Erweitertes API-Sicherheits-Add-on verwalten

Diese Seite gilt für Apigee, aber nicht für Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Erweiterte API-Sicherheit überwacht Ihre APIs kontinuierlich, um sie vor Sicherheitsbedrohungen zu schützen, einschließlich Angriffen durch böswillige Clients und Missbrauch. Die erweiterte API-Sicherheit analysiert Ihren API-Traffic, um verdächtige API-Anfragen zu identifizieren, und bietet Tools, die diese Anfragen blockieren oder melden können. Außerdem prüft die erweiterte API-Sicherheit, ob Ihre API-Konfigurationen den Sicherheitsstandards entsprechen, und gibt bei Bedarf Empfehlungen zur Verbesserung.

Wenn Sie Apigee „Pay as you go“-Kunde sind, ist Erweiterte API-Sicherheit als kostenpflichtiges Add-on verfügbar. In diesem Thema wird beschrieben, wie Sie das Add-on „Erweiterte API-Sicherheit“ für geeignete „Pay as you go“-Umgebungen aktivieren und verwalten. Weitere Informationen zur Verwendung der erweiterten API-Sicherheit nach der Aktivierung des Add-ons in Ihren Apigee-Umgebungen finden Sie unter Übersicht über erweiterte API-Sicherheit.

Verfügbarkeit

Erweiterte API-Sicherheit ist als kostenpflichtige Add-on-Funktion verfügbar, die für jede Apigee-Umgebung in Ihrer Apigee-Implementierung verwaltet wird. Das Add-on kann in jeder Apigee-Zwischenphase oder der umfassenden Umgebung aktiviert werden. Sie können erweiterte API-Sicherheit nicht in Basis-Umgebungen aktivieren und verwenden. Weitere Informationen zu den Funktionen der Apigee-Umgebung finden Sie unter Vergleich der Umgebungstypen.

Erforderliche Rollen und Berechtigungen

Bitten Sie Ihren Administrator, Ihnen den Administrator der Apigee-Umgebung (apigee.environment.admin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten des Add-ons „Erweiterte API-Sicherheit“ für das Projekt benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten des Add-ons „Erweiterte API-Sicherheit“ erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Für die Verwaltung des Add-ons „Erweiterte API-Sicherheit“ sind folgende Berechtigungen erforderlich:

  • apigee.addonsconfig.get
  • apigee.addonsconfig.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Nachdem das Add-on aktiviert wurde, sind möglicherweise zusätzliche Rollen erforderlich, um Aufgaben mit erweiterter API-Sicherheit auszuführen. Weitere Informationen finden Sie unter Erforderliche Rollen.

Add-on „Erweiterte API-Sicherheit“ aktivieren

Sie können das Add-on „Erweiterte API-Sicherheit“ für eine Mittlere oder Umfassende Apigee-Umgebung über die Apigee-UI in der Google Cloud Console oder mithilfe der API aktivieren, wie in den folgenden Abschnitten beschrieben.

Apigee in der Google Cloud Console

So aktivieren Sie das Add-on „Erweiterte API-Sicherheit“ in der Google Cloud Console:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Add-on „Erweiterte API-Sicherheit“ zu öffnen.
  4. Klicken Sie im Bereich Add-on „Erweiterte API-Sicherheit“ verwalten auf das Kästchen für die Umgebung, in der Sie das Add-on aktivieren möchten.
  5. Klicken Sie auf Auswahl aktivieren.
  6. Wenn die Aktivierung für die ausgewählten Umgebungen abgeschlossen ist, wird der Status der Umgebung Aktiviert angezeigt.
  7. Wählen Sie Erweiterte API-Sicherheit aus, um Seitenoptionen zur Verwendung Ihrer Sicherheitsdaten aufzurufen, einschließlich Risikobewertung, Missbrauchserkennung, Sicherheitsberichte und Sicherheitsaktionen. Es kann bis zu zehn Minuten dauern, bis die erweiterten API-Sicherheitsdaten angezeigt werden.

Apigee API

Geben Sie den folgenden Befehl ein, um das Add-on „Erweiterte API-Sicherheit“ mit der Apigee API zu aktivieren: 

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"api_security_enabled":true}'

Wobei:

  • ORG_NAME ist der Name der „Pay as you go“-Organisation von Apigee, der Sie erweiterte API-Sicherheit zu berechtigten Umgebungen hinzufügen möchten.
  • ENV_NAME ist der Name der Apigee-Umgebung, in der Sie das Add-on „Erweiterte API-Sicherheit“ aktivieren möchten.

Klicken Sie nach Abschluss der Aktivierung auf Erweiterte API-Sicherheit, um Seitenoptionen zur Verwendung Ihrer Sicherheitsdaten aufzurufen, einschließlich Risikobewertung, Missbrauchserkennung, Sicherheitsberichte und Sicherheitsaktionen. Es kann bis zu zehn Minuten dauern, bis die erweiterten API-Sicherheitsdaten in der UI angezeigt werden oder über einen API-Aufruf verfügbar sind.

Die Aktivierung des erweiterten API-Sicherheits-Add-ons kann bis zu 15 Minuten dauern. Nach der Aktivierung werden Sicherheitsdaten für die Umgebung 14 Monate lang gespeichert. Sie können auf die Verlaufsdaten der Umgebung über die Seiten Erweiterte API-Sicherheit in der Console zugreifen, solange das Add-on aktiviert ist.

Die Abrechnung für das Add-on für die erweiterte API-Sicherheit beginnt, sobald das Add-on aktiviert wird.

Erweitertes API-Sicherheits-Add-on deaktivieren

Sie können das Add-on für die erweiterte API-Sicherheit für eine mittlere oder umfassende Apigee-Umgebung über die Apigee-UI in der Google Cloud Console oder über die API deaktivieren, wie beschrieben in den folgenden Abschnitten.

Apigee in der Cloud Console

So deaktivieren Sie das Add-on für erweiterte API-Sicherheit in der Google Cloud Console:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Erweitertes API-Sicherheits-Add-on zu öffnen.
  4. Klicken Sie im Bereich Erweiterte API-Sicherheitsverwaltung verwalten auf das Kästchen für die Umgebung, in der Sie das Add-on deaktivieren möchten.
  5. Klicken Sie auf Ausgewählte auswählen.
  6. Wenn die Deaktivierung abgeschlossen ist, wird für die Status für jede Umgebung der Wert Deaktiviert angezeigt.

Apigee API

Geben Sie den folgenden Befehl ein, um das Add-on für die erweiterte API-Sicherheit mit der Apigee API zu deaktivieren: 

curl -X POST \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig:setAddonEnablement \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json" \
      -d '{"api_security_enabled":false}'

Wobei:

  • ORG_NAME ist der Name der Apigee-„Pay as you go“-Organisation, in der Sie die erweiterte API-Sicherheit für zulässige Umgebungen deaktivieren möchten.
  • ENV_NAME ist der Name der Apigee-Umgebung, in der Sie das Add-on für die erweiterte API-Sicherheit deaktivieren möchten.

Status der erweiterten API-Sicherheit in einer Umgebung ansehen

Sie können den Status des Add-ons für erweiterte API-Sicherheit für eine Mittlere oder Umfassende Apigee-Umgebung mithilfe der Apigee-Benutzeroberfläche in der Google Cloud Console oder mithilfe der API prüfen, wie in den folgenden Abschnitten beschrieben.

Apigee in der Google Cloud Console

So rufen Sie den Status des Add-ons für die erweiterte API-Sicherheit in einer Umgebung mit der Google Cloud Console auf:

  1. Öffnen Sie in der Console die Seite Apigee.

    Zu „Apigee“

  2. Wählen Sie das Projekt mit der „Pay as you go“-Organisation und Umgebungen aus, die Sie verwalten möchten.
  3. Wählen Sie Add-ons > Erweiterte API-Sicherheit aus, um die Seite Erweitertes API-Sicherheits-Add-on zu öffnen.
  4. Im Bereich Erweiterte API-Sicherheit verwalten wird eine Liste der Umgebungen angezeigt.
  5. In der Statusspalte können Sie sehen, ob das Add-on in jeder Zwischen- oder umfassenden Umgebung aktiviert oder deaktiviert ist. Basisumgebungen zeigen keinen der beiden Status an.

Apigee API

Geben Sie den folgenden Befehl ein, um den Status des Add-ons für erweiterte API-Sicherheit in einer Umgebung mit der Apigee API aufzurufen:

curl -X GET \
  https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/addonsConfig \
      -H "Authorization: Bearer $token" \
      -H "Content-type: application/json"

Wobei:

  • ORG_NAME ist der Name der „Pay as you go“-Organisation von Apigee.
  • ENV_NAME ist der Name der Apigee-Umgebung.

Die Antwort gibt ein ApiSecurityConfig-Objekt zurück, das den aktuellen Status des Add-ons darstellt.

Erweiterte API-Sicherheitsdaten verwalten

Sobald das Add-on für erweiterte API-Sicherheit für eine Umgebung aktiviert ist, werden Sicherheitsdaten für die Umgebung 14 Monate lang aufbewahrt. Sie können über die Seite Sicherheitsberichte in der Console auf die zuvor generierten Sicherheitsberichte der Umgebung für die Umgebung zugreifen. Es können jedoch keine neuen Berichte erstellt werden.

Wenn Sie das Add-on für die erweiterte API-Sicherheit in einer Umgebung deaktivieren, werden die Sicherheitsdaten für die Umgebung nach 30 Tagen gelöscht. Wenn Sie das Add-on innerhalb von 30 Tagen nach der Deaktivierung in derselben Umgebung wieder aktivieren, können Sie innerhalb von 14 Monaten wieder auf die Sicherheitsdaten für die Umgebung zugreifen. Wenn das Add-on nach Ablauf der 30 Tage für die Umgebung wieder aktiviert wird, werden keine Daten wiederhergestellt.

Wenn Sie Sicherheitsberichte für jede Umgebung über die 14-monatige Aufbewahrungsdauer hinaus beibehalten möchten, empfehlen wir Ihnen, Ihre Daten an einem anderen Ort zu exportieren und zu speichern. Sie können auch Ihre erweiterten API-Sicherheitsdaten exportieren, bevor Sie das Add-on deaktivieren oder innerhalb des 30-tägigen Zeitfensters nach der Deaktivierung. Sie können Ihre Sicherheitsberichte mit der Schaltfläche Exportieren auf der Sicherheitsberichte-Seite in der Console exportieren oder einen Bericht mit der Security Reports API herunterladen.