Panoramica
Apigee Shadow API Discovery trova le API shadow (note anche come API non documentate) nell'infrastruttura cloud esistente. Le API shadow rappresentano un rischio per la sicurezza del sistema, in quanto potrebbero non essere sicure, monitorate e sottoposte a manutenzione.
L'utilizzo di Shadow API Discovery non influisce in modo significativo sul traffico di runtime né lo rallenta; tuttavia, le latenze finali del traffico attraverso i bilanciatori del carico osservati possono essere notevolmente interessate.
Le istruzioni riportate in questa pagina per configurare e visualizzare i risultati delle osservazioni delle API si basano sull'interfaccia utente di Apigee in Cloud Console. Puoi anche utilizzare le API Apigee Management (APIM) per gestire la scoperta delle API shadow. Consulta API di gestione del rilevamento delle API shadow.
Attivare il rilevamento delle API shadow
La funzionalità di rilevamento delle API shadow fa parte del componente aggiuntivo Apigee Advanced API Security. Per la scoperta delle API shadow, il componente aggiuntivo è applicabile per organizzazione. Per i clienti con abbonamento, è disponibile con l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono attivare il plug-in per almeno un ambiente. La funzionalità di rilevamento delle API shadow non è disponibile per gli ambienti di valutazione Apigee.
Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per saperne di più, vedi Gestire il componente Advanced API Security avanzata.
Ruoli e autorizzazioni richiesti per la scoperta di API shadow
La tabella seguente mostra i ruoli richiesti per eseguire attività relative al rilevamento delle API shadow.
Attività | Ruoli richiesti |
---|---|
Attivare o disattivare la funzionalità Advanced API Security | Apigee Organization Admin (roles/apigee.admin) |
Creare origini e job di osservazione | Amministratore API Management (roles/apim.admin) |
Visualizza osservazioni | Visualizzatore API Management (roles/apim.viewer) |
Accedere alla scoperta delle API shadow nella console Apigee
Per accedere alla funzionalità di rilevamento delle API shadow nella console Apigee:
- Accedi all'interfaccia utente di Apigee nella console Cloud.
- Vai a API Observation > Shadow API.
- La pagina principale mostra eventuali osservazioni API già generate. Seleziona le schede Osservazioni API e Job di osservazione per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.
Creare job di osservazione
I job di osservazione forniscono le istruzioni necessarie a Shadow API Discovery per cercare le API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione dei job di osservazione.
- Seleziona la scheda Job di osservazione e fai clic su Crea job di osservazione.
- Seleziona una o più Origini di osservazione oppure fai clic su Crea origine di osservazione nella parte inferiore dell'elenco Origini di osservazione per creare nuove posizioni delle origini, se necessario. Tieni presente che la procedura di creazione della fonte di osservazione potrebbe richiedere diversi minuti.
Le origini di osservazione includono:
Nome origine: un nome specificato per identificare l'origine.
Posizione: una posizione in cui effettuare l'osservazione. L'inclusione di più regioni di origine consente una visione più ampia delle API nell'intera infrastruttura. Consulta le best practice. In una località è possibile creare una sola fonte di osservazioni.
Rete e Subnet:la rete e la subnet VPC. La subnet deve trovarsi nella stessa regione della località dell'origine dell'osservazione. - Crea job di osservazione. Fornisci un nome per il job di osservazione, che deve essere univoco per ogni posizione. Seleziona una località, che specifica dove verranno eseguite l'aggregazione e l'elaborazione dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati e a cui si accede da questa regione, in conformità alle norme sulla residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
- (Facoltativo) Attiva il job di osservazione. Puoi attivare il job quando lo crei, nel qual caso inizierà immediatamente l'osservazione. Se non attivi il job immediatamente, puoi attivarlo in un secondo momento dall'elenco dei job di osservazione.
Attivare, disattivare ed eliminare i job di osservazione
Per modificare l'attivazione (stato attivo) di un job di osservazione esistente, seleziona Attiva o Disattiva dal menu Azioni nella riga del job nella pagina Job di osservazione.
Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per quel job. L'eliminazione di un job comporta anche la rimozione dei risultati dell'osservazione associati al job, quindi se vuoi conservare i risultati impedendo al job di continuare, disattivalo anziché eliminarlo. I job attivi non possono essere eliminati. Se devi eliminarli, disattivali prima.
Visualizza le osservazioni API
Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e seleziona il Job di osservazione dall'elenco.
L'elenco delle osservazioni mostra i seguenti valori:
- Nome host:il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
- Operazioni API:il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
- IP dei server:gli IP dei server che ospitano le API rilevate.
- Località di origine: le località di origine in cui è stato osservato il traffico.
- Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata la richiesta più recente all'API.
- Tag: un elenco dei tag che tu o qualcun altro avete creato per etichettare questa osservazione. Per ulteriori informazioni, consulta Utilizzare i tag.
- Azioni:azioni aggiuntive disponibili per ogni osservazione.
Visualizzare i dettagli dell'osservazione
Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, viene visualizzata la pagina dei dettagli dell'osservazione.
Questa pagina include le seguenti informazioni sull'osservazione.
- La casella del riepilogo nella parte superiore della pagina mostra:
- ID osservazione API:si tratta di un identificatore specifico di Apigee.
- Operazioni API:consulta Visualizza le osservazioni dell'API per una descrizione di questo campo.
- Data/ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Tag: utilizza i tag per organizzare i risultati dei job di osservazione.
- Ora dell'ultimo evento rilevato: consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
- Una tabella di operazioni API specifiche rilevate in questa API scoperta. Per ogni richiesta, vengono visualizzate le seguenti informazioni:
- Percorso:il percorso della richiesta.
- Method (Metodo): il metodo di richiesta (ad esempio GET, PUT e così via).
- Conteggio:il numero di richieste al percorso con quel metodo.
- Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Sono incluse le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Intestazioni di risposta delle transazioni: le intestazioni di risposta dei dati sul traffico. Sono incluse le intestazioni di risposta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Codici di risposta della transazione:i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione dell'API.
- Primo rilevamento (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione dell'API.
- Ultimo accesso (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione dell'API.
Utilizzare i tag
I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e sono destinati solo al monitoraggio. I tag non modificano i risultati dell'osservazione né attivano azioni. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non genera notifiche o avvisi. I nuovi risultati di osservazione non hanno tag.
I tag hanno le seguenti caratteristiche:
- Puoi aggiungere lo stesso tag a più risultati di osservazione.
- I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
- Una volta creato, il nome di un tag non può essere modificato. Per rinominarlo, rimuovi e ricrea il tag.
- Se rimuovi un tag da tutti i risultati dell'osservazione, questo viene eliminato dal sistema.
Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.
Per gestire i tag dall'elenco delle osservazioni dell'API:
- Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
- Per gestire i tag di un risultato, seleziona Gestisci tag dal menu Azioni nella riga corrispondente.
- Per gestire i tag di uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.
Per gestire i tag dai dettagli dell'osservazione dell'API:
- Visualizza i tag esistenti nella sezione Tag.
- Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.
Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona quelli esistenti o creane di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.
Best practice
Ti consigliamo queste pratiche quando utilizzi la scoperta API shadow:
- Rispetta le regole di residenza dei dati della tua organizzazione per garantire la conformità a eventuali normative e leggi vigenti.
- Esegui l'aggregazione da quante più regioni di origine possibili per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei job di osservazione consente di avere una visualizzazione più ampia delle API nell'intera infrastruttura.
Comportamenti e limitazioni
Questa sezione elenca i comportamenti e le limitazioni che si applicano a Shadow API Discovery:
- L'utilizzo della funzionalità di rilevamento delle API shadow non garantisce l'osservazione del 100% del traffico o la rilevamento di tutte le API shadow.
- La funzionalità di rilevamento delle API shadow trova le API shadow solo nell'infrastruttura Google Cloud.
- Al momento, Discovery API supporta solo bilanciatori del carico delle applicazioni regionali.
- Il rilevamento API shadow trova le API del protocollo HTTP, non gRPC.
- Avviso: Shadow API Discovery supporta i bilanciatori del carico su una rete per progetto. Se attivo il rilevamento delle API shadow in un progetto con più reti, potresti notare un comportamento imprevisto.
- Avviso: l'attivazione della funzionalità di rilevamento delle API shadow potrebbe causare un aumento della latenza per le chiamate del bilanciatore del carico in tutte le reti del progetto.
- Per rilevare il traffico di un nuovo job di osservazione abilitato possono essere necessari fino a 60 minuti.
- Per rilevare le API shadow, deve essere presente traffico che passa attraverso i bilanciatori del carico nei progetti osservati. Come minimo, la scoperta API shadow richiede da alcuni minuti a qualche ora di rilevamento del traffico, a seconda del volume di traffico. Il traffico sporadico richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
- Per regione è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
- I job di osservazione possono essere creati e disattivati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e creane uno nuovo.
- Al momento, solo alcune regioni sono supportate per i job di Discovery API shadow. Consulta l'elenco delle regioni supportate con questa richiesta:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations