Panoramica
Rilevamento delle API Shadow trova le API shadow (note anche come API non documentate) nella tua infrastruttura cloud esistente. Le API ombra rappresentano un rischio per la sicurezza del tuo sistema, in quanto potrebbero essere non protette, non monitorate e non gestite. Rilevamento delle API shadow fa parte di API Observation in Apigee.
Puoi configurare ed eseguire job per osservare l'attività API nei singoli progetti Google Cloud . All'interno dell'istanza centralizzata dell'hub API Apigee, puoi collegare questi progetti per visualizzare i risultati di questi job e confrontarli automaticamente con le API "note" documentate nell'hub API. Per informazioni sull'utilizzo di Rilevamento delle API Shadow nell'hub API Apigee, consulta Osservazioni API nell'hub API.
Per informazioni sulla compatibilità della residenza dei dati per Shadow API Discovery, vedi Compatibilità della residenza dei dati.
Abilita il rilevamento delle API shadow
Rilevamento delle API Shadow fa parte del componente aggiuntivo Advanced API Security ed è disponibile per i progetti Google Cloud con o senza provisioning di Apigee.
Se il tuo progetto Google Cloud è sottoposto a provisioning per Apigee:
- Per i clienti con abbonamento, è disponibile con l'organizzazione Apigee. Consulta Gestire Advanced API Security per le organizzazioni con abbonamento
- I clienti con pagamento a consumo devono attivare il componente aggiuntivo per almeno un ambiente. Vedi Gestire la sicurezza avanzata delle API per le organizzazioni con pagamento a consumo
- Rilevamento delle API Shadow non è disponibile per gli ambienti di valutazione Apigee.
Se il tuo progetto Google Cloud non è sottoposto a provisioning per Apigee, puoi aggiungere Rilevamento delle API Shadow al tuo progetto contattando il team di vendite di Apigee.
Abilitare il rilevamento delle API shadow da Apigee
Le istruzioni riportate in questa sezione per configurare e visualizzare i risultati delle osservazioni API si basano sull'interfaccia utente di Apigee in Cloud Console. Puoi anche utilizzare le API Apigee Management (APIM) per gestire il rilevamento delle API shadow. Consulta API di gestione del rilevamento delle API shadow.
Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo negli ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Advanced API Security.
Attivare il rilevamento delle API Shadow da API Hub
Per abilitare Rilevamento delle API Shadow dall'hub API, segui le istruzioni riportate in Configurare API Observation nell'hub API.
Ruoli e autorizzazioni richiesti per il rilevamento delle API Shadow
La tabella seguente mostra i ruoli richiesti per eseguire attività correlate a Shadow API Discovery.
| Attività | Ruolo/i richiesto/i |
|---|---|
| Attivare o disattivare Advanced API Security | Apigee Organization Admin (roles/apigee.admin) |
| Crea origini e job di osservazione | API Management Admin (roles/apim.admin) |
| Visualizza osservazioni | Visualizzatore API Management (roles/apim.viewer) |
Accedere a Rilevamento delle API Shadow nella UI Apigee
Questa sezione descrive come accedere a Rilevamento delle API Shadow nella UI di Apigee.
Per accedere a Rilevamento delle API Shadow nella UI di Apigee:
-
Nella console Google Cloud , vai alla pagina Osservazione API > API Shadow.
- La pagina principale mostra eventuali osservazioni API già generate. Seleziona le schede Osservazioni API e Job di osservazione per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.
Creare job di osservazione
I job di osservazione forniscono le istruzioni necessarie per la ricerca delle API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione dei job di osservazione.
- Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
- Seleziona una o più origini di osservazione o fai clic su Crea origine di
osservazione in fondo all'elenco Origini di osservazione
per creare nuove posizioni di origine, se necessario. Tieni presente che la creazione dell'origine dell'osservazione
potrebbe richiedere diversi minuti.
Le origini delle osservazioni includono:
Nome origine: un nome che specifichi per identificare l'origine.
Località: una località da osservare. L'inclusione di più regioni di origine consente una visione più ampia delle API nella tua infrastruttura. Consulta le best practice. È possibile creare una sola origine di osservazione in una località.
Rete e subnet:la rete VPC e la subnet. La rete e la subnet devono trovarsi nello stesso progetto dell'origine dell'osservazione. La subnet deve trovarsi anche nella stessa regione della località di origine dell'osservazione. - Crea un job di osservazione. Fornisci un nome del job di osservazione, che deve essere univoco per posizione. Seleziona una località, che specifica dove avverrà l'aggregazione e il trattamento dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati e a cui si accede da questa regione, in conformità alle norme di residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
- (Facoltativo) Abilita il job di osservazione. Puoi attivare il job quando lo crei, nel qual caso inizia a osservare immediatamente. Se non attivi immediatamente il job, puoi attivarlo in un secondo momento dall'elenco dei job di osservazione.
Attivare, disattivare ed eliminare i job di osservazione
Per modificare l'attivazione (lo stato) di un job di osservazione esistente, seleziona Attiva o Disattiva dal menu Azioni nella riga del job nella pagina Job di osservazione.
Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per il job. L'eliminazione di un job comporta anche la rimozione dei risultati dell'osservazione associati al job. Pertanto, se vuoi conservare i risultati e interrompere l'esecuzione del job, disabilitalo anziché eliminarlo. I job attivi non possono essere eliminati. Disattiva prima i job attivi se devi eliminarli.
Visualizza osservazioni API
Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e poi seleziona il Job di osservazione dall'elenco.
L'elenco delle osservazioni mostra questi valori:
- Nome host:il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
- Operazioni API:il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
- IP server:IP dei server che ospitano le API rilevate.
- Posizioni di origine: le posizioni di origine in cui è stato osservato il traffico.
- Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata l'ultima richiesta all'API.
- Tag:un elenco dei tag che tu o qualcun altro avete creato per etichettare questa osservazione. Per ulteriori informazioni, consulta la sezione Utilizzare i tag.
- Azioni:azioni aggiuntive disponibili per ogni osservazione.
Visualizza i dettagli dell'osservazione
Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, vedrai la pagina dei dettagli dell'osservazione.
Questa pagina include le seguenti informazioni sull'osservazione.
- La casella di riepilogo nella parte superiore della pagina mostra:
- ID osservazione API:si tratta di un identificatore specifico di Apigee.
- Operazioni API:consulta la sezione Visualizzare le osservazioni API per una descrizione di questo campo.
- Ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Tag:utilizza i tag per organizzare i risultati dei job di osservazione.
- Ora dell'ultimo evento rilevato: consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
- Una tabella delle operazioni API specifiche rilevate in questa API scoperta. Per ogni richiesta vengono visualizzate le seguenti informazioni:
- Percorso:il percorso della richiesta.
- Metodo:il metodo di richiesta (ad esempio GET, PUT e così via).
- Conteggio:il numero di richieste a quel percorso con quel metodo.
- Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Include le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Intestazioni della risposta della transazione: le intestazioni della risposta dai dati sul traffico. Include le intestazioni della risposta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Codici di risposta della transazione:i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione API.
- Data e ora della prima visualizzazione (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione API.
- Ultima visualizzazione (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione API.
Utilizzare i tag
I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e servono solo per il tuo monitoraggio; i tag non modificano nulla nei risultati dell'osservazione né attivano alcuna azione. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non crea avvisi o notifiche. I nuovi risultati dell'osservazione non hanno tag.
I tag hanno le seguenti caratteristiche:
- Puoi aggiungere lo stesso tag a più risultati dell'osservazione.
- I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
- Una volta creato un tag, il nome non può essere modificato. Rimuovi e ricrea il tag per rinominarlo.
- La rimozione di un tag da tutti i risultati dell'osservazione lo elimina dal sistema.
Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.
Per gestire i tag dall'elenco delle osservazioni API:
- Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
- Per gestire i tag per un risultato, seleziona Gestisci tag dal menu Azioni nella riga del risultato.
- Per gestire i tag per uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.
Per gestire i tag dai dettagli di API Observation:
- Visualizza i tag esistenti nella sezione Tag.
- Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.
Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona quelli esistenti o aggiungine di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.
Accedere a Rilevamento delle API Shadow dall'hub API
Per informazioni sull'accesso a Rilevamento delle API Shadow dall'hub API, vedi Gestire API Observation nell'hub API.
Best practice
Ti consigliamo queste pratiche quando utilizzi Shadow API Discovery:
- Segui le regole di residenza dei dati della tua organizzazione per garantire la conformità a eventuali leggi e normative vigenti.
- Aggrega il maggior numero possibile di regioni di origine per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei risultati dei job di osservazione consente di ottenere una visione più ampia delle API nella tua infrastruttura.
Comportamenti e limitazioni
Questa sezione elenca i comportamenti e le limitazioni che si applicano a Rilevamento delle API Shadow:
- L'utilizzo del rilevamento delle API Shadow non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API Shadow.
- Rilevamento delle API Shadow trova le API Shadow solo nella tua infrastruttura Google Cloud .
- I job e le origini di osservazione devono essere configurati nello stesso progetto in cui sono configurate la rete e la subnet VPC.
- Al momento, Rilevamento delle API Shadow supporta solo i bilanciatori del carico delle applicazioni esterni e interni. I bilanciatori del carico di rete non sono supportati.
- Rilevamento delle API Shadow trova le API del protocollo HTTP, non gRPC.
- L'esecuzione di job di osservazione delle API sui bilanciatori del carico non ha alcun impatto sulla latenza del traffico API.
- Avviso:Shadow API Discovery supporta i bilanciatori del carico su una rete per progetto. Se abiliti il rilevamento delle API shadow in un progetto con più reti, potresti notare un comportamento inatteso.
- Per rilevare le API ombra, deve esserci traffico che scorre attraverso i bilanciatori del carico nei progetti osservati.
- A seconda del volume di traffico, un job di osservazione appena attivato potrebbe impiegare fino a 30 minuti per rilevare il traffico. Il traffico scarso richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
- Per regione, è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
- I job di osservazione possono essere creati e disattivati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e ricrealo.
- Al momento, le seguenti regioni sono supportate per l'API Observation e le API Shadow:
- australia-southeast1
- europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1