Ações de segurança

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

A página Ações de segurança permite criar ações de segurança que definem como a Apigee gerencia o tráfego detectado, com base nas informações da página Detecção de abuso. Por exemplo, é possível criar uma ação de segurança para negar solicitações de um endereço IP identificado como uma fonte de abuso. Quando uma solicitação desse endereço é recebida, a Apigee bloqueia o acesso às suas APIs. Também é possível criar uma ação de segurança para negar solicitações que foram marcadas com regras de detecção especificadas.

Além de negar ações, também é possível criar ações de flag, que adicionam cabeçalhos às solicitações detectadas, ou permitir ações, que substituem uma ação de negação em casos específicos. Consulte Ações de segurança.

Consulte Papéis necessários para ações de segurança para ver os papéis necessários para executar tarefas de ações de segurança.

Para usar esse recurso, é necessário ativar o complemento. Se você é um cliente de assinatura, ative o complemento para sua organização. Consulte Gerenciar organizações da Segurança avançada da API por assinatura se quiser mais detalhes. Se você é um cliente de pagamento por uso, ative o complemento nos seus ambientes qualificados. Para mais informações, consulte Gerenciar o complemento Segurança avançada da API.

Como as ações de segurança funcionam

Na página Ações de segurança, é possível permitir, negar ou sinalizar explicitamente solicitações de clientes específicos. A Apigee aplica essas ações às solicitações antes que os proxies de API as processem. Normalmente, a ação é realizada porque as solicitações estão em conformidade com padrões de comportamento indesejado ou, no caso da ação de permissão, porque você quer modificar uma ação de negação para endereços IP específicos.

A ação de flag permite que as solicitações sejam transmitidas para as APIs, mas adiciona até cinco cabeçalhos a solicitações sinalizadas para que você possa acompanhá-las e observar o comportamento delas.

Para identificar em quais solicitações agir, use as visualizações Detecção de abuso, Tráfego detectado ou Incidentes, que mostram endereços IP que são fontes de abuso. Você pode bloquear as solicitações desses endereços IP.

Ações de segurança

Você pode realizar os tipos de ações de segurança a seguir.

Ação Descrição Ordem de precedência
Permitir Permite algumas solicitações que seriam bloqueadas por uma ação de negação. Por exemplo, suponha que você tenha criado uma ação de segurança para negar tráfego marcado com uma regra de detecção. Você pode criar uma ação de permissão para substituir a ação de negação para solicitações de um endereço IP específico confiável. 1
Negar Bloqueia todas as solicitações que atendem às condições da ação, por exemplo, originadas de um endereço IP especificado. Quando você opta por negar solicitações, a Apigee responde ao cliente com um código de resposta à sua escolha. 2
Sinalizar Sinalize solicitações que atendam à condição da ação para que os serviços de back-end possam agir sobre elas. Quando você sinaliza as solicitações de um cliente, a Apigee adiciona até cinco cabeçalhos, que você define, à solicitação. Os serviços de back-end podem processar as chamadas de API de acordo com essas flags, por exemplo, redirecionando as chamadas para um fluxo diferente. Com a ação de flag, é possível sinalizar aos serviços de back-end que uma chamada de API é suspeita. 3

Ordem de precedência

Quando uma solicitação atende à condição de mais de uma ação de segurança, a ordem de precedência das ações determina qual ação vai ser executada. Por exemplo, suponha que uma solicitação atenda às condições de uma ação de permissão e negação. Como a ordem de precedência de uma ação de permissão é 1 e a ordem de precedência de uma ação de negação é 2, a ação de permissão tem precedência. Portanto, a solicitação tem acesso permitido à API.

Por exemplo, é possível permitir solicitações do endereço IP de um cliente interno ou confiável, mesmo que elas correspondam a uma ação de negação separada. A ordem de precedência garante que uma ação de permissão para o endereço IP confiável substituiria qualquer ação de negação.

Ações de segurança específicas do proxy

Uma ação de segurança pode ser aplicada a todos os proxies em um ambiente ou apenas a um proxy específico ou proxies específicos no ambiente. Consulte Limitações das ações de segurança para ver as limitações das ações de segurança específicas do proxy.

Limitações das ações de segurança

As ações de segurança são aplicadas no nível do ambiente da Apigee. Para cada ambiente, as ações de segurança têm as seguintes limitações:

  • No máximo 1.000 ações ativadas para um ambiente são permitidas a qualquer momento.
  • É possível adicionar no máximo cinco cabeçalhos de flag para cada ação.
  • As ações de segurança específicas do proxy oferecem suporte a um máximo de 100 proxies.
  • No momento, a Apigee híbrida não oferece suporte a ações de segurança específicas do proxy.

Latências

As ações de segurança têm as seguintes latências:

  • Quando você cria uma ação de segurança, pode levar até 10 minutos para que ela entre em vigor. Quando uma ação entrar em vigor e for aplicada a parte do tráfego da API, você poderá ver os efeitos dela na página Detalhes da ação de segurança. Observação: mesmo que a ação tenha entrado em vigor, não será possível determinar isso na página de detalhes da ação de segurança, a menos que ela tenha sido aplicada a algum tráfego da API.
  • As ações de segurança ativadas geram um pequeno aumento (menos de 2%) no tempo de resposta do proxy de API.

Abra a página Ações de segurança.

Para abrir a página Ações de segurança:

  1. Abra a interface da Apigee no console do Cloud.
  2. Selecione Segurança avançada da API > Ações de segurança.

Isso abre a página principal Ações de segurança, como mostrado abaixo:

Página principal de ações de segurança.

Na página Ações de segurança, você pode fazer o seguinte:

A página Ações de segurança exibe uma lista de ações de segurança, com os seguintes detalhes:

  • Nome: o nome da ação.
  • Status: o status da ação, que pode ser Ativada, Pausada ou Desativada.
  • Ação: a ação de segurança.
  • Validade (UTC): a data de validade da ação.
  • Última atualização (UTC): a última data e hora em que a ação foi atualizada.
  • Um menu de três pontos em que você pode ativar ou desativar uma ação de segurança Para fazer isso, clique no menu na linha da ação e selecione Ativar ou Desativar. Ações de segurança desativadas não afetam as solicitações de API.

Criar uma ação de segurança

Nesta seção, explicamos como criar uma ação de segurança. No momento, depois de criar uma ação de segurança, ela não pode ser excluída e as configurações não podem ser alteradas. É possível desativar a ação para evitar que ela seja aplicada, mas ela aparecerá ainda na IU da Apigee.

Para criar uma ação de segurança, faça o seguinte:

  1. Na parte superior da página Ações de segurança, clique em Criar para abrir a caixa de diálogo Criar ação de segurança, conforme mostrado abaixo.

    Criar uma visualização de ação de segurança.

  2. Em Configurações gerais, insira as seguintes configurações:
    • Nome: um nome para a ação de segurança.
    • Descrição (opcional): uma breve descrição da ação.
    • Ambiente: o ambiente em que você quer criar a ação de segurança.
    • Proxies (opcional): os proxies em que você quer aplicar a ação de segurança. Limite a lista de proxies por nome usando o campo Filtro.
      • Deixe o campo Proxies em branco para aplicar a ação de segurança a todos os proxies atuais e futuros no ambiente.
      • Selecione proxies individuais para aplicar a ação de segurança apenas a eles, independentemente de novos proxies adicionados ao ambiente mais tarde.
      • Use Selecionar tudo para selecionar todos os proxies atuais no ambiente. Os proxies adicionados mais tarde não serão incluídos automaticamente na regra.
    • Validade: a data e a hora em que a ação expira, se houver. Selecione Nunca ou Personalizado e insira a data e a hora em que a ação deve expirar. Também é possível modificar o fuso horário.
  3. Clique em Next para exibir a seção Rule, conforme mostrado abaixo:

    Configurações de regras para uma ação de segurança.

