Acciones de seguridad

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

La página Acciones de seguridad te permite crear acciones de seguridad que definen cómo Apigee maneja el tráfico detectado, en función de la información de la página Detección de abusos. Por ejemplo, puedes crear una acción de seguridad para rechazar solicitudes de una dirección IP que se identificó como fuente de abuso. Cuando se recibe una solicitud de esa dirección, Apigee bloquea el acceso a tus APIs. También puedes crear una acción de seguridad para rechazar las solicitudes que estén etiquetadas con reglas de detección especificadas.

Además de rechazar acciones, también puedes crear acciones de marca, que agregan encabezados a las solicitudes detectadas, o permitir acciones, que anulan una acción de denegación en casos específicos. Consulta Acciones de seguridad.

Consulta Roles obligatorios para las acciones de seguridad a fin de obtener las funciones necesarias a fin de realizar tareas de acciones de seguridad.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento Advanced API Security.

Cómo funcionan las acciones de seguridad

En la página Acciones de seguridad, puedes tomar medidas para permitir, rechazar o marcar solicitudes de clientes específicos de forma explícita. Apigee aplica estas acciones a las solicitudes antes de que los proxies de API las procesen. Por lo general, debes tomar medidas porque las solicitudes se ajustan a patrones de comportamiento no deseado o (en el caso de la acción de permiso) porque deseas anular una acción de denegación para direcciones IP específicas.

La acción de marca permite que las solicitudes pasen a tus API, pero agrega hasta cinco encabezados a las solicitudes marcadas para que puedas realizar un seguimiento de ellas y observar su comportamiento.

Para identificar las solicitudes que toman medidas, puedes usar las vistas Detección de abuso, Tráfico detectado o Incidente. , que muestran direcciones IP que son fuentes de abuso. Puedes tomar medidas para bloquear las solicitudes de esas direcciones IP.

Acciones de seguridad

Puedes realizar los siguientes tipos de acciones de seguridad.

Acción	Descripción	Orden de prioridad
Permitir	Permite ciertas solicitudes que, de lo contrario, estarían bloqueadas por una acción de denegación. Por ejemplo, supongamos que creaste una acción de seguridad para rechazar el tráfico que se etiquetó con una regla de detección. Puedes crear una acción de permiso para anular la acción de denegación de las solicitudes de una dirección IP específica en la que confíes.	1
Rechazar	Bloquea todas las solicitudes que cumplen con las condiciones de la acción, por ejemplo, que se originan en una dirección IP especificada. Cuando eliges denegar solicitudes, Apigee responde al cliente con un código de respuesta que puedes elegir.	2
Marca	Marca las solicitudes que cumplen con la condición de la acción para que tus servicios de backend puedan realizar acciones en ellas. Cuando marcas las solicitudes de un cliente, Apigee agrega hasta cinco encabezados, que defines a la solicitud. Los servicios de backend pueden procesar las llamadas a la API de acuerdo con estas marcas, por ejemplo, mediante el redireccionamiento de las llamadas a un flujo diferente. La acción de marca proporciona una forma de indicar a tus servicios de backend que una llamada a la API es sospechosa.	3

Orden de prioridad

Cuando una solicitud cumple con la condición de más de una acción de seguridad, el orden de prioridad de las acciones determina qué acción se realiza. Por ejemplo, supongamos que una solicitud cumple con las condiciones de una acción de permiso y de denegación. Dado que el orden de prioridad de una acción de permiso es 1 y el orden de prioridad de una acción de denegación es 2, la acción de permiso tiene prioridad, por lo que la solicitud tiene acceso a la API.

Por ejemplo, es posible que desees permitir las solicitudes de la dirección IP de un cliente interno o de confianza, incluso si esas solicitudes coincidieron con una acción de denegación separada. El orden de prioridad garantiza que una acción de permiso para la dirección IP de confianza anule cualquier acción de denegación.

Limitaciones de las acciones de seguridad

Las acciones de seguridad se aplican a nivel de entorno de Apigee. Para cada entorno, las acciones de seguridad tienen las siguientes limitaciones:

Se permiten como máximo 1,000 acciones habilitadas para un entorno en cualquier momento.
Puedes agregar como máximo 5 encabezados de marca para cada acción.

Latencias

Las acciones de seguridad tienen las siguientes latencias:

Cuando creas una acción de seguridad, la acción puede tardar hasta 10 minutos en aplicarse. Una vez que se aplique una acción y se aplique a algo de tráfico de la API, podrás ver los efectos de la acción en la página Detalles de la acción de seguridad. Nota: Incluso si la acción entró en vigencia, no podrás determinarlo en la página de detalles de la acción de seguridad, a menos que la acción se haya aplicado a un tráfico de API.
Las acciones de seguridad habilitadas generan un pequeño aumento (menos del 2%) en el tiempo de respuesta del proxy de API.

Abre la página Acciones de seguridad.

Para abrir la página Acciones de seguridad, haz lo siguiente:

Abre la IU de Apigee en la consola de Cloud.
Selecciona Advanced API Security > Acciones de seguridad.

Esto abrirá la página principal Acciones de seguridad, como se muestra a continuación:

Página principal de acciones de seguridad.

En la página Acciones de seguridad, puedes hacer lo siguiente:

Crea una acción de seguridad nueva.
Pausa todas las acciones de seguridad habilitadas.
Habilita o inhabilita una acción de seguridad individual con el menú de tres puntos de la fila para la acción.

En la página Acciones de seguridad, se muestra una lista de acciones de seguridad con los siguientes detalles:

Nombre: Es el nombre de la acción
Estado: Es el estado de la acción, que puede ser Habilitada, Detenida o Inhabilitada.
Acción: La acción de seguridad.
Vencimiento (UTC) (Expiration) es la fecha de vencimiento de la acción.
Última actualización (UTC): La última fecha y hora en que se actualizó la acción.
Un menú de tres puntos en el que puedes habilitar o inhabilitar una acción de seguridad. Para ello, haz clic en el menú de la fila de la acción y selecciona Habilitar o Inhabilitar. Las acciones de seguridad inhabilitadas no afectan las solicitudes a la API.

Crea una acción de seguridad

En esta sección, se explica cómo crear una acción de seguridad. Ten en cuenta que una vez que creas una acción de seguridad, no se puede borrar. Puedes inhabilitar la acción (para evitar que se aplique), pero aparecerá en la IU de Apigee.

Para crear una acción de seguridad nueva, sigue estos pasos:

En la parte superior de la página Acciones de seguridad, haz clic en Crear para abrir el cuadro de diálogo Crear acción de seguridad, como se muestra a continuación.
En Configuración general, ingresa la siguiente configuración:
- Nombre: Un nombre para la acción de seguridad.
- Descripción (opcional): Es una descripción breve de la acción.
- Entorno: Es el entorno en el que deseas crear la acción de seguridad.
- Vencimiento: Es la fecha y la hora de vencimiento de la acción, si corresponde. Selecciona Nunca o Personalizado y, luego, ingresa la fecha y hora en la que deseas que venza la acción. También puedes modificar la zona horaria.
Haz clic en Siguiente para mostrar la sección Regla, como se muestra a continuación:

En esta sección, crearás la regla para la acción de seguridad. Ingrese el siguiente comando:
- Tipo de acción: Es el tipo de acción de seguridad, que puede ser una de las siguientes:
  - Permitir: Se permite la solicitud.
  - Rechazar: Se rechaza la solicitud. Si seleccionas Rechazar, también puedes especificar el código de respuesta que se muestra cuando se rechaza una solicitud. Esto puede ser:
    - Predefinido: Selecciona un código HTTP.
    - Personalizado: Ingresa un código de respuesta.
  - Marca: La solicitud está permitida, pero también se marca con un encabezado HTTP especial que un proxy busca para determinar si la solicitud requiere un control especial. Para definir el encabezado, en Encabezados Si seleccionas Marcador, también puedes crear lo siguiente: Encabezados :
    - Nombre del encabezado
    - Valor del encabezado
- Condiciones: Son las condiciones en las que se realiza la acción de seguridad. En Nueva condición, ingresa lo siguiente:
  - Tipo de condición: Puede ser Reglas de detección o uno de los siguientes atributos:
    - Direcciones IP
    - Claves de API
    - Productos de API
    - Tokens de acceso
    - Desarrolladores
    - Apps de desarrolladores
    - Usuarios-agente
    Notas:
    - Para los tipos de condición Reglas de detección y direcciones IP, puedes crear como máximo dos condiciones que tengan esos tipos. Para cualquier otro tipo de condición, puedes crear, como máximo, una condición.
    - Para usar cualquiera de los atributos enumerados antes, que no sean Reglas de detección ni Direcciones IP, debes agregar la política Verificar de clave de API o la política OAuthV2. Consulta Cómo funcionan las claves de API para obtener más información.
    - Estas condiciones no están disponibles en Apigee Hybrid en este momento: claves de API, productos de API, tokens de acceso, desarrolladores, apps de desarrollador y usuarios-agentes.
  - Valores: Ingresa una de las siguientes opciones:
    - Si el Tipo de condición es Reglas de detección, selecciona un conjunto de reglas de detección que se hayan activado para una solicitud. la acción de seguridad que se debe aplicar a él.
    - Si el Tipo de condición es un atributo, ingresa los valores del atributo al que deseas que se aplique la acción de seguridad. Por ejemplo, si el atributo es Direcciones IP, ingresa las direcciones IP de las fuentes de las solicitudes a las que deseas que se aplique la acción de seguridad. Puedes ingresar una lista separada por comas de direcciones IPv4 e IPv6.
Haz clic en Crear para crear la acción de seguridad.

Pausar todas las acciones habilitadas

Para pausar todas las acciones de seguridad habilitadas, haz clic en Pausar acciones habilitadas en la parte superior de la página Acciones de seguridad. Cuando se pausan las acciones de seguridad, no afectan las solicitudes a la API. Usa esta función cuando necesites diagnosticar un problema con todas las acciones de seguridad. Si deseas inhabilitar una acción de seguridad individual, usa el menú de tres puntos de la fila para la acción de seguridad.

Para reanudar todas las acciones de seguridad habilitadas, haz clic en Reanudar las acciones pausadas.

Visualiza los detalles de la acción de seguridad

Para ver los datos de tráfico de API recientes relacionados con una acción de seguridad, selecciona la fila de la acción de seguridad en la página principal de acciones de seguridad. Se mostrará la página de detalles de la acción de seguridad, que tiene dos pestañas:

Descripción general
Atributos

Descripción general

Selecciona la pestaña Descripción general para mostrar la página Descripción general:

Página de detalles de acciones de seguridad.

En la página Descripción general, se muestra información sobre el tráfico reciente de la API durante el período que seleccionas en la parte superior de la página: 12 horas, 1 día, 1 semana o 2 semanas.

En la página, se muestran los siguientes datos de tráfico:

Tipo de acción: Es el tipo de acción: rechazar, permitir o marcar.
Tráfico total del entorno: La cantidad total de solicitudes en el entorno.
Tráfico total del evento detectado: La cantidad de solicitudes relacionadas con el evento.
Tráfico total afectado por la acción:
- Para una acción de denegación, la cantidad de solicitudes rechazadas.
- Para una acción de marca, la cantidad de solicitudes marcadas.
- Para una acción “allow”, la cantidad de solicitudes permitidas.

La página también muestra los siguientes gráficos:

Tendencias de tráfico del entorno: gráficos de tráfico detectado, tráfico marcado y tráfico del entorno total. Consulta la nota anterior.
Reglas principales
Países principales
Detalles de la acción

Atributos

Selecciona la pestaña Atributos para ver la página Atributos.

En la página Atributos, se muestran los datos de la acción de seguridad mediante atributos, también conocidos como dimensiones, que son agrupaciones datos que te permiten ver la acción de seguridad de diferentes maneras. Por ejemplo, el atributo de productos de API te permite ver la acción de seguridad por producto de API.

La información que se muestra en la página Atributos es similar a la vista Atributos de la página Detalles del incidente de detección de abuso.