Advanced API Security のベスト プラクティス

このページは Apigee と Apigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示する

このページでは、Advanced API Security の使用に関するベスト プラクティスについて説明します。

クライアント IP 解決を構成する

デフォルトのクライアント IP 解決アルゴリズムがユースケースで機能しない場合は、環境ごとにカスタマイズできます。クライアント IP の解決をご覧ください。この設定を構成すると、Advanced API Security は API リクエストごとに適切なクライアント IP アドレスを見つけて使用できるため、環境全体で一貫したクライアント IP アドレスの解決が行えます。

クライアント IP 解決を使用するには、X-Forwarded-For リクエスト ヘッダーを保持することも必要です。

X-Forwarded-For リクエスト ヘッダーを保持する

X-Forwarded-For（XFF）リクエスト ヘッダーは、プロキシ サーバー経由でウェブサーバーに接続するクライアントの送信元 IP アドレスを特定するための標準ヘッダーです。多くのプラットフォームには、セキュリティ上の理由により、受信リクエストから XFF ヘッダーを削除する機能が用意されています。ただし、Advanced API Security を使用している場合は、ML アルゴリズムで不正使用トラフィックの特定やセキュリティ スコアの計算を行う際に、IP アドレス情報が必要になるため、この方法はおすすめしません。

プラットフォームで XFF ヘッダーが削除されているかどうかを確認する方法

プラットフォームで XFF ヘッダーが削除されているかどうかを確認するには、次のような API 呼び出しを行います。

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg\(total_response_time\)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

ここで、ORG は組織、ENV は組織内の環境です。

プラットフォームで XFF ヘッダーが削除されている場合は、最初の行が次のようになるレスポンスが返されます。

 "name": "(not set)",

レスポンスの (not set) は、プラットフォームで XFF ヘッダーが削除されていることを意味します。