciones: Los códigos de respuesta y los recuentos correspondientes de respuestas con ese código para esta operación de API.
    • Visto por primera vez (UTC): La primera fecha y hora en que se observó la solicitud a esta operación de API.
    • Visto por última vez (UTC): La fecha y hora más reciente en que se observó la solicitud a esta operación de API.

Usa etiquetas

Las etiquetas te permiten categorizar los resultados de las observaciones. Las etiquetas son metadatos y son solo para tu seguimiento. Las etiquetas no cambian nada en los resultados de la observación ni activan ninguna acción. Por ejemplo, agregar una etiqueta del tipo "Requiere atención" no crea ningún aviso ni alerta. Los resultados de las observaciones nuevos no tienen etiquetas.

Las etiquetas tienen las siguientes características:

  • Puedes agregar la misma etiqueta a varios resultados de observación.
  • Los nombres de las etiquetas pueden incluir letras mayúsculas y minúsculas, números y caracteres especiales, incluidos espacios.
  • Una vez que se crea una etiqueta, no se puede cambiar el nombre. Para cambiarlo, quita y vuelve a crear la etiqueta.
  • Si quitas una etiqueta de todos los resultados de la observación, se borra del sistema.

Puedes administrar las etiquetas desde la lista de observaciones o desde la página de detalles de la observación.

Para administrar las etiquetas desde la lista de observaciones de la API, haz lo siguiente:

  • Consulta las etiquetas existentes en la columna Etiquetas de la lista de observaciones.
  • Para administrar las etiquetas de un resultado, selecciona Administrar etiquetas en el menú Acciones de la fila correspondiente.
  • Para administrar las etiquetas de uno o más resultados al mismo tiempo, selecciona varios resultados de la lista y, luego, Administrar etiquetas en la parte superior de la lista.

Para administrar las etiquetas desde los detalles de la observación de la API, haz lo siguiente:

  • Consulta las etiquetas existentes en la sección Etiquetas.
  • Para agregar o administrar etiquetas, elige Administrar etiquetas en la parte superior de la página.

En el panel lateral Administrar etiquetas, para agregar etiquetas, selecciona etiquetas existentes o agrega otras nuevas. Para quitar etiquetas, anula la selección. Haz clic en Guardar para guardar las etiquetas nuevas.

Prácticas recomendadas

Recomendamos estas prácticas cuando trabajas con Shadow API Discovery:

  • Sigue las reglas de residencia de datos de tu organización para garantizar el cumplimiento de las leyes y normativas aplicables.
  • Agrega desde la mayor cantidad de regiones de origen posible para obtener la mejor correlación interregional. La inclusión de más regiones de origen en tus trabajos de observación da como resultado una vista más amplia de las APIs en toda tu infraestructura.

Comportamientos y limitaciones

En esta sección, se enumeran los comportamientos y las limitaciones que se aplican a Shadow API Discovery:

  • El uso de Shadow API Discovery no garantiza la observación del 100% del tráfico o el descubrimiento de todas las APIs shadow.
  • Shadow API Discovery encuentra las APIs shadow solo en tu infraestructura de Google Cloud.
  • Por el momento, Shadow API Discovery solo admite balanceadores de cargas de aplicaciones regionales.
  • Shadow API Discovery encuentra APIs del protocolo HTTP, no gRPC.
  • Advertencia: Shadow API Discovery admite balanceadores de cargas en una red por proyecto. Si habilitas Shadow API Discovery en un proyecto con varias redes, es posible que veas comportamientos inesperados.
  • Advertencia: Habilitar Shadow API Discovery puede aumentar la latencia de las llamadas al balanceador de cargas en todas las redes del proyecto.
  • Un trabajo de observación recién habilitado puede tardar hasta 60 minutos en detectar tráfico.
  • Debe haber tráfico que fluya a través de los balanceadores de cargas en los proyectos observados para detectar APIs shadow. Como mínimo, la detección de tráfico de Shadow API Discovery requiere entre unos minutos y unas horas, según el volumen de tráfico. El tráfico disperso requiere tiempos de observación más largos antes de que los resultados estén disponibles.
  • Por región, hay un límite de una sola fuente de observación y un máximo de tres trabajos de observación. Si necesitas más de tres trabajos de observación, comunícate con Atención al cliente de Google​Cloud para analizar el caso de uso.
  • Los trabajos de observación se pueden crear e inhabilitar o borrar, pero no se pueden editar. Si necesitas cambiar un trabajo de observación, bórralo y vuelve a crearlo.
  • En este momento, solo se admiten algunas regiones para los trabajos de Shadow API Discovery. Consulta la lista de regiones compatibles con esta solicitud: 
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations