Descripción general de Shadow API Discovery

Descripción general

Apigee Shadow API Discovery encuentra APIs shadow (también conocidas como API sin documentar) en tu infraestructura de nube existente. Las APIs shadow representan un riesgo de seguridad para tu sistema, ya que pueden no estar protegidas, no supervisadas y sin mantenimiento.

El uso de Shadow API Discovery no afecta de manera significativa el tráfico del entorno de ejecución ni es lento.

Las instrucciones de esta página para configurar y ver los resultados de las observaciones de API se basan en la IU de Apigee en la consola de Cloud. También puedes usar las APIs de administración de Apigee (APIM) para administrar Shadow API Discovery. Consulta las APIs de administración de Shadow API Discovery.

Habilita Shadow API Discovery

Shadow API Discovery es parte del complemento Apigee Advanced API Security. Para Shadow API Discovery, el complemento se aplica por organización. Para los clientes de suscripción, está disponible con la organización de Apigee. Sin embargo, los clientes de pago por uso deben habilitar el complemento para al menos un entorno. Shadow API Discovery no está disponible para los entornos de evaluación de Apigee.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Roles y permisos obligatorios para Shadow API Discovery

En la siguiente tabla, se muestran los roles necesarios para realizar tareas relacionadas con Shadow API DiscoveryI.

Tarea Roles requeridos
Habilita o inhabilita Advanced API Security Administrador de la organización de Apigee (roles/apigee.admin)
Crea trabajos y fuentes de observación Administrador de administración de API (roles/apim.admin)
Ver observaciones Visualizador de administración de API (roles/apim.viewer)

Agrega el permiso para P4SA

Agrega un rol a la cuenta de servicio por producto y por proyecto (P4SA) de tu proyecto para poder habilitar los trabajos de observación. Agrega el rol agente de servicio de APIM API Discovery a service-PROJECT_NUMBER@gcp-sa-apim.iam.gserviceaccount.com: 

gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-apim.iam.gserviceaccount.com" \
--role="roles/apim.apiDiscoveryServiceAgent"

Accede Shadow API Discovery en la consola de Apigee

Para acceder a APIM API Discovery en la consola de Apigee, haz lo siguiente:

  1. Accede a la IU de Apigee en la consola de Cloud.
  2. Ve a API Observation > Shadow API.
  3. En la página principal, se muestran las observaciones de la API que ya se generaron. Selecciona las pestañas Observaciones de APIs y Trabajos de observación para alternar entre visualizar resultados y crear trabajos de observación.

Crea trabajos de observación

Los trabajos de observación proporcionan las instrucciones que Shadow API Discovery necesita para buscar APIs shadow. Sigue estos pasos para crear un trabajo de observación. Ten en cuenta los comportamientos y limitaciones que se aplican a la creación de trabajos de observación.

  1. Selecciona la pestaña Trabajos de observación y, luego, haz clic en Crear trabajo de observación.
  2. Selecciona una o más Fuentes de observación.
    o
  3. Haz clic en Crear fuente de observación en la parte inferior de la lista Fuentes de observación para crear nuevas ubicaciones de origen, si es necesario. Ten en cuenta que el proceso de creación de la fuente de observación puede tomar varios minutos.

    Nombre de la fuente: Es un nombre que especificas para identificar la fuente.
    Ubicación: Una ubicación para observar. La inclusión de más regiones de origen permite una vista más amplia de las APIs en toda tu infraestructura. Ver prácticas recomendadas. Solo se puede crear una fuente de observación en una ubicación.
    Red y Subred: La red y la subred de VPC. La subred debe estar en la misma región que la ubicación de la fuente de observación.
  4. Crea un trabajo de observación. Proporciona un nombre de trabajo de observación, que debe ser único por ubicación. Selecciona una ubicación que especifica dónde ocurrirá la agregación y el procesamiento de datos. Todos los datos recopilados en las regiones de origen se procesan en esta región y se accede a ellos desde ella, de conformidad con las políticas de residencia de datos de Google. La creación de un trabajo de observación nuevo puede tomar unos minutos.
  5. Habilita trabajo de observación (opcional). Puedes habilitar el trabajo cuando lo crees, en cuyo caso comenzará a observar de inmediato. Si no habilitas el trabajo de inmediato, puedes habilitar el trabajo de observación más tarde desde la lista de trabajos de observación.

Habilita, inhabilita y borra trabajos de observación

Para cambiar si un trabajo de observación existente está habilitado (activo), selecciona Habilitar o Inhabilitar en el menú Acciones en la fila de la siguiente manera: ese trabajo en la página Trabajos de observación.

Para borrar un trabajo de observación existente, selecciona Borrar en el menú Acciones de ese trabajo. Cuando se borra un trabajo, también se quitan los resultados de la observación asociados con el trabajo, por lo que si deseas conservar los resultados mientras evitas que el trabajo continúe, inhabilítalo en lugar de borrarlo. Los trabajos activos no se pueden borrar. Inhabilita los trabajos activos primero si necesitas borrarlos.

Visualiza observaciones de APIs

Para ver observaciones de APIs para los trabajos de observación habilitados, elige la pestaña Observaciones de APIs y, luego, selecciona Trabajo de observación de la lista.

Página Observaciones de APIs

La lista de observaciones muestra estos valores:

  • Nombre de host: El nombre de host de la API. Haz clic en el nombre de host para ver los detalles de la observación.
  • Operaciones de API: La cantidad de operaciones de API (como solicitudes GET o PUT) que se observan.
  • IP de servidor: IP de servidores que alojan las APIs descubiertas.
  • Ubicación de origen: Las ubicaciones de origen donde se observó el tráfico.
  • Último evento detectado (UTC): es la fecha y la hora en que se detectó la solicitud más reciente a la API.

Ver detalles de la observación

Después de hacer clic en el nombre de host en la lista de observaciones, verás la página de detalles de la observación.

Detalles de la observación de APIs

En esta página, se incluye la siguiente información sobre la observación.

  • El cuadro de resumen en la parte superior de la página muestra lo siguiente:
    • ID de observación de API: Este es un identificador específico de Apigee.
    • Operaciones de la API: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
    • Hora de creación (UTC): La fecha y hora en que se creó el trabajo de observación.
    • Hora del último evento detectado: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
  • Una tabla de operaciones de API específicas detectadas en la API detectada. Para cada solicitud, se muestra la siguiente información:
    • Ruta de acceso: La ruta de la solicitud.
    • Método: El método de solicitud (como GET, PUT, etcétera).
    • Recuento: La cantidad de solicitudes a esa ruta con ese método.
    • Solicitud de transacción: El cuerpo de la solicitud a partir de datos de tráfico. Incluye los encabezados de la solicitud y los recuentos de transacciones correspondientes para esta operación de API.
    • Encabezados de respuesta de transacción: Los encabezados de respuesta de los datos de tráfico. Incluye los encabezados de respuesta y los recuentos de transacciones correspondientes para esta operación de API.
    • Códigos de respuesta de transacciones: Los códigos de respuesta y los recuentos correspondientes de respuestas con ese código para esta operación de API.
    • Visto por primera vez (UTC): La primera fecha y hora en que se observó la solicitud a esta operación de API.
    • Visto por última vez (UTC): La fecha y hora más reciente en que se observó la solicitud a esta operación de API.

prácticas recomendadas

Recomendamos estas prácticas cuando trabajas con Shadow API Discovery:

  • Sigue las reglas de residencia de datos de tu organización para garantizar el cumplimiento de las leyes y normativas aplicables.
  • Agrega desde la mayor cantidad de regiones de origen posible para obtener la mejor correlación interregional. La inclusión de más regiones de origen en tus trabajos de observación da como resultado una vista más amplia de las APIs en toda tu infraestructura.

Comportamientos y limitaciones

En esta sección, se enumeran los comportamientos y las limitaciones que se aplican a Shadow API Discovery:

  • El uso de Shadow API Discovery no garantiza la observación del 100% del tráfico o el descubrimiento de todas las APIs shadow.
  • Shadow API Discovery encuentra las APIs shadow solo en tu infraestructura de Google Cloud.
  • Por el momento, Shadow API Discovery solo admite balanceadores de cargas de aplicaciones regionales.
  • Shadow API Discovery encuentra APIs del protocolo HTTP, no gRPC.
  • Advertencia: Shadow API Discovery admite balanceadores de cargas en una red por proyecto. Si habilitas Shadow API Discovery en un proyecto con varias redes, es posible que veas comportamientos inesperados.
  • Advertencia: Habilitar Shadow API Discovery puede aumentar la latencia de las llamadas al balanceador de cargas en todas las redes del proyecto.
  • Un trabajo de observación recién habilitado puede tardar hasta 60 minutos en detectar tráfico.
  • Debe haber tráfico que fluya a través de los balanceadores de cargas en los proyectos observados para detectar APIs shadow. Como mínimo, la detección de tráfico de Shadow API Discovery requiere entre unos minutos y unas horas, según el volumen de tráfico. El tráfico disperso requiere tiempos de observación más largos antes de que los resultados estén disponibles.
  • Por región, hay un límite de una sola fuente de observación y un máximo de tres trabajos de observación. Si necesitas más de tres trabajos de observación, comunícate con Asistencia de Apigee para analizar el caso de uso.
  • Los trabajos de observación se pueden crear e inhabilitar o borrar, pero no se pueden editar. Si necesitas cambiar un trabajo de observación, bórralo y vuelve a crearlo.
  • En este momento, solo se admiten algunas regiones para los trabajos de Shadow API Discovery.