Add-on „Erweiterte API-Sicherheit“ verwalten

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Erweiterte API-Sicherheit überwacht Ihre APIs kontinuierlich, um sie vor Sicherheitsbedrohungen zu schützen, einschließlich Angriffen durch böswillige Clients und Missbrauch. Die erweiterte API-Sicherheit analysiert Ihren API-Traffic, um verdächtige API-Anfragen zu identifizieren, und bietet Tools, mit denen Sie diese Anfragen blockieren oder kennzeichnen können. Darüber hinaus wertet die erweiterte API-Sicherheit Ihre API-Konfigurationen aus, um sicherzustellen, dass sie den Sicherheitsstandards entsprechen. Außerdem erhalten Sie Empfehlungen zur Verbesserung, falls erforderlich.

Wenn Sie Apigee „Pay as you go“-Kunde sind, ist Erweiterte API-Sicherheit als kostenpflichtiges Add-on verfügbar. In diesem Thema wird beschrieben, wie Sie das Add-on „Erweiterte API-Sicherheit“ für geeignete „Pay as you go“-Umgebungen aktivieren und verwalten. Weitere Informationen zur Verwendung der erweiterten API-Sicherheit nach der Aktivierung des Add-ons in Ihren Apigee-Umgebungen finden Sie unter Übersicht über erweiterte API-Sicherheit.

Verfügbarkeit

Erweiterte API-Sicherheit ist als kostenpflichtige Add-on-Funktion verfügbar, die für jede Apigee-Umgebung in Ihrer Apigee-Implementierung verwaltet wird. Das Add-on kann in jeder Apigee-Zwischenphase oder der umfassenden Umgebung aktiviert werden. Sie können erweiterte API-Sicherheit nicht in Basis-Umgebungen aktivieren und verwenden. Weitere Informationen zu den Funktionen der Apigee-Umgebung finden Sie unter Vergleich der Umgebungstypen.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen den Administrator der Apigee-Umgebung (apigee.environment.admin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten des Add-ons „Erweiterte API-Sicherheit“ für das Projekt benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten des Add-ons „Erweiterte API-Sicherheit“ erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Für die Verwaltung des Add-ons „Erweiterte API-Sicherheit“ sind folgende Berechtigungen erforderlich:

  • apigee.addonsconfig.get
  • apigee.addonsconfig.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Nachdem das Add-on aktiviert wurde, sind möglicherweise zusätzliche Rollen erforderlich, um Aufgaben mit erweiterter API-Sicherheit auszuführen. Weitere Informationen finden Sie unter Erforderliche Rollen.

Add-on „Erweiterte API-Sicherheit“ aktivieren

Sie können das Add-on „Erweiterte API-Sicherheit“ für eine Mittlere oder Umfassende Apigee-Umgebung über die Apigee-UI in der Google Cloud Console oder mithilfe der API aktivieren, wie in den folgenden Abschnitten beschrieben.

Apigee in der Google Cloud Console

So aktivieren Sie das Add-on „Erweiterte API-Sicherheit“ in der Google Cloud Console:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Add-on „Erweiterte API-Sicherheit“ zu öffnen.
  4. Klicken Sie im Bereich Add-on „Erweiterte API-Sicherheit“ verwalten auf das Kästchen für die Umgebung, in der Sie das Add-on aktivieren möchten.
  5. Klicken Sie auf Auswahl aktivieren.
  6. Wenn die Aktivierung für die ausgewählten Umgebungen abgeschlossen ist, wird der Status der Umgebung Aktiviert angezeigt.
  7. Wählen Sie Erweiterte API-Sicherheit aus, um Seitenoptionen zur Verwendung Ihrer Sicherheitsdaten aufzurufen, einschließlich Risikobewertung, Missbrauchserkennung, Sicherheitsberichte und Sicherheitsaktionen. Es kann bis zu zehn Minuten dauern, bis die erweiterten API-Sicherheitsdaten angezeigt werden.

Apigee API

Geben Sie den folgenden Befehl ein, um das Add-on „Erweiterte API-Sicherheit“ mit der Apigee API zu aktivieren:

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"apiSecurityEnabled":true}'

Wobei:

  • ORG_NAME ist der Name der „Pay as you go“-Organisation von Apigee, der Sie erweiterte API-Sicherheit zu berechtigten Umgebungen hinzufügen möchten.
  • ENV_NAME ist der Name der Apigee-Umgebung, in der Sie das Add-on „Erweiterte API-Sicherheit“ aktivieren möchten.

Klicken Sie nach Abschluss der Aktivierung auf Erweiterte API-Sicherheit, um Seitenoptionen zur Verwendung Ihrer Sicherheitsdaten aufzurufen, einschließlich Risikobewertung, Missbrauchserkennung, Sicherheitsberichte und Sicherheitsaktionen. Es kann bis zu zehn Minuten dauern, bis die erweiterten API-Sicherheitsdaten in der UI angezeigt werden oder über einen API-Aufruf verfügbar sind.

Der Aktivierungsvorgang des Add-ons „Erweiterte API-Sicherheit“ kann bis zu 15 Minuten dauern. Nach der Aktivierung werden Sicherheitsdaten für die Umgebung 14 Monate lang gespeichert. Sie können auf die Verlaufsdaten der Umgebung über die Seiten Erweiterte API-Sicherheit in der Console zugreifen, solange das Add-on aktiviert ist.

Die Abrechnung für die Verwendung des Add-ons „Erweiterte API-Sicherheit“ beginnt, sobald das Add-on aktiviert wird.

Add-on „Erweiterte API-Sicherheit“ deaktivieren

Sie können das Add-on „Erweiterte API-Sicherheit“ für eine Mittlere oder Umfassende Apigee-Umgebung über die Apigee-UI in der Google Cloud Console oder mithilfe der API deaktivieren, wie in den folgenden Abschnitten beschrieben.

Apigee in der Cloud Console

So deaktivieren Sie das Add-on „Erweiterte API-Sicherheit“ in der Google Cloud Console:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Add-on „Erweiterte API-Sicherheit“ zu öffnen.
  4. Klicken Sie im Bereich Add-on „Erweiterte API-Sicherheit“ verwalten auf das Kästchen für die Umgebung, in der Sie das Add-on deaktivieren möchten.
  5. Klicken Sie auf Ausgewählte auswählen.
  6. Wenn die Deaktivierung abgeschlossen ist, wird für die Status für jede Umgebung der Wert Deaktiviert angezeigt.

Apigee API

Geben Sie den folgenden Befehl ein, um das Add-on „Erweiterte API-Sicherheit“ mit der Apigee API zu deaktivieren:

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"apiSecurityEnabled":false}'

Wobei:

  • ORG_NAME ist der Name der „Pay as you go“-Organisation von Apigee, in der Sie erweiterte API-Sicherheit zu berechtigten Umgebungen deaktivieren möchten.
  • ENV_NAME ist der Name der Apigee-Umgebung, in der Sie das Add-on „Erweiterte API-Sicherheit“ deaktivieren möchten.

Add-on-Status für erweiterte API-Sicherheit in einer Umgebung aufrufen

Sie können den Status des Add-ons für erweiterte API-Sicherheit für eine Mittlere oder Umfassende Apigee-Umgebung mithilfe der Apigee-Benutzeroberfläche in der Google Cloud Console oder mithilfe der API prüfen, wie in den folgenden Abschnitten beschrieben.

Apigee in der Google Cloud Console

So rufen Sie den Status des Add-ons „Erweiterte API-Sicherheit“ in einer Umgebung mit der Google Cloud Console auf:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Add-on „Erweiterte API-Sicherheit“ zu öffnen.
  4. Im Bereich Add-on „Erweiterte API-Sicherheit“ verwalten wird eine Liste der Umgebungen angezeigt.
  5. In der Statusspalte können Sie sehen, ob das Add-on in jeder Zwischen- oder umfassenden Umgebung aktiviert oder deaktiviert ist. Basisumgebungen zeigen keinen der beiden Status an.

Apigee API

Geben Sie den folgenden Befehl ein, um den Status des Add-ons für erweiterte API-Sicherheit in einer Umgebung mit der Apigee API aufzurufen:

curl -X GET \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" 

Wobei:

  • ORG_NAME ist der Name der „Pay as you go“-Organisation von Apigee.
  • ENV_NAME ist der Name der Apigee-Umgebung.

Die Antwort gibt ein ApiSecurityConfig-Objekt zurück, das den aktuellen Status des Add-ons darstellt.

Daten zur erweiterten API-Sicherheit verwalten

Sobald das Add-on „Erweiterte API-Sicherheit“ für eine Umgebung aktiviert ist, werden Sicherheitsdaten für diese Umgebung 14 Monate lang aufbewahrt. Sie können auf der Seite Sicherheitsberichte in der Console auf die zuvor generierten Sicherheitsberichte der Umgebung zugreifen. Neue Berichte können jedoch nicht erstellt werden.

Wenn Sie das Add-on für Advanced API Security in einer Umgebung deaktivieren, werden die Sicherheitsdaten für die Umgebung nach 30 Tagen gelöscht. Wenn Sie das Add-on innerhalb von 30 Tagen nach der Deaktivierung in derselben Umgebung wieder aktivieren, können Sie innerhalb von 14 Monaten wieder auf die Sicherheitsdaten für die Umgebung zugreifen. Wenn das Add-on nach Ablauf der 30 Tage für die Umgebung wieder aktiviert wird, werden keine Daten wiederhergestellt.

Wenn Sie Sicherheitsberichte für eine Umgebung über die 14-monatige Aufbewahrungsdauer hinaus beibehalten möchten, empfehlen wir Ihnen, Ihre Daten an einen anderen Ort zu exportieren und zu speichern. Möglicherweise möchten Sie auch Ihre Advanced API Security-Daten exportieren, bevor Sie das Add-on deaktivieren oder innerhalb des 30-tägigen Zeitfensters nach der Deaktivierung. Sie können Ihre Sicherheitsberichte mit der Schaltfläche Exportieren auf der Sicherheitsberichte-Seite in der Console exportieren oder einen Bericht mit der Security Reports API herunterladen.