Vista geral
A deteção de APIs fantasma encontra APIs fantasma (também conhecidas como APIs não documentadas) na sua infraestrutura de nuvem existente. As APIs fantasma representam um risco de segurança para o seu sistema, uma vez que podem ser não seguras, não monitorizadas e não mantidas. A deteção de APIs fantasma faz parte da observação de APIs no Apigee.
Pode configurar e executar tarefas para observar a atividade da API em Google Cloud projetos individuais. Na sua instância do hub de APIs Apigee centralizado, pode anexar esses projetos para ver os resultados dessas tarefas e compará-los automaticamente com as APIs "conhecidas" documentadas no hub de APIs. Para obter informações sobre a utilização da deteção de APIs fantasma no hub de APIs da Apigee, consulte o artigo Observações da API no hub de APIs.
Para obter informações sobre a compatibilidade da residência de dados para a Shadow API Discovery, consulte o artigo Compatibilidade da residência de dados.
Ative a descoberta de APIs ocultas
A descoberta de APIs fantasma faz parte do suplemento de segurança avançada de APIs e está disponível para Google Cloud projetos com ou sem aprovisionamento do Apigee.
Se o seu Google Cloud projeto estiver aprovisionado para o Apigee:
- Para clientes de subscrição, está disponível com a organização do Apigee. Consulte o artigo Faça a gestão da segurança avançada da API para organizações de subscrições
- Os clientes de pagamento conforme o uso têm de ativar o suplemento para, pelo menos, um ambiente. Consulte o artigo Faça a gestão da segurança avançada da API para organizações com pagamento conforme o uso
- A deteção de APIs fantasma não está disponível para ambientes de avaliação do Apigee.
Se o seu Google Cloud projeto não estiver aprovisionado para o Apigee, pode adicionar a deteção de APIs fantasma ao seu projeto contactando as vendas do Apigee.
Ative a descoberta de APIs fantasma a partir do Apigee
As instruções nesta secção para configurar e ver os resultados das observações de API baseiam-se na IU do Apigee na Cloud Console. Também pode usar as APIs Apigee Management (APIM) para gerir a deteção de APIs fantasma. Consulte as APIs de gestão de deteção de APIs fantasma.
Para usar esta funcionalidade, tem de ativar o suplemento. Se for cliente de uma subscrição, pode ativar o suplemento para a sua organização. Consulte o artigo Faça a gestão da segurança avançada da API para organizações de subscrição para obter mais detalhes. Se for cliente de pagamento conforme o uso, pode ativar o suplemento nos seus ambientes elegíveis. Para mais informações, consulte o artigo Faça a gestão do suplemento de segurança avançada da API.
Ative a descoberta de APIs shadow a partir do hub de APIs
Para ativar a deteção de APIs fantasma a partir do hub de APIs, siga as instruções em Configure a observação de APIs no hub de APIs.
Funções e autorizações necessárias para a deteção de APIs fantasma
A tabela abaixo mostra as funções necessárias para realizar tarefas relacionadas com a deteção de APIs ocultas.
| Tarefa | Funções necessárias |
|---|---|
| Ative ou desative a segurança avançada da API | Apigee Organization Admin (roles/apigee.admin) |
| Crie origens de observação e tarefas | Administrador da gestão de APIs (roles/apim.admin) |
| Veja as observações | Visualizador da gestão de APIs (roles/apim.viewer) |
Aceda à deteção de APIs fantasma na IU do Apigee
Esta secção descreve como aceder à Shadow API Discovery na IU do Apigee.
Para aceder à Shadow API Discovery na IU do Apigee:
-
Na Google Cloud consola, aceda à página Observação da API > API oculta.
- A página principal mostra todas as observações da API que já foram geradas. Selecione os separadores Observações da API e Tarefas de observação para alternar entre ver os resultados e criar tarefas de observação.
Crie tarefas de observação
As tarefas de observação fornecem as instruções de que a API Shadow Discovery precisa para procurar APIs shadow. Siga estes passos para criar uma tarefa de observação. Tenha em atenção os comportamentos e as limitações aplicáveis à criação de tarefas de observação.
- Selecione o separador Tarefas de observação e, de seguida, clique em Criar tarefa de observação.
- Selecione uma ou mais origens de observação ou clique em Criar origem de observação na parte inferior da lista Origens de observação para criar novas localizações de origem, se necessário. Tenha em atenção que o processo de criação da origem de observação
pode demorar vários minutos.
As origens de observação incluem:
Nome da origem: um nome que especifica para identificar a origem.
Localização: uma localização a observar. A inclusão de mais regiões de origem permite uma vista mais abrangente das APIs na sua infraestrutura. Consulte as práticas recomendadas. Só é possível criar uma origem de observação numa localização.
Rede e sub-rede: a rede e a sub-rede da VPC. A sub-rede tem de estar na mesma região que a localização da origem da observação. - Crie uma tarefa de observação. Indique um nome da tarefa de observação, que tem de ser exclusivo por localização. Selecione uma localização que especifique onde a agregação e o tratamento de dados vão ocorrer. Todos os dados recolhidos nas regiões de origem são tratados e acedidos a partir desta região, em conformidade com as políticas de residência de dados da Google. A criação de uma nova tarefa de observação pode demorar alguns minutos.
- Ative a tarefa de observação (opcional). Pode ativar a tarefa quando a cria, caso em que começa a observar imediatamente. Se não ativar a tarefa imediatamente, pode ativar a tarefa de observação mais tarde a partir da lista de tarefas de observação.
Ative, desative e elimine tarefas de observação
Para alterar se uma tarefa de observação existente está ativada (ativa), selecione Ativar ou Desativar no menu Ações na linha dessa tarefa na página Tarefas de observação.
Para eliminar uma tarefa de observação existente, selecione Eliminar no menu Ações dessa tarefa. A eliminação de uma tarefa também remove os resultados de observação associados à tarefa. Por isso, se quiser preservar os resultados e impedir que a tarefa continue, desative-a em vez de a eliminar. Não é possível eliminar tarefas ativas. Desative primeiro as tarefas ativas se precisar de as eliminar.
Veja as observações da API
Para ver as observações da API para tarefas de observação ativadas, escolha o separador Observações da API e, de seguida, selecione a tarefa de observação na lista.
A lista de observações mostra os seguintes valores:
- Nome do anfitrião: o nome do anfitrião da API. Clique no nome do anfitrião para ver os detalhes da observação.
- Operações da API: o número de operações da API (como pedidos GET ou PUT) observadas.
- IPs do servidor: IPs dos servidores que alojam as APIs descobertas.
- Localizações de origem: as localizações de origem onde o tráfego foi observado.
- Último evento detetado (UTC): a data e a hora em que o pedido mais recente à API foi detetado.
- Etiquetas: uma lista das etiquetas que criou ou que outra pessoa criou para etiquetar esta observação. Consulte o artigo Use etiquetas para mais informações.
- Ações: ações adicionais disponíveis para cada observação.
Veja os detalhes da observação
Depois de clicar no nome do anfitrião na lista de observações, é apresentada a página de detalhes da observação.
Esta página inclui as seguintes informações sobre a observação.
- A caixa de resumo na parte superior da página mostra:
- ID de observação da API: este é um identificador específico do Apigee.
- Operações da API: consulte a secção Ver observações da API para ver uma descrição deste campo.
- Data/hora da criação (UTC): a data e a hora em que a tarefa de observação foi criada.
- Etiquetas: use etiquetas para organizar os resultados das tarefas de observação.
- Hora da deteção do último evento: consulte a secção Ver observações da API para ver uma descrição deste campo.
- Uma tabela de operações de API específicas detetadas nesta API descoberta. Para cada pedido, são apresentadas as seguintes informações:
- Caminho: o caminho do pedido.
- Método: o método de pedido (como GET, PUT, etc.).
- Contagem: o número de pedidos para esse caminho com esse método.
- Pedido de transação: o corpo do pedido dos dados de tráfego. Inclui os cabeçalhos de pedidos e as contagens de transações correspondentes para esta operação da API.
- Cabeçalhos de resposta de transações: os cabeçalhos de resposta dos dados de tráfego. Inclui os cabeçalhos de resposta e as contagens de transações correspondentes para esta operação da API.
- Códigos de resposta da transação: os códigos de resposta e as contagens correspondentes de respostas com esse código para esta operação da API.
- Primeira visualização (UTC): a primeira data e hora em que o pedido desta operação da API foi observado.
- Última visualização (UTC): a data e a hora mais recentes em que a solicitação desta operação da API foi observada.
Use etiquetas
As etiquetas permitem-lhe categorizar os resultados da observação. As etiquetas são metadados e destinam-se apenas ao seu acompanhamento. As etiquetas não alteram nada nos resultados da observação nem acionam ações. Por exemplo, adicionar uma etiqueta "Requer atenção" não cria avisos nem alertas. Os novos resultados de observação não têm etiquetas.
As etiquetas têm as seguintes características:
- Pode adicionar a mesma etiqueta a vários resultados de observação.
- Os nomes das etiquetas podem incluir carateres maiúsculos e minúsculos, números e carateres especiais, incluindo espaços.
- Depois de criar uma etiqueta, não é possível alterar o nome. Remova e volte a criar a etiqueta para a renomear.
- A remoção de uma etiqueta de todos os resultados de observação elimina-a do sistema.
Pode gerir etiquetas a partir da lista de observações ou da página de detalhes da observação.
Para gerir etiquetas a partir da lista de observações da API:
- Consulte as etiquetas existentes na coluna Etiquetas da lista de observações.
- Para gerir etiquetas de um resultado, selecione Gerir etiquetas no menu Ações na linha desse resultado.
- Para gerir etiquetas de um ou mais resultados em simultâneo, selecione vários resultados na lista e, de seguida, Gerir etiquetas na parte superior da lista.
Para gerir etiquetas a partir dos detalhes de observação da API:
- Consulte as etiquetas existentes na secção Etiquetas.
- Para adicionar ou gerir etiquetas, escolha Gerir etiquetas na parte superior da página.
No painel lateral Gerir etiquetas, para adicionar etiquetas, selecione etiquetas existentes ou adicione novas. Para remover etiquetas, desmarque-as. Clique em Guardar para guardar as novas etiquetas.
Aceda à deteção de APIs fantasma a partir do hub de APIs
Para obter informações sobre como aceder à Shadow API Discovery a partir do hub de APIs, consulte o artigo Gerir a observação de APIs no hub de APIs.
Práticas recomendadas
Recomendamos estas práticas quando trabalhar com a deteção de APIs fantasma:
- Siga as regras de residência de dados da sua organização para garantir a conformidade com todos os regulamentos e leis aplicáveis.
- Agregue o maior número possível de regiões de origem para obter a melhor correlação entre regiões. A inclusão de mais regiões de origem nas suas tarefas de observação resulta numa vista mais ampla das APIs na sua infraestrutura.
Comportamentos e limitações
Esta secção apresenta os comportamentos e as limitações aplicáveis à descoberta de APIs fantasma:
- A utilização da descoberta de APIs ocultas não garante a observação de 100% do tráfego nem a descoberta de todas as APIs ocultas.
- A deteção de APIs fantasma encontra APIs fantasma apenas na sua Google Cloud infraestrutura.
- De momento, a deteção de APIs fantasma só suporta balanceadores de carga de aplicações externos e internos. Os equilibradores de carga de rede não são suportados.
- A descoberta de APIs de sombra encontra APIs de protocolo HTTP e não gRPC.
- A execução de tarefas de observação da API em balanceadores de carga não tem qualquer impacto na latência do tráfego da API.
- Aviso: a API Shadow Discovery suporta balanceadores de carga numa rede por projeto. Se ativar a deteção de APIs fantasma num projeto com várias redes, pode observar um comportamento inesperado.
- Tem de haver tráfego a fluir através dos equilibradores de carga nos seus projetos observados para detetar APIs fantasma.
- A deteção de tráfego por parte de uma tarefa de observação recentemente ativada pode demorar até 30 minutos, consoante o volume de tráfego. O tráfego escasso requer tempos de observação mais longos antes de os resultados estarem disponíveis.
- Por região, existe um limite de uma única origem de observação e um máximo de três tarefas de observação. Se precisar de mais de três tarefas de observação, contacte o apoio ao cliente do Google Cloud para debater o exemplo de utilização.
- As tarefas de observação podem ser criadas e desativadas ou eliminadas, mas não editadas. Se precisar de alterar uma tarefa de observação, elimine-a e recrie-a.
- As seguintes regiões são atualmente suportadas para a observação da API e as APIs Shadow:
- austrália-sudeste1
- europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1