Ringkasan Penemuan Shadow API

Ringkasan

Penemuan API Bayangan Apigee menemukan API bayangan (juga dikenal sebagai API yang tidak terdokumentasi) di infrastruktur cloud yang ada. Shadow API menimbulkan risiko keamanan bagi sistem Anda, karena API tersebut mungkin tidak aman, tidak dipantau, dan tidak dikelola.

Penggunaan Penemuan Shadow API tidak memengaruhi atau memperlambat traffic runtime secara signifikan; tetapi, latensi akhir traffic melalui load balancer yang diamati dapat terpengaruh secara signifikan.

Petunjuk di halaman ini untuk menyiapkan dan melihat hasil pengamatan API didasarkan pada UI Apigee di Cloud Console. Anda juga dapat menggunakan API Pengelolaan Apigee (APIM) untuk mengelola Penemuan API Bayangan. Lihat API pengelolaan penemuan Shadow API.

Mengaktifkan Penemuan Shadow API

Shadow API Discovery adalah bagian dari add-on Advanced API Security Apigee. Untuk Penemuan Shadow API, add-on berlaku per organisasi. Untuk pelanggan langganan, fitur ini tersedia dengan organisasi Apigee. Namun, pelanggan Bayar sesuai penggunaan harus mengaktifkan add-on untuk setidaknya satu lingkungan. Shadow API Discovery tidak tersedia untuk lingkungan evaluasi Apigee.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk mengetahui informasi selengkapnya, lihat Mengelola add-on Advanced API Security.

Peran dan izin yang diperlukan untuk Shadow API Discovery

Tabel di bawah menunjukkan peran yang diperlukan untuk melakukan tugas terkait Penemuan Shadow API.

Tugas Peran yang Diperlukan
Mengaktifkan atau menonaktifkan Advanced API Security Apigee Organization Admin (roles/apigee.admin)
Membuat sumber dan tugas pengamatan Admin Pengelolaan API (roles/apim.admin)
Melihat pengamatan API Management Viewer (roles/apim.viewer)

Mengakses Penemuan Shadow API di Apigee Console

Untuk mengakses Penemuan Shadow API di Apigee Console:

  1. Login ke UI Apigee di konsol Cloud.
  2. Buka Pengamatan API > Shadow API.
  3. Halaman utama menampilkan pengamatan API yang sudah dibuat. Pilih tab Pengamatan API dan Tugas Pengamatan untuk beralih antara melihat hasil dan membuat tugas pengamatan.

Membuat tugas pengamatan

Tugas pengamatan memberikan petunjuk yang diperlukan Penemuan Shadow API untuk mencari shadow API. Ikuti langkah-langkah berikut untuk membuat tugas pengamatan. Perhatikan Perilaku dan batasan yang berlaku untuk pembuatan tugas pengamatan.

  1. Pilih tab Tugas pengamatan, lalu klik Buat tugas pengamatan.
  2. Pilih satu atau beberapa Sumber pengamatan, atau klik Buat sumber pengamatan di bagian bawah daftar Sumber pengamatan untuk membuat lokasi sumber baru jika diperlukan. Perhatikan bahwa proses pembuatan sumber pengamatan mungkin memerlukan waktu beberapa menit.

    Sumber pengamatan mencakup:
    Nama sumber: Nama yang Anda tentukan untuk mengidentifikasi sumber.
    Lokasi: Lokasi untuk diamati. Menyertakan lebih banyak region sumber memungkinkan tampilan API yang lebih luas di seluruh infrastruktur Anda. Lihat Praktik terbaik. Hanya satu sumber pengamatan yang dapat dibuat di lokasi.
    Jaringan dan Subnet: Jaringan dan subnet VPC. Subjaringan harus berada di region yang sama dengan lokasi sumber pengamatan.
  3. Buat tugas pengamatan. Berikan nama tugas pengamatan, yang harus unik per lokasi. Pilih lokasi, yang menentukan tempat agregasi dan pemrosesan data akan terjadi. Semua data yang dikumpulkan di region sumber diproses di dan diakses dari region ini, sesuai dengan kebijakan Kedudukan Data Google. Pembuatan tugas pengamatan baru mungkin memerlukan waktu beberapa menit.
  4. Aktifkan tugas pengamatan (Opsional). Anda dapat mengaktifkan tugas saat membuatnya, yang berarti tugas akan segera mulai diamati. Jika tidak langsung mengaktifkan tugas, Anda dapat mengaktifkan tugas pengamatan nanti dari daftar tugas pengamatan.

