このページの内容は Apigee と Apigee ハイブリッドに該当します。
Apigee Edge のドキュメントを表示する。
[セキュリティ対策] ページでは、[不正行為の検出] ページの情報に基づいて、検出されたトラフィックを Apigee が処理する方法を定義するセキュリティ アクションを作成できます。たとえば、不正行為の発生源として識別された IP アドレスからのリクエストを拒否するセキュリティ アクションを作成できます。対象のアドレスからのリクエストを受信すると、Apigee はリクエストが API へのアクセス権を取得することをブロックします。セキュリティ アクションを作成して、指定した検出ルールでタグ付けされたリクエストを拒否することもできます。
拒否アクションに加えて、検出されたリクエストにヘッダーを追加するフラグ アクションや、特定のケースで拒否アクションをオーバーライドする許可アクションを作成することもできます。セキュリティ アクションをご覧ください。
セキュリティ アクションのタスクを実行するために必要なロールについては、セキュリティ アクションに必要なロールをご覧ください。
この機能を使用するには、アドオンを有効にする必要があります。サブスクリプションをご利用の場合は、組織のアドオンを有効にできます。詳細については、サブスクリプションを使用する組織の Advanced API Security を管理するをご覧ください。従量課金制をご利用の場合は、対象となる環境でアドオンを有効にできます。詳細については、Advanced API Security アドオンを管理するをご覧ください。
セキュリティ アクションの仕組み
[セキュリティ アクション] ページでは、特定のクライアントからのリクエストを明示的に許可、拒否、報告するためのアクションを実行できます。Apigee は、こうしたアクションを API プロキシが処理する前にリクエストに適用します。通常、リクエストが望ましくない動作のパターンに準拠している、または(許可アクションの場合)特定の IP アドレスに対して拒否アクションをオーバーライドする必要があることを理由として、アクションを実行します。
フラグ アクションを使用すると、リクエストを API に渡すことができますが、最大 5 つのヘッダーをフラグ付きリクエストに追加するため、それらの動作を追跡できます。
対処するリクエストを特定するには、[不正行為の検出]、[検出されたトラフィック] または [インシデント] ビューを使用します。これにより、不正行為の発生源となっている IP アドレスが表示されます。それらの IP アドレスからのリクエストをブロックするためのアクションを実行できます。
セキュリティ アクション
次の種類のセキュリティ アクションが実行可能です。
操作 | 説明 | 優先順位 |
---|---|---|
許可 | 拒否アクションによってブロックされる特定のリクエストを許可します。たとえば、検出ルールでタグ付けされたトラフィックを拒否するセキュリティ アクションを作成したとします。信頼できる特定の IP アドレスからのリクエストに対して、許可アクションを作成して拒否アクションをオーバーライドできます。 | 1 |
拒否 | アクションの条件を満たすすべてのリクエスト(例: 指定された IP アドレスからのリクエスト)をブロックします。リクエストを拒否することを選択すると、Apigee は選択可能なレスポンス コードでクライアントに応答します。 | 2 |
フラグ | アクションの条件を満たすリクエストを報告すると、バックエンド サービスが対処できるようになります。クライアントのリクエストにフラグを付けると、Apigee はユーザーが定義した最大 5 つのヘッダーをリクエストに追加します。バックエンド サービスは、これらのフラグに従って API 呼び出しを処理できます。たとえば、呼び出しを別のフローにリダイレクトできます。フラグ アクションを使用すると、API 呼び出しが不審なことをバックエンド サービスに知らせることができます。 | 3 |
優先順位
リクエストが複数のセキュリティ アクションの条件を満たす場合は、アクションの優先順位によって、実行されるアクションが決定されます。たとえば、リクエストが許可アクションと拒否アクションの両方の条件を満たしているとします。許可アクションの優先順位が 1 であり、拒否アクションの優先順位が 2 であるため、許可アクションが優先され、リクエストは API へのアクセスを許可されます。
たとえば、内部クライアントまたは信頼できるクライアントの IP アドレスからのリクエストは、それらのリクエストが別の拒否アクションと一致する場合でも、許可できます。優先順位によって、信頼できる IP アドレスの許可アクションが任意の拒否アクションをオーバーライドします。
プロキシ固有のセキュリティ アクション
セキュリティ アクションは、環境内のすべてのプロキシに適用することも、環境内の特定のプロキシにのみ適用することもできます。プロキシ固有のセキュリティ アクションの制限事項については、セキュリティ アクションの制限をご覧ください。
セキュリティ アクションの制限
セキュリティ アクションは、Apigee 環境レベルで適用されます。環境ごとに、セキュリティ アクションには次のような制限があります。
- 1 つの環境で一度に許可される有効なアクションは 1,000 件までです。
- 各アクションに最大 5 つのフラグヘッダーを追加できます。
- プロキシ固有のセキュリティ アクションは、最大 100 個のプロキシをサポートします。
- プロキシ固有のセキュリティ アクションは、現時点では Apigee ハイブリッドでサポートされていません。
レイテンシ
セキュリティ アクションには、次のようなレイテンシがあります。
- セキュリティ アクションを作成してから、そのアクションが有効になるまでに最大 10 分かかることがあります。アクションが有効になり、なんらかの API トラフィックに適用されると、セキュリティ アクションの詳細ページでアクションの効果を確認できます。注: アクションが有効になっていても、なんらかの API トラフィックに適用されていなければ、セキュリティ アクションの詳細ページで効果を確認することはできません。
- セキュリティ アクションを有効にすると、API プロキシの応答時間がわずかに長くなります(2% 未満)。
[セキュリティ アクション] ページを開く
[セキュリティ アクション] ページを開くには:
- Cloud コンソールで Apigee UI を開きます。
- [Advanced API Security] > [Security actions] を選択します。
以下に示すように、これによってメインの [セキュリティ アクション] ページが開きます。
[セキュリティ アクション] ページでは、次のことができます。
- 新しいセキュリティ アクションを作成する。
- 有効になっているすべてのセキュリティ アクションを一時停止する。
- アクションの行にあるその他メニューを使用して、個別のセキュリティ アクションを有効または無効にする。
[セキュリティ アクション] ページに、次の詳細とともにセキュリティ アクションのリストが表示されます。
- 名前: アクションの名前。
- ステータス: アクションのステータス。有効、一時停止、無効のいずれかです。
- アクション: セキュリティ アクション。
- 有効期限(UTC): アクションの有効期限。
- 最終更新日時(UTC): アクションが最後に更新された日時。
- セキュリティ アクションを有効または無効にできるその他メニュー。これを行うには、アクションの行にあるメニューをクリックして [有効にする] または [無効にする] を選択します。セキュリティ アクションを無効にしても、API リクエストには影響しません。
セキュリティ アクションを作成する
このセクションでは、セキュリティ アクションを作成する方法について説明します。現時点では、セキュリティ アクションを作成した後に、それを削除したり、その設定を変更したりすることはできません。アクションを(強制適用されないように)無効にできますが、Apigee UI には引き続き表示されます。
新しいセキュリティ アクションを作成するには:
- [セキュリティ アクション] ページの上部にある [作成] をクリックして、以下に示すように [セキュリティ アクションの作成] ダイアログを開きます。
- [全般設定] で次の設定を入力します。
- 名前: セキュリティ アクションの名前。
- 説明(省略可): アクションの簡単な説明。
- 環境: セキュリティ アクションを作成する環境。
- Proxies(省略可): セキュリティ アクションを適用するプロキシ。[フィルタ] フィールドを使用して、名前でプロキシリストを制限します。
- 環境内の現在のプロキシと今後のプロキシすべてにセキュリティ アクションを適用するには、[Proxies] フィールドを空白のままにします。
- 個々のプロキシを選択すると、後で環境に追加される新しいプロキシに関係なく、それらのプロキシにのみセキュリティ アクションが適用されます。
- [すべて選択] を使用すると、環境内の現在のプロキシをすべて選択します。後で追加したプロキシは、ルールに自動的に追加されません。
- 有効期限: アクションが期限切れになる日時(存在する場合)。[なし] と [カスタム] のいずれかを選択してから、アクションを期限切れにする日時を入力します。タイムゾーンを変更することもできます。
- 以下に示すように、[次へ] をクリックして [ルール] セクションを表示します。
このセクションでは、セキュリティ アクションのルールを作成します。次のように入力します。
- アクション タイプ: セキュリティ アクションのタイプ。次のいずれかです。
- 許可: リクエストが許可されます。
- 拒否: リクエストは拒否されます。[拒否] を選択した場合は、リクエストが拒否されたときに返されるレスポンス コードも指定できます。このコードは次のいずれかです。
- 事前定義: HTTP コードを選択します。
- カスタム: レスポンス コードを入力します。
- フラグ: リクエストは許可されますが、リクエストに特別な処理が必要であるかどうかをプロキシが判断するために使用する特別な HTTP ヘッダーでもフラグが設定されます。ヘッダーを定義するには、[ヘッダー] で次のようにします。[フラグ] を選択した場合は、[ヘッダー] で以下の対象も作成できます。
- ヘッダー名
- ヘッダー値
- 条件: セキュリティ アクションが実行される際の条件。[新しい条件] に次のように入力します。
- 条件タイプ: [検出ルール] または次の属性のいずれかです。
- IP アドレス / CIDR 範囲。IP アドレスと IPv4 CIDR 範囲を同時に含めることができます。
- API キー: 1 つ以上の API キー。
- API プロダクト: 1 つ以上の Apigee API プロダクト。
- アクセス トークン(1 つ以上のアクセス トークン)。
- デベロッパー: Apigee デベロッパーのメールアドレスを 1 つ以上指定します。
- デベロッパー アプリ: 1 つ以上の Apigee デベロッパー アプリ。
- ユーザー エージェント: 1 つ以上のユーザー エージェント。
- HTTP メソッド: HTTP メソッド(GET、PUT など)。
- リージョン コード: 処理するリージョン コードのリスト。ISO 3166-1 alpha-2 コードをご覧ください。
- 自律システム番号(ASN): 処理する ASN 番号のリスト(23 など)。自律システム(インターネット)をご覧ください。
- 値: 次のいずれかを入力します。
- [条件タイプ] が [検出ルール] の場合は、適用するセキュリティ アクションに対してリクエストによりトリガーされる必要がある検出ルールのセットを選択します。
- [条件タイプ] が属性の場合は、セキュリティ アクションを適用する属性の値を入力します。たとえば、属性が IP アドレス / CIDR 範囲の場合は、セキュリティ アクションを適用するリクエストの送信元の IP アドレスを入力します。IPv4 アドレスと IPv6 アドレスのいずれかのカンマ区切りのリストを入力できます。
- 条件タイプ: [検出ルール] または次の属性のいずれかです。
- アクション タイプ: セキュリティ アクションのタイプ。次のいずれかです。
- [作成] をクリックして、セキュリティ アクションを作成します。
有効なすべてのアクションを一時停止する
有効なすべてのセキュリティ アクションを一時停止するには、[セキュリティ アクション] ページの上部にある [有効なアクションを一時停止] をクリックします。セキュリティ アクションが一時停止されても、API リクエストには影響しません。すべてのセキュリティ アクションに関する問題を診断する必要がある場合は、この機能を使用します。個々のセキュリティ アクションを無効にするには、セキュリティ アクションの行にあるその他メニューを使用します。
有効にしたすべてのセキュリティ アクションを再開するには、[一時停止したアクションを再開] をクリックします。
セキュリティ アクションの詳細を表示する
セキュリティ アクションに関連する最近の API トラフィック データを表示するには、メインの [セキュリティ アクション] ページでセキュリティ アクションの行を選択します。[セキュリティ アクションの詳細] ページが表示されます。これには、次の 2 つのタブがあります。
概要
[概要] タブを選択して、[概要] ページを表示します。
[概要] ページには、ページの上部で選択した期間(12 時間、1 日、1 週間、2 週間)での最近の API トラフィックに関する情報が表示されます。
ページには、次のトラフィック データが表示されます。
- アクション タイプ: アクションのタイプ。拒否、許可、またはフラグ。
- 環境の合計トラフィック: 環境内のリクエストの合計数。
- 検出された合計イベント トラフィック: イベントに関連するリクエストの数。
- アクションの影響を受けた合計トラフィック:
- 拒否アクションに関して、拒否されたリクエストの数。
- フラグ アクションに関して、フラグが付けられたリクエストの数。
- 許可アクションに関して、許可されたリクエストの数。
このページには次のグラフも表示されます。
- 環境トラフィックの傾向: 検出されたトラフィック、フラグが付けられたトラフィック、環境のトラフィックの合計のグラフ。上述の説明をご確認ください。
- 上位のルール
- 上位の国
- アクションの詳細
属性
[属性] タブを選択して、[属性] ページを表示します。
[属性] ページには、セキュリティ属性のデータが属性(ディメンション)別に表示されます。これはデータのグループ化であり、さまざまな方法でセキュリティ アクションを表示できます。たとえば、API プロダクト属性によって、API プロダクトごとにセキュリティ アクションを表示できます。
[属性] ページに表示される情報は、不正行為検出の [インシデントの詳細] ページの [属性] ビューと類似しています。