Panoramica
Il rilevamento dell'API Shadow di Apigee trova le API shadow (note anche come API non documentate) nel cloud esistente dell'infrastruttura. Le API shadow rappresentano un rischio per la sicurezza del sistema, poiché potrebbero essere non protetti, non monitorati e non gestiti.
L'utilizzo di Shadow API Discovery non influisce in modo significativo sul traffico di runtime né lo rallenta; tuttavia, le latenze finali del traffico attraverso i bilanciatori del carico osservati possono essere notevolmente interessate.
Le istruzioni in questa pagina per configurare e visualizzare i risultati delle osservazioni dell'API si basano sulla UI di Apigee nella console Cloud. Puoi anche utilizzare le API Apigee Management (APIM) per gestire Scoperta API Shadow. Consulta API di gestione del rilevamento delle API shadow.
Attivare il rilevamento delle API shadow
Shadow API Discovery fa parte del componente aggiuntivo Apigee Advanced API Security. Per la scoperta delle API shadow, il componente aggiuntivo è applicabile per organizzazione. Per i clienti in abbonamento, è disponibile presso l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono attivare il componente aggiuntivo per alle almeno un ambiente. Shadow API Discovery non è disponibile per gli ambienti di valutazione Apigee.
Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Vedi Per maggiori dettagli, gestisci la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Sicurezza API avanzata.
Ruoli e autorizzazioni obbligatori per il rilevamento dell'API Shadow
La tabella seguente mostra i ruoli richiesti per eseguire attività relative al rilevamento dell'API Shadow.
| Attività | Ruoli richiesti |
|---|---|
| Attivare o disattivare la funzionalità Advanced API Security | Apigee Amministratore dell'organizzazione (roles/apigee.admin) |
| Creare origini e job di osservazione | Amministratore gestione API (roles/apim.admin) |
| Visualizza osservazioni | Visualizzatore API Management (roles/apim.viewer) |
Accedi a Shadow API Discovery nella console Apigee
Per accedere a Shadow API Discovery nella console Apigee:
- Accedi alla UI di Apigee nella console Cloud.
- Vai a Osservazione API > API Shadow.
- La pagina principale mostra le eventuali osservazioni dell'API già generate. Seleziona le schede API Observations e Observation Jobs per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.
Creare job di osservazione
I job di osservazione forniscono le istruzioni che il rilevamento dell'API shadow deve cercare per le API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione dei job di osservazione.
- Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
- Seleziona una o più origini di osservazione o fai clic su Crea osservazione.
Fonte nella parte inferiore della sezione Fonti di osservazione.
elenco per creare nuove località di origine, se necessario. Tieni presente che la procedura di creazione della fonte di osservazione potrebbe richiedere diversi minuti.
Le origini di osservazione includono:
Nome origine: un nome specificato per identificare l'origine.
Località: una località a cui osservare. L'inclusione di più regioni di origine consente una visione più ampia delle API nell'infrastruttura. Consulta le best practice. In una località è possibile creare una sola fonte di osservazioni.
Rete e Subnet:la rete VPC e la subnet. La subnet deve trovarsi nella stessa regione della località dell'origine dell'osservazione. - Crea un job di osservazione. Fornisci un nome job di osservazione, che deve essere univoco per in ogni località. Seleziona una località che specifichi dove verranno eseguite l'aggregazione e l'elaborazione dei dati che si verificano. Tutti i dati raccolti nelle regioni di origine vengono elaborati e accessibili da questo regione, in linea con Norme sulla residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
- (Facoltativo) Attiva il job di osservazione. Puoi attivare il job quando lo crei, nel qual caso inizierà immediatamente l'osservazione. Se non abiliti immediatamente il job, puoi abilitare il job di osservazione in un secondo momento dall'elenco dei job di osservazione.
Abilita, disabilita ed elimina i job di osservazione
Per modificare se un job di osservazione esistente è abilitato (attivo), seleziona Abilita oppure Disattiva dal menu Azioni nella riga del job in Job di osservazione .
Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per quel job. L'eliminazione di un job rimuove anche i risultati di osservazione associati al job, quindi se vuoi conservare i risultati interrompendo il job, disabilitalo che eliminarlo. I job attivi non possono essere eliminati. Se devi eliminarli, disattivali prima.
Visualizza le osservazioni API
Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e seleziona il Job di osservazione dall'elenco.
L'elenco delle osservazioni mostra i seguenti valori:
- Nome host: il nome host dell'API. Fai clic sul nome host per visualizza i dettagli dell'osservazione.
- Operazioni API: il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
- IP dei server: gli IP dei server che ospitano le API rilevate.
- Località di origine: le località di origine in cui è stato osservato il traffico.
- Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata la richiesta più recente all'API.
- Tag:un elenco dei tag creati da te o da qualcun altro per etichettare questa osservazione. Per ulteriori informazioni, consulta Utilizzare i tag.
- Azioni: azioni aggiuntive disponibili per ogni osservazione.
Visualizzare i dettagli dell'osservazione
Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, viene visualizzata la pagina dei dettagli dell'osservazione.
Questa pagina include le seguenti informazioni sull'osservazione.
- La casella del riepilogo nella parte superiore della pagina mostra:
- ID di osservazione API: si tratta di un identificatore specifico di Apigee.
- Operazioni API: consulta Visualizza le osservazioni dell'API per una descrizione di questo campo.
- Data/ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Tag: utilizza i tag per organizzare i risultati dei job di osservazione.
- Ora dell'ultimo evento rilevato: consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
- Una tabella di specifiche operazioni API rilevate sull'API rilevata. Per ogni richiesta, vengono visualizzate le seguenti informazioni:
- Percorso: il percorso della richiesta.
- Method (Metodo): il metodo di richiesta (ad esempio GET, PUT e così via).
- Conteggio:il numero di richieste al percorso con quel metodo.
- Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Sono incluse le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Intestazioni di risposta alla transazione: le intestazioni di risposta dei dati sul traffico. Include le intestazioni delle risposte e i conteggi delle transazioni corrispondenti per questa operazione API.
- Codici di risposta della transazione: i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione dell'API.
- Primo rilevamento (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione dell'API.
- Ultimo rilevamento (UTC): la data e l'ora più recenti in cui la richiesta a questa API È stata osservata l'operazione.
Utilizzare i tag
I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e fanno riferimento solo monitoraggio; i tag non modificano nulla risultati di osservazione o attivare qualsiasi azione. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non genera notifiche o avvisi. I nuovi risultati di osservazione non hanno tag.
I tag hanno le seguenti caratteristiche:
- Puoi aggiungere lo stesso tag a più risultati di osservazione.
- I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
- Una volta creato, il nome di un tag non può essere modificato. Per rinominarlo, rimuovi e ricrea il tag.
- Se rimuovi un tag da tutti i risultati dell'osservazione, questo viene eliminato dal sistema.
Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.
Per gestire i tag dal Elenco delle osservazioni dell'API:
- Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
- Per gestire i tag per un risultato, seleziona Gestisci tag dal menu Azioni in la riga del risultato.
- Per gestire i tag di uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.
Per gestire i tag dai dettagli dell'osservazione dell'API:
- Controlla i tag esistenti nella sezione Tag.
- Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.
Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona quelli esistenti o creane di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.
Best practice
Quando lavori con il rilevamento dell'API Shadow, consigliamo queste pratiche:
- Segui le regole di residenza dei dati della tua organizzazione per garantire la conformità a eventuali normative e leggi vigenti.
- Esegui l'aggregazione da quante più regioni di origine possibile per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei job di osservazione consente di avere una visualizzazione più ampia delle API nell'intera infrastruttura.
Comportamenti e limitazioni
Questa sezione elenca i comportamenti e le limitazioni che si applicano al rilevamento dell'API Shadow:
- L'uso del rilevamento dell'API Shadow non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API shadow.
- La funzionalità di rilevamento delle API shadow trova le API shadow solo nella tua infrastruttura Google Cloud.
- Al momento, Discovery API supporta solo bilanciatori del carico delle applicazioni regionali.
- Il rilevamento API shadow trova le API del protocollo HTTP, non gRPC.
- Avviso: Discovery API shadow supporta i bilanciatori del carico su una rete per progetto. Se abilitare Shadow API Discovery su un progetto con più reti, potresti vedere messaggi imprevisti comportamento degli utenti.
- Avviso: l'abilitazione del rilevamento dell'API Shadow potrebbe causare un aumento della latenza del carico al bilanciatore del carico di rete in tutte le reti del progetto.
- Per rilevare il traffico di un nuovo job di osservazione abilitato possono essere necessari fino a 60 minuti.
- Per rilevare le API shadow, deve essere presente traffico che passa attraverso i bilanciatori del carico nei progetti osservati. Come minimo, Shadow API Discovery richiede tra minuti o alcune ore di rilevamento del traffico, a seconda del volume di traffico. Il traffico sporadico richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
- Per regione è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta Assistenza clienti Google Cloud per discutere del caso d'uso.
- I job di osservazione possono essere creati e disattivati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e creane uno nuovo.
- Al momento sono supportate solo alcune regioni per i job di rilevamento dell'API Shadow. Consulta le
delle regioni supportate con questa richiesta:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations