Ringkasan Discovery Shadow API

Ringkasan

Apigee Shadow API Discovery menemukan API bayangan (juga dikenal sebagai API yang tidak terdokumentasi) di cloud Anda yang sudah ada infrastruktur IT. API bayangan menimbulkan risiko keamanan bagi sistem Anda, karena tidak aman, tidak terpantau, dan tidak dipelihara.

Penggunaan Shadow API Discovery tidak memengaruhi atau memperlambat traffic runtime secara signifikan; namun, {i>tail<i} dan latensi traffic melalui load balancer yang diamati dapat sangat terpengaruh.

Petunjuk di halaman ini untuk menyiapkan dan melihat hasil observasi API didasarkan di UI Apigee di Konsol Cloud. Anda juga dapat menggunakan Apigee Management API (APIM) API untuk mengelola Penemuan API Bayangan. Lihat API pengelolaan penemuan API Bayangan.

Mengaktifkan Penemuan API Bayangan

Shadow API Discovery adalah bagian dari add-on Apigee Advanced API Security. Sebagai Shadow API Discovery, add-on ini berlaku per organisasi. Untuk pelanggan yang berlangganan, tersedia di organisasi Apigee. Namun, pelanggan Bayar sesuai penggunaan harus mengaktifkan add-on untuk di setidaknya satu lingkungan. Shadow API Discovery tidak tersedia untuk lingkungan evaluasi Apigee.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Kelola Keamanan API Lanjutan untuk organisasi Langganan guna mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Kelola add-on Advanced API Security.

Peran dan izin yang diperlukan untuk Shadow API Discovery

Tabel di bawah menunjukkan peran yang diperlukan untuk melakukan tugas yang terkait dengan Penemuan API Bayangan.

Tugas Peran yang Diperlukan
Mengaktifkan atau menonaktifkan Advanced API Security Apigee Admin Organisasi (roles/apigee.admin)
Membuat sumber dan tugas observasi Admin Pengelolaan API (roles/apim.admin)
Melihat pengamatan API Management Viewer (roles/apim.viewer)

Mengakses Shadow API Discovery di Konsol Apigee

Untuk mengakses Shadow API Discovery di Konsol Apigee:

  1. Login ke UI Apigee di Cloud Console.
  2. Buka API Observation > Shadow API.
  3. Halaman utama menunjukkan pengamatan API apa pun yang telah dibuat. Pilih Tab Pengamatan API dan Tugas Observasi untuk beralih antara melihat hasil dan membuat tugas observasi.

Membuat tugas observasi

Tugas pengamatan menyediakan petunjuk yang diperlukan Shadow API Discovery untuk mencari API bayangan. Ikuti langkah-langkah ini untuk membuat tugas observasi. Perhatikan Perilaku dan batasan yang berlaku untuk pengamatan penciptaan peluang kerja.

  1. Pilih tab Observation jobs, lalu klik CreateObservation job.
  2. Pilih satu atau beberapa Sumber pengamatan, atau klik Buat pengamatan sumber di bagian bawah Sumber pengamatan untuk membuat lokasi sumber baru jika diperlukan. Perhatikan bahwa pembuatan sumber observasi mungkin memerlukan waktu beberapa menit.

    Sumber pengamatan mencakup:
    Nama sumber: Nama yang Anda tentukan untuk mengidentifikasi sumber.
    Lokasi: Lokasi untuk diamati. Dengan menyertakan lebih banyak region sumber, Anda dapat memiliki tampilan API yang lebih luas di seluruh infrastruktur IT. Lihat Praktik terbaik. Hanya satu pengamatan dapat dibuat di sebuah lokasi.
    Jaringan dan Subnetwork: Jaringan VPC dan subnetwork. Tujuan subnetwork harus berada di region yang sama dengan lokasi sumber observasi.
  3. Buat tugas observasi. Berikan nama tugas observasi, yang harus unik sesuai lokasi HTTP/HTTPS. Pilih lokasi, yang menentukan tempat penggabungan dan pemrosesan data terjadi. Semua data yang dikumpulkan di region sumber diproses dan diakses dari region ini wilayah, sesuai dengan Kebijakan Data Residency Google. Membuat tugas pengamatan baru mungkin memerlukan waktu beberapa menit untuk diselesaikan.
  4. Aktifkan tugas observasi (Opsional). Anda dapat mengaktifkan tugas saat membuatnya, di dalam kasus mana ia mulai mengamati dengan segera. Jika tidak segera mengaktifkan tugas, Anda dapat mengaktifkan tugas observasi nanti dari daftar tugas pengamatan.

Mengaktifkan, menonaktifkan, dan menghapus tugas observasi

Untuk mengubah apakah tugas pengamatan yang ada diaktifkan (aktif), pilih Aktifkan. atau Nonaktifkan dari menu Tindakan di baris untuk tugas tersebut di Tugas pengamatan kami.

Untuk menghapus tugas pengamatan yang ada, pilih Hapus dari menu Tindakan untuk untuk pekerjaan itu. Menghapus tugas juga akan menghapus hasil pengamatan yang terkait dengan tugas tersebut, jadi jika Anda ingin mempertahankan hasilnya sambil menghentikan tugas agar tidak berlanjut, nonaktifkan daripada menghapusnya. Tugas aktif tidak dapat dihapus; nonaktifkan pekerjaan aktif terlebih dahulu jika Anda perlu menghapusnya.

Melihat Pengamatan API

Guna melihat Pengamatan API untuk tugas observasi yang aktif, pilih Pengamatan API, lalu pilih Tugas pengamatan dari daftar.

Halaman Pengamatan API

Daftar observasi menunjukkan nilai-nilai ini:

  • Nama host: Nama host API. Klik nama {i>host<i} untuk melihat detail pengamatan.
  • Operasi API: Jumlah operasi API (seperti permintaan GET atau PUT) yang diamati.
  • IP Server: IP server yang menghosting API yang ditemukan.
  • Lokasi sumber: Lokasi sumber tempat traffic diamati.
  • Peristiwa terakhir terdeteksi (UTC): Tanggal dan waktu permintaan terbaru ke API terdeteksi.
  • Tag: Daftar tag yang Anda atau orang lain buat untuk memberi label pada pengamatan ini. Lihat Gunakan tag untuk mengetahui informasi selengkapnya.
  • Tindakan: Tindakan tambahan tersedia untuk setiap pengamatan.

Lihat detail pengamatan

Setelah mengklik nama {i>host<i} pada daftar pengamatan, Anda akan melihat data halaman detail.

Detail tugas observasi Shadow API Discovery

Halaman ini menyertakan informasi tentang pengamatan berikut.

  • Kotak ringkasan di bagian atas halaman menampilkan:
    • ID pengamatan API: Ini adalah ID khusus Apigee.
    • Operasi API: Lihat Melihat pengamatan API untuk deskripsi kolom ini.
    • Waktu pembuatan (UTC): Tanggal dan waktu tugas pengamatan dibuat.
    • Tag: Menggunakan tag untuk mengelola hasil tugas pengamatan.
    • Waktu peristiwa terakhir yang terdeteksi: Lihat Melihat pengamatan API untuk deskripsi kolom ini.
  • Tabel operasi API spesifik yang terdeteksi pada API yang ditemukan ini. Untuk setiap permintaan, informasi berikut ditampilkan:
    • Jalur: Jalur permintaan.
    • Metode: Metode permintaan (seperti GET, PUT, dll.).
    • Jumlah: Jumlah permintaan ke jalur tersebut dengan metode tersebut.
    • Permintaan transaksi: Isi permintaan dari data traffic. Menyertakan permintaan header dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Header respons transaksi: Header respons dari data traffic. Menyertakan header respons dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Kode respons transaksi: Kode respons dan jumlah respons yang sesuai dengan kode tersebut untuk operasi API ini.
    • Pertama terlihat (UTC): Tanggal dan waktu pertama kali permintaan ke Operasi API ini yang diamati.
    • Terakhir dilihat (UTC): Tanggal dan waktu terbaru saat permintaan ke API ini Operasi diamati.

Menggunakan tag

Tag memungkinkan Anda mengategorikan hasil pengamatan. Tag adalah metadata dan untuk pelacakan saja; tag tidak mengubah apa pun dalam hasil pengamatan atau memicu tindakan apa pun. Misalnya, menambahkan label "Perlu diperhatikan" tindakan tidak membuat pemberitahuan atau pemberitahuan apa pun. Hasil pengamatan baru tidak memiliki tag.

Tag memiliki karakteristik berikut:

  • Anda dapat menambahkan tag yang sama ke beberapa hasil pengamatan.
  • Nama tag dapat berisi karakter huruf besar dan kecil, angka, dan karakter khusus, termasuk spasi.
  • Setelah tag dibuat, nama tidak dapat diubah; hapus dan buat ulang tag untuk mengganti nama anotasi.
  • Menghapus tag dari semua hasil pengamatan akan menghapusnya dari sistem.

Anda dapat mengelola tag dari daftar pengamatan atau halaman detail pengamatan.

Untuk mengelola tag dari Daftar observasi API:

  • Lihat tag yang ada di kolom Tag daftar pengamatan.
  • Guna mengelola tag untuk satu hasil, pilih Kelola tag dari menu Tindakan di baris untuk hasil tersebut.
  • Untuk mengelola tag untuk satu atau beberapa hasil secara bersamaan, pilih beberapa hasil dari daftar lalu Kelola tag dari bagian atas daftar.

Untuk mengelola tag dari detail pengamatan API:

  • Lihat tag yang sudah ada di bagian Tag.
  • Untuk menambahkan atau mengelola tag, pilih Kelola tag di bagian atas halaman.

Di panel samping Kelola tag, pilih tag yang ada atau tambahkan tag baru untuk menambahkan tag. Untuk menghapus tag, batalkan pilihan tag tersebut. Klik Simpan untuk menyimpan tag baru.

Praktik terbaik

Kami merekomendasikan praktik ini saat menggunakan Shadow API Discovery:

  • Ikuti aturan Residensi Data organisasi Anda untuk memastikan kepatuhan terhadap peraturan dan hukum.
  • Gabungkan dari sebanyak mungkin region sumber untuk mendapatkan penawaran lintas regional terbaik korelasi. Menyertakan lebih banyak region sumber dalam tugas observasi Anda akan menghasilkan tentang API di seluruh infrastruktur Anda.

Perilaku dan batasan

Bagian ini mencantumkan perilaku dan batasan yang berlaku untuk Penemuan Shadow API:

  • Penggunaan Penemuan API Bayangan tidak menjamin pengamatan terhadap lalu lintas 100% atau penemuan semua API bayangan.
  • Shadow API Discovery menemukan API Shadow hanya di infrastruktur Google Cloud Anda.
  • Shadow API Discovery hanya mendukung load balancer aplikasi regional pada saat ini.
  • Shadow API Discovery menemukan API protokol HTTP, bukan gRPC.
  • Peringatan: Penemuan Shadow API mendukung load balancer di satu jaringan per project. Jika Anda aktifkan Shadow API Discovery pada project dengan beberapa jaringan, Anda mungkin melihat perilaku model.
  • Peringatan: Mengaktifkan Shadow API Discovery dapat menyebabkan peningkatan latensi untuk pemuatan panggilan penyeimbang di semua jaringan dalam project.
  • Diperlukan waktu hingga 60 menit agar tugas observasi yang baru diaktifkan dapat mendeteksi kemacetan.
  • Harus ada traffic yang mengalir melalui load balancer di project yang Anda amati di untuk mendeteksi Shadow API. Setidaknya, Shadow API Discovery memerlukan antara beberapa beberapa menit hingga beberapa jam deteksi lalu lintas, tergantung pada volume lalu lintas. Jarang lalu lintas membutuhkan waktu pengamatan yang lebih lama sebelum hasil tersedia.
  • Per wilayah, ada batas satu sumber observasi dan maksimum tiga tugas observasi. Jika Anda membutuhkan lebih dari tiga pekerjaan observasi, silakan hubungi Google Cloud Customer Care untuk mendiskusikan kasus penggunaan.
  • Tugas pengamatan dapat dibuat dan dinonaktifkan atau dihapus, tetapi tidak dapat diedit. Jika Anda memerlukan untuk mengubah tugas observasi, hapus dan buat ulang.
  • Saat ini, hanya beberapa region yang didukung untuk tugas Penemuan API Bayangan. Lihat daftar wilayah yang didukung dengan permintaan ini: 
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations