Seguridad de último tramo

Estás viendo la documentación de Apigee X.
Consulta la documentación de Apigee Edge.

La seguridad de red de acceso protege los servicios de backend a los que envían mediante proxy los servicios de las API. El objetivo principal de la seguridad de red de acceso es evitar los ataques de “finalización”, en los que un desarrollador de aplicaciones descubre la URL de un servicio de backend y omite cualquier proxy de API para acceder directamente a la URL de backend.

Las siguientes son las opciones principales para configurar la seguridad de red de acceso:

  • TLS/SSL del cliente
  • Autenticación saliente

TLS/SSL del cliente

El principal mecanismo para proteger la red de acceso es la TLS/SSL de cliente, que también se conoce como “autenticación mutua”.

Consulta Opciones para configurar TLS.

Autenticación saliente

La seguridad de red de acceso también se puede aplicar cuando se requiere que el proxy de la API presente una credencial al servicio de backend.

Por ejemplo, es posible que quieras que un proxy de API presente una clave de API para tu servicio de backend. También podrías tener un proxy de API para obtener y presentar un token de acceso de credenciales de cliente OAuth.

Clave de API

Las claves de API se pueden aplicar a solicitudes salientes desde proxies de API a servicios de backend. Esto supone que el servicio de backend es una API capaz de emitir y validar claves de API.

Si configuras un proxy de API para presentar una clave de API en las solicitudes salientes, debes almacenar la clave de API en un lugar en el que el proxy de API pueda recuperarla en el entorno de ejecución. Una ubicación disponible para almacenar claves de API es un mapa de clave-valor. Consulta la política de operaciones de mapas de clave-valor.

Puedes usar el tipo de política AssignMessage para agregar la clave de API como un encabezado HTTP, un parámetro de consulta o un elemento de carga útil a la solicitud saliente. Consulta la política AssignMessage.

.

Credenciales de cliente de OAuth

Se pueden usar credenciales de cliente de OAuth para agregar una capa de revocación a las claves de API. Si tus servicios de backend admiten credenciales de cliente de OAuth, puedes configurar un proxy de API a fin de presentar un token de acceso de credenciales de cliente para cada solicitud.

El proxy de API debe configurarse para realizar una solicitud de oferta a fin de obtener el token de acceso desde el extremo del token. El proxy de API también es necesario para almacenar en caché el token de acceso, a fin de evitar que obtenga un nuevo token de acceso para cada llamada.

Se pueden usar una serie de enfoques para implementar credenciales de cliente salientes.

Puedes modificar esta muestra para llamar al extremo del token a fin de obtener un token de acceso. Esta muestra usa JavaScript para adjuntar el token a la solicitud de salida como un encabezado de autorización HTTP. Para esto, también puedes usar la política de asignación de mensajes.

SAML

El tipo de política GenerateSAMLAssertion se puede usar para adjuntar una aserción de SAML a un mensaje de solicitud XML saliente, desde el proxy de la API hasta un servicio de backend. Esto permite que el servicio de backend realice la autenticación y la autorización en las solicitudes recibidas desde los proxies de API.

Consulta las políticas SAMLAssertion.