    Nesta seção, você vai criar a regra para a ação de segurança. Digite o seguinte:

    • Tipo de ação: o tipo da ação de segurança, que pode ser um dos seguintes:
      • Permitir: a solicitação é permitida.
      • Negar: a solicitação é negada. Se você selecionar Negar, também poderá especificar o código de resposta retornado quando uma solicitação é negada. Pode ser:
        • Predefinido: selecione um código HTTP.
        • Personalizado: digite um código de resposta.
      • Flag: a solicitação é permitida, mas também sinalizada com um cabeçalho HTTP especial que um proxy procura para determinar se requer processamento especial. Para definir o cabeçalho, em Cabeçalhos. Se você selecionar Flag, também é possível criar o seguinte em Cabeçalhos:
        • Nome do cabeçalho
        • Valor do cabeçalho
    • Condições: as condições em que a ação de segurança é realizada. Em Nova condição, insira o seguinte:
      • Tipo de condição:pode ser Regras de detecção ou um dos seguintes atributos:
        • Endereços IP/intervalos CIDR, que podem incluir endereços IP e intervalos CIDR IPv4 ao mesmo tempo.
        • Chaves de API: uma ou mais chaves de API.
        • Produtos de API: um ou mais produtos de API da Apigee.
        • Tokens de acesso: um ou mais tokens de acesso.
        • Desenvolvedores: um ou mais endereços de e-mail de desenvolvedores do Apigee.
        • Apps para desenvolvedores: um ou mais apps para desenvolvedores da Apigee.
        • User agents, um ou mais user agents.
        • Métodos HTTP, métodos HTTP, como GET ou PUT.
        • Códigos de região: uma lista de códigos de região a serem usados. Consulte Códigos ISO 3166-1 alfa-2.
        • Números de sistema autônomo (ASN, na sigla em inglês), uma lista de números de ASN a serem usados, como "23". Consulte Sistema autônomo (Internet).
      • Valores: insira uma das seguintes opções:
        • Se o Tipo de condição for Regras de detecção, selecione um conjunto de regras de detecção para as quais uma solicitação precisa ter sido acionada para a ação de segurança a ser aplicada.
        • Se o Tipo de condição for um atributo, insira os valores dele para aplicar a ação de segurança. Por exemplo, se o atributo for Endereços IP/intervalos CIDR, insira os endereços IP das origens das solicitações às quais você quer que a ação de segurança seja aplicada. Você pode inserir uma lista separada por vírgulas de endereços IPv4 e IPv6.
  4. Clique em Criar para criar a ação de segurança.

Pausar todas as ações ativadas

Para pausar todas as ações de segurança ativadas, clique em Pausar ações ativadas na parte superior da página Ações de segurança. Quando as ações de segurança são pausadas, elas não afetam as solicitações de API. Use esse recurso quando precisar diagnosticar um problema com todas as ações de segurança. Para desativar uma ação de segurança individual, use o menu de três pontos na linha da ação.

Para retomar todas as ações de segurança ativadas, clique em Retomar ações pausadas.

Mais detalhes da ação de segurança

Para ver os dados recentes de tráfego da API relacionados a uma ação de segurança, selecione a linha da ação na página principal "Ações de segurança". Isso exibe a página de detalhes ação de segurança, que tem duas guias:

Visão geral

Selecione a guia Visão geral para exibir a página Visão geral:

Página de detalhes das ações de segurança.

A página Visão geral exibe informações sobre o tráfego recente da API durante o período selecionado na parte superior da página: 12 horas, 1 dia, 1 semana ou 2 semanas.

A página mostra os seguintes dados de tráfego:

  • Tipo de ação: o tipo da ação: negar, permitir ou sinalizar.
  • Tráfego total do ambiente: o número total de solicitações no ambiente.
  • Tráfego total do evento detectado: o número de solicitações relacionadas ao evento.
  • Tráfego total afetado pela ação:
    • Para uma ação de negação, o número de solicitações negadas.
    • Para uma ação de flag, é o número de solicitações sinalizadas.
    • O número de solicitações permitidas para uma ação de permissão.

A página também exibe os seguintes gráficos:

  • Tendências de tráfego do ambiente: gráficos de tráfego detectado, tráfego sinalizado e tráfego total do ambiente. Veja a observação acima.
  • Principais regras
  • Principais países
  • Detalhes da ação

Atributos

Selecione a guia Attributes para exibir a página Attributes:

Página de detalhes das ações de segurança com a opção "Atributos" selecionada.

A página Atributos exibe dados da ação de segurança por atributos, também conhecidos como dimensões, que são agrupamentos dos dados que permitem visualizar a ação de segurança de maneiras diferentes. Por exemplo, o atributo de produtos da API permite que você visualize a ação de segurança por produto da API.

As informações mostradas na página Atributos são semelhantes à visualização Atributos da página Detalhes de incidentes da detecção de abuso.