Panoramica
Apigee Shadow API Discovery trova le API shadow (note anche come API non documentate) nell'infrastruttura cloud esistente. Le API shadow rappresentano un rischio per la sicurezza del sistema, poiché potrebbero non essere protette o monitorate.
L'utilizzo di Shadow API Discovery non influisce in modo significativo o lento sul traffico di runtime; tuttavia, le latenze di coda del traffico attraverso i bilanciatori del carico osservati possono essere influenzate in modo significativo.
Le istruzioni in questa pagina per configurare e visualizzare i risultati delle osservazioni dell'API si basano sulla UI di Apigee nella console Cloud. Puoi anche utilizzare le API Apigee Management (APIM) per gestire Shadow API Discovery. Vedi API di gestione del rilevamento dell'API Shadow.
Abilita rilevamento API Shadow
Shadow API Discovery fa parte del componente aggiuntivo Apigee Advanced API Security. Per Shadow API Discovery, il componente aggiuntivo è applicabile in base all'organizzazione. Per i clienti in abbonamento, è disponibile presso l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono abilitare il componente aggiuntivo per almeno un ambiente. Shadow API Discovery non è disponibile per gli ambienti di valutazione Apigee.
Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se sei un cliente in abbonamento, puoi abilitare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se sei un cliente con pagamento a consumo, puoi abilitare il componente aggiuntivo nei tuoi ambienti idonei. Per maggiori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.
Ruoli e autorizzazioni obbligatori per il rilevamento dell'API Shadow
La tabella seguente mostra i ruoli richiesti per eseguire attività relative al rilevamento dell'API Shadow.
| Attività | Ruoli obbligatori |
|---|---|
| Attiva o disattiva Advanced API Security | Amministratore organizzazione Apigee (roles/apigee.admin) |
| Crea origini e job di osservazione | Amministratore gestione API (roles/apim.admin) |
| Visualizza osservazioni | Visualizzatore gestione API (roles/apim.viewer) |
Accedi a Shadow API Discovery nella console Apigee
Per accedere a Shadow API Discovery nella console Apigee:
- Accedi alla UI di Apigee nella console Cloud.
- Vai a Osservazione API > API Shadow.
- La pagina principale mostra le eventuali osservazioni dell'API già generate. Seleziona le schede Osservazioni API e Job di osservazione per passare dalla visualizzazione dei risultati alla creazione di job di osservazione.
Crea job di osservazione
I job di osservazione forniscono le istruzioni che il rilevamento dell'API shadow deve cercare per le API shadow. Segui questi passaggi per creare un job di osservazione. Fai attenzione ai comportamenti e alle limitazioni che si applicano alla creazione di job di osservazione.
- Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
- Seleziona una o più origini di osservazione oppure fai clic su Crea origine di osservazione in fondo all'elenco Origini dell'osservazione per creare nuove località delle sorgenti, se necessario. Tieni presente che il processo di creazione dell'origine di osservazione potrebbe richiedere diversi minuti.
Le origini di osservazione includono:
Nome della fonte: un nome da te specificato per identificare l'origine.
Località: una località in cui osservare il luogo. L'inclusione di più regioni di origine consente una visione più ampia delle API in tutta la tua infrastruttura. Consulta le best practice. È possibile creare una sola origine di osservazione in una località.
Rete e subnet: la rete VPC e la subnet. La subnet deve trovarsi nella stessa regione della località dell'origine dell'osservazione. - Crea un job di osservazione. Fornisci un nome job di osservazione, che deve essere univoco per ogni località. Seleziona una località che specifichi dove verranno eseguite l'aggregazione e l'elaborazione dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati e consultati da questa regione, in conformità con i criteri di residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
- (Facoltativo) Attiva il job di osservazione. Puoi abilitare il job quando lo crei. In questo caso, l'osservazione inizia immediatamente. Se non abiliti immediatamente il job, puoi abilitarlo in un secondo momento dall'elenco dei job di osservazione.
Abilita, disabilita ed elimina i job di osservazione
Per modificare se un job di osservazione esistente è abilitato (attivo), seleziona Abilita o Disabilita dal menu Azioni nella riga del job in questione nella pagina Job di osservazione.
Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per quel job. L'eliminazione di un job rimuove anche i risultati di osservazione associati al job, quindi se vuoi conservare i risultati continuando a interrompere il job, disabilitalo anziché eliminarlo. I job attivi non possono essere eliminati. Disabilita prima i job attivi se devi eliminarli.
Visualizza le osservazioni dell'API
Per visualizzare le osservazioni dell'API per i job di osservazione abilitati, scegli la scheda Osservazioni API, quindi seleziona il Job di osservazione dall'elenco.
L'elenco delle osservazioni mostra questi valori:
- Nome host: il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
- Operazioni API: il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
- IP server: IP dei server che ospitano le API rilevate.
- Località della sorgente: le località della sorgente in cui è stato osservato il traffico.
- Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata la richiesta più recente all'API.
Visualizza dettagli osservazione
Dopo aver fatto clic sul nome host nell'elenco delle osservazioni, visualizzerai la pagina dei dettagli delle osservazioni.
Questa pagina include le seguenti informazioni sull'osservazione.
- La casella di riepilogo nella parte superiore della pagina mostra:
- ID di osservazione API: si tratta di un identificatore specifico di Apigee.
- Operazioni API: consulta Visualizzare le osservazioni API per una descrizione di questo campo.
- Create time (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Data/ora ultimo evento rilevato: consulta Visualizzare le osservazioni dell'API per una descrizione di questo campo.
- Una tabella di specifiche operazioni API rilevate sull'API rilevata. Per ogni richiesta vengono mostrate le seguenti informazioni:
- Percorso:il percorso della richiesta.
- Metodo: il metodo di richiesta, ad esempio GET, PUT e così via.
- Conteggio:il numero di richieste al percorso con quel metodo.
- Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Include le intestazioni delle richieste e i conteggi delle transazioni corrispondenti per questa operazione API.
- Intestazioni della risposta delle transazioni: le intestazioni delle risposte dai dati sul traffico. Include le intestazioni della risposta e il numero di transazioni corrispondenti per questa operazione API.
- Codici di risposta Transaction: i codici di risposta e i conteggi corrispondenti di risposte con quel codice per questa operazione API.
- Prima visualizzazione (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione API.
- Ultimo rilevamento (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione API.
Best practice
Quando lavori con il rilevamento dell'API Shadow, consigliamo queste pratiche:
- Segui le regole sulla residenza dei dati della tua organizzazione per garantire la conformità a tutte le normative e leggi vigenti.
- Esegui l'aggregazione dal maggior numero possibile di regioni di origine per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei job di osservazione si traduce in una visione più ampia delle API in tutta la tua infrastruttura.
Comportamenti e limitazioni
Questa sezione elenca i comportamenti e le limitazioni che si applicano al rilevamento dell'API Shadow:
- L'uso del rilevamento dell'API Shadow non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API shadow.
- Shadow API Discovery rileva le API Shadow solo nella tua infrastruttura Google Cloud.
- Al momento Shadow API Discovery supporta solo i bilanciatori del carico delle applicazioni a livello di regione.
- Il rilevamento dell'API Shadow trova le API del protocollo HTTP, non gRPC.
- Avviso:Shadow API Discovery supporta i bilanciatori del carico su una rete per progetto. Se abiliti Shadow API Discovery su un progetto con più reti, potresti notare un comportamento imprevisto.
- Avviso: l'abilitazione del rilevamento dell'API Shadow potrebbe causare un aumento della latenza per le chiamate al bilanciatore del carico in tutte le reti del progetto.
- Possono essere necessari fino a 60 minuti prima che un job di osservazione appena abilitato rilevi il traffico.
- Per rilevare le API Shadow, il traffico deve passare attraverso i bilanciatori del carico nei progetti osservati. Come minimo, il rilevamento dell'API Shadow richiede da pochi minuti a qualche ora di rilevamento del traffico, a seconda del volume di traffico. Il traffico sparso richiede tempi di osservazione più lunghi prima che siano disponibili i risultati.
- Per regione esiste un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
- I job di osservazione possono essere creati, disabilitati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e ricrealo.
- Al momento sono supportate solo alcune regioni per i job di rilevamento dell'API Shadow. Consulta
l'elenco delle regioni supportate con questa richiesta:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations