Advanced API Security のベスト プラクティス

このページの内容は ApigeeApigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示する

このページでは、Advanced API Security の使用に関するベスト プラクティスについて説明します。

X-Forwarded-For リクエスト ヘッダーを保持する

X-Forwarded-For(XFF)リクエスト ヘッダーは、プロキシ サーバー経由でウェブサーバーに接続するクライアントの送信元 IP アドレスを特定するための標準ヘッダーです。多くのプラットフォームには、セキュリティ上の理由により、受信リクエストから XFF ヘッダーを削除する機能が用意されています。ただし、Advanced API Security を使用している場合は、ML アルゴリズムで不正使用トラフィックの特定やセキュリティ スコアの計算を行う際に、IP アドレス情報が必要になるため、この方法はおすすめしません。

プラットフォームで XFF ヘッダーが削除されているかどうかを確認する方法

プラットフォームで XFF ヘッダーが削除されているかどうかを確認するには、次のような API 呼び出しを行います。

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

ここで、ORG は組織、ENV は組織内の環境です。

プラットフォームで XFF ヘッダーが削除されている場合は、最初の行が次のようになるレスポンスが返されます。

 "name": "(not set)",

レスポンスの (not set) は、プラットフォームで XFF ヘッダーが削除されていることを意味します。