Mengaktifkan, menonaktifkan, dan menghapus tugas pengamatan

Untuk mengubah apakah tugas pengamatan yang ada diaktifkan (aktif), pilih Aktifkan atau Nonaktifkan dari menu Tindakan di baris untuk tugas tersebut di halaman Tugas pengamatan.

Untuk menghapus tugas pengamatan yang ada, pilih Hapus dari menu Tindakan untuk tugas tersebut. Menghapus tugas juga akan menghapus hasil pengamatan yang terkait dengan tugas, jadi jika Anda ingin mempertahankan hasilnya sekaligus menghentikan tugas agar tidak dilanjutkan, nonaktifkan, bukan menghapusnya. Tugas aktif tidak dapat dihapus; nonaktifkan tugas aktif terlebih dahulu jika Anda perlu menghapusnya.

Mengamati View API

Untuk melihat Pengamatan API untuk tugas pengamatan yang diaktifkan, pilih tab Pengamatan API, lalu pilih Tugas pengamatan dari daftar.

Halaman Observasi API

Daftar pengamatan menampilkan nilai berikut:

  • Nama host: Nama host API. Klik nama host untuk melihat detail pengamatan.
  • Operasi API: Jumlah operasi API (seperti permintaan GET atau PUT) yang diamati.
  • IP server: IP server yang menghosting API yang ditemukan.
  • Lokasi sumber: Lokasi sumber tempat traffic diamati.
  • Peristiwa terakhir terdeteksi (UTC): Tanggal dan waktu saat permintaan terbaru ke API terdeteksi.
  • Tag: Daftar tag yang Anda atau orang lain buat untuk memberi label pada pengamatan ini. Lihat Menggunakan tag untuk mengetahui informasi selengkapnya.
  • Tindakan: Tindakan tambahan yang tersedia untuk setiap pengamatan.

Melihat detail pengamatan

Setelah mengklik nama host di daftar pengamatan, Anda akan melihat halaman detail pengamatan.

Detail tugas pengamatan Shadow API Discovery

Halaman ini menyertakan informasi berikut tentang pengamatan.

  • Kotak ringkasan di bagian atas halaman menampilkan:
    • ID pengamatan API: Ini adalah ID khusus Apigee.
    • Operasi API: Lihat Melihat pengamatan API untuk deskripsi kolom ini.
    • Waktu pembuatan (UTC): Tanggal dan waktu tugas pengamatan dibuat.
    • Tag: Gunakan tag untuk mengatur hasil tugas pengamatan.
    • Waktu deteksi peristiwa terakhir: Lihat Melihat pengamatan API untuk deskripsi kolom ini.
  • Tabel operasi API tertentu yang terdeteksi di API yang ditemukan ini. Untuk setiap permintaan, informasi berikut akan ditampilkan:
    • Jalur: Jalur permintaan.
    • Method: Metode permintaan (seperti GET, PUT, dll.).
    • Jumlah: Jumlah permintaan ke jalur tersebut dengan metode tersebut.
    • Permintaan transaksi: Isi permintaan dari data traffic. Mencakup header permintaan dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Header respons transaksi: Header respons dari data traffic. Menyertakan header respons dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Kode respons transaksi: Kode respons dan jumlah respons yang sesuai dengan kode tersebut untuk operasi API ini.
    • Pertama kali dilihat (UTC): Tanggal dan waktu pertama kali permintaan ke Operasi API ini diamati.
    • Terakhir dilihat (UTC): Tanggal dan waktu terbaru saat permintaan ke Operasi API ini diamati.

Menggunakan tag

Tag memungkinkan Anda mengategorikan hasil pengamatan. Tag adalah metadata dan hanya ditujukan untuk pelacakan Anda; tag tidak mengubah apa pun dalam hasil pengamatan atau memicu tindakan apa pun. Misalnya, menambahkan tag "Perlu diperhatikan" tidak akan membuat pemberitahuan atau notifikasi apa pun. Hasil pengamatan baru tidak memiliki tag.

Tag memiliki karakteristik berikut:

  • Anda dapat menambahkan tag yang sama ke beberapa hasil pengamatan.
  • Nama tag dapat mencakup karakter besar dan kecil, angka, serta karakter khusus, termasuk spasi.
  • Setelah tag dibuat, namanya tidak dapat diubah; hapus dan buat ulang tag untuk mengganti namanya.
  • Menghapus tag dari semua hasil pengamatan akan menghapusnya dari sistem.

Anda dapat mengelola tag dari daftar pengamatan atau halaman detail pengamatan.

Untuk mengelola tag dari daftar pengamatan API:

  • Lihat tag yang ada di kolom Tag daftar pengamatan.
  • Untuk mengelola tag untuk satu hasil, pilih Kelola tag dari menu Tindakan di baris untuk hasil tersebut.
  • Untuk mengelola tag untuk satu atau beberapa hasil secara bersamaan, pilih beberapa hasil dari daftar, lalu Kelola tag dari bagian atas daftar.

Untuk mengelola tag dari detail pengamatan API:

  • Lihat tag yang ada di bagian Tag.
  • Untuk menambahkan atau mengelola tag, pilih Kelola tag di bagian atas halaman.

Di panel samping Kelola tag, untuk menambahkan tag, pilih tag yang ada atau tambahkan tag baru. Untuk menghapus tag, batalkan pilihannya. Klik Simpan untuk menyimpan tag baru.

Praktik terbaik

Sebaiknya gunakan praktik ini saat menggunakan Penemuan Shadow API:

  • Ikuti aturan Residensi Data organisasi Anda untuk memastikan kepatuhan terhadap peraturan dan undang-undang yang berlaku.
  • Gabungkan dari sebanyak mungkin region sumber untuk mendapatkan korelasi lintas regional terbaik. Menyertakan lebih banyak region sumber dalam tugas pengamatan akan menghasilkan tampilan API yang lebih luas di seluruh infrastruktur Anda.

Perilaku dan batasan

Bagian ini mencantumkan perilaku dan batasan yang berlaku untuk Penemuan Shadow API:

  • Penggunaan Penemuan Shadow API tidak menjamin pengamatan 100% traffic atau penemuan semua shadow API.
  • Penemuan Shadow API hanya menemukan Shadow API di infrastruktur Google Cloud Anda.
  • Shadow API Discovery hanya mendukung load balancer aplikasi regional saat ini.
  • Penemuan Shadow API menemukan API protokol HTTP, bukan gRPC.
  • Peringatan: Shadow API Discovery mendukung load balancer di satu jaringan per project. Jika Anda mengaktifkan Penemuan Shadow API pada project dengan beberapa jaringan, Anda mungkin melihat perilaku yang tidak terduga.
  • Peringatan: Mengaktifkan Penemuan Shadow API dapat menyebabkan peningkatan latensi untuk panggilan load balancer di semua jaringan dalam project.
  • Perlu waktu hingga 60 menit agar tugas pengamatan yang baru diaktifkan dapat mendeteksi traffic.
  • Harus ada traffic yang mengalir melalui load balancer di project yang diamati untuk mendeteksi Shadow API. Minimal, Shadow API Discovery memerlukan deteksi traffic antara beberapa menit hingga beberapa jam, bergantung pada volume traffic. Traffic yang jarang memerlukan waktu pengamatan yang lebih lama sebelum hasilnya tersedia.
  • Per region, ada batas satu sumber pengamatan dan maksimum tiga tugas pengamatan. Jika Anda memerlukan lebih dari tiga tugas pengamatan, hubungi Layanan Pelanggan Google Cloud untuk membahas kasus penggunaannya.
  • Tugas pengamatan dapat dibuat dan dinonaktifkan atau dihapus, tetapi tidak dapat diedit. Jika Anda perlu mengubah tugas pengamatan, hapus dan buat ulang.
  • Saat ini, hanya beberapa region yang didukung untuk tugas Penemuan Shadow API. Lihat daftar region yang didukung dengan permintaan ini:
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
    https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations