Ringkasan Discovery Shadow API

Ringkasan

Apigee Shadow API Discovery menemukan API bayangan (juga dikenal sebagai API yang tidak terdokumentasi) dalam infrastruktur cloud Anda yang sudah ada. API bayangan menimbulkan risiko keamanan bagi sistem Anda, karena mungkin tidak aman, tidak terpantau, dan tidak dikelola.

Penggunaan Shadow API Discovery tidak memengaruhi atau memperlambat traffic runtime secara signifikan. Namun, latensi tail melalui load balancer yang diamati dapat sangat terpengaruh.

Petunjuk di halaman ini untuk menyiapkan dan melihat hasil observasi API didasarkan pada UI Apigee di Konsol Cloud. Anda juga dapat menggunakan Apigee Management API (APIM) API untuk mengelola Shadow API Discovery. Lihat API pengelolaan penemuan API Bayangan.

Mengaktifkan Penemuan API Bayangan

Shadow API Discovery adalah bagian dari add-on Apigee Advanced API Security. Untuk Shadow API Discovery, add-on berlaku per organisasi. Untuk pelanggan yang berlangganan, fitur ini tersedia di organisasi Apigee. Namun, pelanggan Bayar sesuai penggunaan harus mengaktifkan add-on untuk setidaknya satu lingkungan. Shadow API Discovery tidak tersedia untuk lingkungan evaluasi Apigee.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Mengelola add-on Advanced API Security.

Peran dan izin yang diperlukan untuk Shadow API Discovery

Tabel di bawah menunjukkan peran yang diperlukan untuk melakukan tugas yang terkait dengan Penemuan API Bayangan.

Tugas Peran yang Diperlukan
Mengaktifkan atau menonaktifkan Advanced API Security Apigee Organization Admin (roles/apigee.admin)
Membuat sumber dan tugas observasi Admin Pengelolaan API (roles/apim.admin)
Melihat pengamatan Penampil Pengelolaan API (roles/apim.viewer)

Mengakses Shadow API Discovery di Konsol Apigee

Untuk mengakses Shadow API Discovery di Konsol Apigee:

  1. Login ke UI Apigee di Cloud Console.
  2. Buka API Observation > Shadow API.
  3. Halaman utama menunjukkan pengamatan API apa pun yang telah dibuat. Pilih tab Pengamatan API dan Tugas Observasi untuk beralih antara melihat hasil dan membuat tugas pengamatan.

Membuat tugas observasi

Tugas pengamatan menyediakan petunjuk yang diperlukan Shadow API Discovery untuk mencari API bayangan. Ikuti langkah-langkah berikut untuk membuat tugas observasi. Perhatikan Perilaku dan batasan yang berlaku untuk pengamatan pembuatan tugas.

  1. Pilih tab Observation jobs, lalu klik CreateObservation job.
  2. Pilih satu atau beberapa Sumber pengamatan.
    atau
  3. Klik Buat sumber observasi di bagian bawah daftar Sumber pengamatan untuk membuat lokasi sumber baru jika diperlukan. Perhatikan bahwa proses pembuatan sumber observasi mungkin memerlukan waktu beberapa menit.

    Nama sumber: Nama yang Anda tentukan untuk mengidentifikasi sumber.
    Lokasi: Lokasi untuk diamati. Dengan menyertakan lebih banyak region sumber, Anda dapat memiliki tampilan API yang lebih luas di seluruh infrastruktur Anda. Lihat Praktik terbaik. Hanya satu sumber pengamatan yang dapat dibuat di lokasi.
    Jaringan dan Subnetwork: Jaringan VPC dan subnetwork. Subnetwork harus berada di region yang sama dengan lokasi sumber observasi.
  4. Buat tugas observasi. Berikan nama tugas observasi, yang harus unik per lokasi. Pilih lokasi, yang menentukan tempat agregasi dan pemrosesan data akan terjadi. Semua data yang dikumpulkan di region sumber diproses dan diakses dari region ini, sesuai dengan kebijakan Data Residency Google. Membuat tugas pengamatan baru mungkin memerlukan waktu beberapa menit untuk diselesaikan.
  5. Aktifkan tugas observasi (Opsional). Anda dapat mengaktifkan tugas saat membuatnya, dalam hal ini tugas mulai mengamati dengan segera. Jika tidak segera mengaktifkan tugas, Anda dapat mengaktifkan tugas observasi nanti dari daftar tugas pengamatan.

Mengaktifkan, menonaktifkan, dan menghapus tugas observasi

Untuk mengubah apakah tugas pengamatan yang ada sudah diaktifkan (aktif), pilih Enable atau Disable dari menu Actions pada baris untuk tugas tersebut di halaman Observation jobs.

Untuk menghapus tugas pengamatan yang ada, pilih Delete dari menu Actions untuk tugas tersebut. Menghapus tugas juga akan menghapus hasil pengamatan yang terkait dengan tugas. Jadi, jika ingin mempertahankan hasil sambil menghentikan tugas agar tidak berlanjut, nonaktifkan tugas tersebut, bukan menghapusnya. Tugas aktif tidak dapat dihapus; nonaktifkan tugas aktif terlebih dahulu jika Anda perlu menghapusnya.

Melihat Pengamatan API

Guna melihat Pengamatan API untuk tugas observasi yang aktif, pilih tab Pengamatan API, lalu pilih Tugas pengamatan dari daftar.

Halaman Pengamatan API

Daftar observasi menunjukkan nilai-nilai ini:

  • Nama host: Nama host API. Klik nama host untuk melihat detail pengamatan.
  • Operasi API: Jumlah operasi API (seperti permintaan GET atau PUT) yang diamati.
  • IP Server: IP server yang menghosting API yang ditemukan.
  • Lokasi sumber: Lokasi sumber tempat traffic diamati.
  • Peristiwa terakhir terdeteksi (UTC): Tanggal dan waktu saat permintaan terbaru ke API terdeteksi.

Lihat detail pengamatan

Setelah mengklik nama host di daftar pengamatan, Anda akan melihat halaman detail pengamatan.

Detail Pengamatan API

Halaman ini menyertakan informasi tentang pengamatan berikut.

  • Kotak ringkasan di bagian atas halaman menampilkan:
    • ID pengamatan API: Ini adalah ID khusus Apigee.
    • Operasi API: Baca Melihat pengamatan API untuk mengetahui deskripsi kolom ini.
    • Waktu pembuatan (UTC): Tanggal dan waktu tugas pengamatan dibuat.
    • Waktu peristiwa terakhir terdeteksi: Buka Melihat pengamatan API untuk mengetahui deskripsi kolom ini.
  • Tabel operasi API spesifik yang terdeteksi pada API yang ditemukan ini. Untuk setiap permintaan, informasi berikut ditampilkan:
    • Jalur: Jalur permintaan.
    • Metode: Metode permintaan (seperti GET, PUT, dll.).
    • Jumlah: Jumlah permintaan ke jalur tersebut dengan metode tersebut.
    • Permintaan transaksi: Isi permintaan dari data traffic. Mencakup header permintaan dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Header respons transaksi: Header respons dari data traffic. Mencakup header respons dan jumlah transaksi yang sesuai untuk operasi API ini.
    • Kode respons transaksi: Kode respons dan jumlah respons yang sesuai dengan kode tersebut untuk operasi API ini.
    • Pertama dilihat (UTC): Tanggal dan waktu pertama kali permintaan ke Operasi API ini diamati.
    • Terakhir dilihat (UTC): Tanggal dan waktu terbaru saat permintaan ke Operasi API ini diamati.

Praktik terbaik

Kami merekomendasikan praktik ini saat menggunakan Shadow API Discovery:

  • Ikuti aturan Data Residency organisasi Anda untuk memastikan kepatuhan terhadap peraturan dan hukum yang berlaku.
  • Gabungkan dari sebanyak mungkin region sumber untuk mendapatkan korelasi lintas regional terbaik. Menyertakan lebih banyak region sumber dalam tugas pengamatan Anda akan menghasilkan tampilan API yang lebih luas di seluruh infrastruktur Anda.

Perilaku dan batasan

Bagian ini mencantumkan perilaku dan batasan yang berlaku untuk Penemuan Shadow API:

  • Penggunaan Shadow API Discovery tidak menjamin pengamatan 100% traffic atau penemuan semua API bayangan.
  • Shadow API Discovery menemukan API Shadow hanya di infrastruktur Google Cloud Anda.
  • Shadow API Discovery hanya mendukung load balancer aplikasi regional untuk saat ini.
  • Shadow API Discovery menemukan API protokol HTTP, bukan gRPC.
  • Peringatan: Penemuan Shadow API mendukung load balancer di satu jaringan per project. Jika Anda mengaktifkan Shadow API Discovery pada project dengan beberapa jaringan, Anda mungkin melihat perilaku yang tidak terduga.
  • Peringatan: Mengaktifkan Shadow API Discovery dapat menyebabkan peningkatan latensi untuk panggilan load balancer di semua jaringan dalam project.
  • Diperlukan waktu hingga 60 menit untuk tugas pengamatan yang baru diaktifkan untuk mendeteksi traffic.
  • Harus ada traffic yang mengalir melalui load balancer di project yang Anda amati agar dapat mendeteksi Shadow API. Setidaknya, Shadow API Discovery memerlukan deteksi traffic selama beberapa menit hingga beberapa jam, bergantung pada volume traffic. Traffic jarang memerlukan waktu observasi yang lebih lama sebelum hasilnya tersedia.
  • Per region, terdapat batas satu sumber observasi dan maksimum tiga tugas observasi. Jika Anda membutuhkan lebih dari tiga tugas pengamatan, hubungi Google Cloud Customer Care untuk mendiskusikan kasus penggunaan.
  • Tugas pengamatan dapat dibuat dan dinonaktifkan atau dihapus, tetapi tidak dapat diedit. Jika Anda perlu mengubah tugas pengamatan, hapus dan buat ulang.
  • Saat ini, hanya beberapa region yang didukung untuk tugas Penemuan API Bayangan. Lihat daftar wilayah yang didukung dengan permintaan ini: 
    curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations