Esta página se ha traducido con Cloud Translation API.

Información general sobre la detección de APIs de sombra

Información general

La detección de APIs ocultas encuentra APIs ocultas (también conocidas como APIs sin documentar) en tu infraestructura de nube. Las APIs ocultas suponen un riesgo de seguridad para tu sistema, ya que pueden no estar protegidas, monitorizadas ni mantenidas. Detección de APIs ocultas forma parte de Observación de APIs en Apigee.

Puedes configurar y ejecutar trabajos para observar la actividad de la API en proyectos concretos. Google Cloud En tu instancia centralizada del centro de APIs de Apigee, puedes adjuntar esos proyectos para ver los resultados de esos trabajos y compararlos automáticamente con las APIs "conocidas" documentadas en el centro de APIs. Para obtener información sobre cómo usar Detección de APIs ocultas en el centro de APIs de Apigee, consulta Observaciones de APIs en el centro de APIs.

Para obtener información sobre la compatibilidad de la residencia de datos con la API Shadow Discovery, consulta el artículo Compatibilidad de la residencia de datos.

Habilitar el descubrimiento de APIs de sombra

Detección de APIs ocultas forma parte del complemento Advanced API Security y está disponible para Google Cloud proyectos con o sin aprovisionamiento de Apigee.

Si tu Google Cloud proyecto se ha aprovisionado para Apigee:

En el caso de los clientes con suscripción, está disponible con la organización de Apigee. Consulta Gestionar la seguridad avanzada de las APIs en organizaciones de suscripción.
Los clientes de pago por uso deben habilitar el complemento en al menos un entorno. Consulta Gestionar la seguridad avanzada de las APIs en organizaciones con pago por uso
La detección de APIs ocultas no está disponible en los entornos de evaluación de Apigee.

Si tu proyecto Google Cloud no está aprovisionado para Apigee, puedes añadir Detección de APIs Shadow a tu proyecto poniéndote en contacto con el equipo de Ventas de Apigee.

Habilitar el descubrimiento de APIs fantasma desde Apigee

Las instrucciones de esta sección para configurar y ver los resultados de las observaciones de APIs se basan en la interfaz de usuario de Apigee en la consola de Cloud. También puedes usar las APIs de gestión de Apigee (APIM) para gestionar la detección de APIs ocultas. Consulta las APIs de gestión de detección de APIs de sombra.

Para usar esta función, debes habilitar el complemento. Si tienes una suscripción, puedes habilitar el complemento para tu organización. Consulta más información sobre cómo gestionar la seguridad avanzada de las APIs en organizaciones de suscripción. Si eres cliente de la modalidad de pago por uso, puedes habilitar el complemento en los entornos aptos. Para obtener más información, consulta Gestionar el complemento Advanced API Security.

Habilitar la detección de APIs de Shadow desde el centro de APIs

Para habilitar la detección de APIs ocultas desde el centro de APIs, sigue las instrucciones que se indican en el artículo Configurar la observación de APIs en el centro de APIs.

Roles y permisos necesarios para la detección de APIs ocultas

En la tabla siguiente se muestran los roles necesarios para realizar tareas relacionadas con la detección de APIs ocultas.

Tarea	Rol(es) obligatorio(s)
Habilitar o inhabilitar la seguridad avanzada de las APIs	Administrador de organización de Apigee (roles/apigee.admin)
Crear fuentes y tareas de observación	Administrador de gestión de APIs (roles/apim.admin)
Ver observaciones	Lector de API Management (roles/apim.viewer)

Acceder a Detección de APIs de sombra en la interfaz de usuario de Apigee

En esta sección se describe cómo acceder a Shadow API Discovery en la interfaz de usuario de Apigee.

Para acceder a Detección de APIs de sombra en la interfaz de usuario de Apigee, sigue estos pasos:

En la Google Cloud consola, ve a la página Observación de APIs > API de sombra.

Ir a la API Shadow
En la página principal se muestran las observaciones de la API que ya se han generado. Selecciona las pestañas Observaciones de la API y Tareas de observación para cambiar entre ver los resultados y crear tareas de observación.

Crear tareas de observación

Las tareas de observación proporcionan las instrucciones que necesita Shadow API Discovery para buscar APIs ocultas. Sigue estos pasos para crear un trabajo de observación. Tenga en cuenta los comportamientos y las limitaciones que se aplican a la creación de trabajos de observación.

Seleccione la pestaña Tareas de observación y, a continuación, haga clic en Crear tarea de observación.
Seleccione una o varias fuentes de observación o haga clic en Crear fuente de observación en la parte inferior de la lista Fuentes de observación para crear nuevas ubicaciones de origen si es necesario. Ten en cuenta que el proceso de creación de la fuente de observación puede tardar varios minutos.

Las fuentes de observaciones incluyen lo siguiente:
Nombre de la fuente: nombre que especifica para identificar la fuente.
Ubicación: una ubicación que observar. Si incluye más regiones de origen, podrá ver las APIs de forma más general en toda su infraestructura. Consulta las prácticas recomendadas. Solo se puede crear una fuente de observación en una ubicación.
Red y Subred: la red de VPC y la subred. La subred debe estar en la misma región que la ubicación de la fuente de observación.
Crea una tarea de observación. Proporciona un nombre de tarea de observación, que debe ser único por ubicación. Selecciona una ubicación, que especifica dónde se producirán la agregación y el tratamiento de los datos. Todos los datos recogidos en las regiones de origen se tratan y se accede a ellos desde esta región, de acuerdo con las políticas de residencia de datos de Google. Crear un nuevo trabajo de observación puede tardar unos minutos en completarse.
Habilita el trabajo de observación (opcional). Puedes habilitar el trabajo al crearlo, en cuyo caso empezará a observar inmediatamente. Si no habilitas el trabajo inmediatamente, puedes habilitarlo más adelante desde la lista de trabajos de observación.

Habilitar, inhabilitar y eliminar trabajos de observación

Para cambiar si un trabajo de observación está habilitado (activo), seleccione Habilitar o Inhabilitar en el menú Acciones de la fila correspondiente en la página Trabajos de observación.

Para eliminar un trabajo de observación, selecciona Eliminar en el menú Acciones de ese trabajo. Si eliminas una tarea, también se eliminarán los resultados de observación asociados a ella. Por lo tanto, si quieres conservar los resultados y detener la tarea, inhabilítala en lugar de eliminarla. Los trabajos activos no se pueden eliminar. Primero debes inhabilitarlos si quieres eliminarlos.

Ver observaciones de la API

Para ver las observaciones de API de los trabajos de observación habilitados, elija la pestaña Observaciones de API y, a continuación, seleccione el Trabajo de observación de la lista.

En la lista de observaciones se muestran los siguientes valores:

Nombre de host: nombre de host de la API. Haz clic en el nombre de host para ver los detalles de la observación.
Operaciones de la API: número de operaciones de la API (como solicitudes GET o PUT) observadas.
IPs del servidor: IPs de los servidores que alojan las APIs descubiertas.
Ubicaciones de origen: las ubicaciones de origen en las que se ha observado el tráfico.
Último evento detectado (UTC): la fecha y la hora en las que se detectó la solicitud más reciente a la API.
Etiquetas: lista de las etiquetas que usted u otra persona ha creado para etiquetar esta observación. Consulta más información en el artículo sobre cómo usar etiquetas.
Acciones: acciones adicionales disponibles para cada observación.

Ver los detalles de la observación

Después de hacer clic en el nombre de host de la lista de observaciones, verás la página de detalles de la observación.

Detalles del trabajo de observación de Shadow API Discovery

En esta página se incluye la siguiente información sobre la observación.

En el cuadro de resumen de la parte superior de la página se muestra lo siguiente:
- ID de observación de la API: es un identificador específico de Apigee.
- Operaciones de la API: consulta la sección Ver observaciones de la API para obtener una descripción de este campo.
- Hora de creación (UTC): fecha y hora en las que se creó la tarea de observación.
- Etiquetas: usa etiquetas para organizar los resultados de los trabajos de observación.
- Hora del último evento detectado: consulta la sección Ver observaciones de la API para obtener una descripción de este campo.
Tabla de operaciones de API específicas detectadas en esta API descubierta. Para cada solicitud, se muestra la siguiente información:
- Ruta: la ruta de la solicitud.
- Método: el método de solicitud (como GET, PUT, etc.).
- Recuento: número de solicitudes a esa ruta con ese método.
- Solicitud de transacción: el cuerpo de la solicitud de los datos de tráfico. Incluye los encabezados de solicitud y el número de transacciones correspondiente a esta operación de la API.
- Encabezados de respuesta de transacciones: encabezados de respuesta de datos de tráfico. Incluye los encabezados de respuesta y los recuentos de transacciones correspondientes de esta operación de la API.
- Códigos de respuesta de la transacción: los códigos de respuesta y el número correspondiente de respuestas con ese código para esta operación de la API.
- Primera vez (UTC): la primera fecha y hora en las que se observó la solicitud de esta operación de la API.
- Última vez visto (UTC): la fecha y la hora más recientes en las que se observó la solicitud a esta operación de la API.

Usar etiquetas

Las etiquetas te permiten categorizar los resultados de las observaciones. Las etiquetas son metadatos y solo sirven para tu seguimiento. No cambian nada en los resultados de las observaciones ni activan ninguna acción. Por ejemplo, añadir la etiqueta "Requiere atención" no crea ningún aviso ni alerta. Los nuevos resultados de observación no tienen etiquetas.

Las etiquetas tienen estas características:

Puede añadir la misma etiqueta a varios resultados de observación.
Los nombres de etiquetas pueden incluir caracteres en mayúsculas y minúsculas, números y caracteres especiales, incluidos los espacios.
Una vez que se ha creado una etiqueta, no se puede cambiar su nombre. Para cambiarlo, elimine la etiqueta y vuelva a crearla.
Si quitas una etiqueta de todos los resultados de observación, se eliminará del sistema.

Puedes gestionar las etiquetas desde la lista de observaciones o desde la página de detalles de la observación.

Para gestionar las etiquetas desde la lista de observaciones de la API, sigue estos pasos:

Consulta las etiquetas que ya hay en la columna Etiquetas de la lista de observaciones.
Para gestionar las etiquetas de un resultado, seleccione Gestionar etiquetas en el menú Acciones de la fila correspondiente.
Para gestionar las etiquetas de uno o varios resultados a la vez, seleccione varios resultados de la lista y, a continuación, elija Gestionar etiquetas en la parte superior de la lista.

Para gestionar las etiquetas desde los detalles de la observación de la API, sigue estos pasos:

Consulte las etiquetas que ya tiene en la sección Etiquetas.
Para añadir o gestionar etiquetas, selecciona Gestionar etiquetas en la parte superior de la página.

En el panel lateral Gestionar etiquetas, para añadir etiquetas, selecciona las que ya tengas o añade otras nuevas. Para quitar etiquetas, desmárcalas. Haz clic en Guardar para guardar las nuevas etiquetas.

Acceder a la API Shadow Discovery desde el centro de APIs

Para obtener información sobre cómo acceder a Shadow API Discovery desde el centro de APIs, consulta el artículo Gestionar la observación de APIs en el centro de APIs.

Prácticas recomendadas

Te recomendamos que sigas estas prácticas cuando trabajes con la detección de APIs ocultas:

Sigue las reglas de residencia de datos de tu organización para cumplir las normativas y leyes aplicables.
Agrega datos de tantas regiones de origen como sea posible para obtener la mejor correlación entre regiones. Si incluyes más regiones de origen en tus trabajos de observación, obtendrás una visión más amplia de las APIs de tu infraestructura.

Comportamientos y limitaciones

En esta sección se enumeran los comportamientos y las limitaciones que se aplican a Shadow API Discovery:

El uso de Shadow API Discovery no garantiza la observación del 100% del tráfico ni el descubrimiento de todas las APIs de sombra.
Shadow API Discovery solo encuentra APIs ocultas en tu infraestructura de Google Cloud .
Por el momento, la detección de APIs de sombra solo admite balanceadores de carga de aplicaciones externos e internos. Los balanceadores de carga de red no son compatibles.
Shadow API Discovery encuentra APIs de protocolo HTTP, no gRPC.
Ejecutar tareas de observación de APIs en balanceadores de carga no afecta a la latencia del tráfico de las APIs.
Advertencia: Shadow API Discovery admite balanceadores de carga en una red por proyecto. Si habilitas la detección de APIs de sombra en un proyecto con varias redes, es posible que observes un comportamiento inesperado.
Para detectar APIs ocultas, debe haber tráfico en los balanceadores de carga de los proyectos observados.
Un trabajo de observación recién habilitado puede tardar hasta 30 minutos en detectar el tráfico, en función del volumen de tráfico. El tráfico disperso requiere tiempos de observación más largos antes de que los resultados estén disponibles.
Por región, hay un límite de una sola fuente de observaciones y un máximo de tres tareas de observación. Si necesitas más de tres trabajos de observación, ponte en contacto con el equipo de Asistencia de Google Cloud para hablar sobre el caso práctico.
Los trabajos de observación se pueden crear, inhabilitar o eliminar, pero no editar. Si necesitas cambiar una tarea de observación, elimínala y vuelve a crearla.
Actualmente, se admiten las siguientes regiones para la observación de APIs y las APIs Shadow:
- australia‑southeast1
- europe‑west2
- europe-west9
- us-central1
- us‑east1
- us‑west1

Información general sobre la detección de APIs de sombra Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.