Questa pagina è stata tradotta dall'API Cloud Translation.

Azioni di sicurezza

Questa pagina si applica a Apigee e Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

La pagina Azioni di sicurezza ti consente di creare azioni di sicurezza che definiscono il modo in cui Apigee gestisce il traffico rilevato, in base alle informazioni contenute nella pagina Rilevamento degli abusi. Ad esempio, puoi creare un'azione di sicurezza per rifiutare le richieste provenienti da un indirizzo IP che è stato identificato come fonte di comportamento illecito. Quando viene ricevuta una richiesta da quell'indirizzo, Apigee gli impedisce di accedere alle tue API. Puoi anche creare un'azione di sicurezza per rifiutare le richieste codificate con regole di rilevamento specificate.

Oltre a negare le azioni, puoi anche creare azioni di segnalazione, che aggiungono intestazioni alle richieste rilevate, oppure consentire azioni, che eseguono l'override di un'azione di negazione in casi specifici. Vedi Azioni di sicurezza.

Consulta Ruoli richiesti per le azioni di sicurezza per conoscere i ruoli necessari per eseguire attività relative alle azioni di sicurezza.

Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se sei un cliente in abbonamento, puoi abilitare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se sei un cliente con pagamento a consumo, puoi abilitare il componente aggiuntivo nei tuoi ambienti idonei. Per maggiori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.

Come funzionano le azioni relative alla sicurezza

Nella pagina Azioni di sicurezza puoi eseguire azioni per consentire, rifiutare o segnalare in modo esplicito le richieste provenienti da client specifici. Apigee applica queste azioni alle richieste prima che i proxy API le elaborino. In genere, puoi intervenire perché le richieste sono conformi a pattern di comportamenti indesiderati o (nel caso dell'azione di autorizzazione) perché vuoi sostituire un'azione di negazione per indirizzi IP specifici.

L'azione di segnalazione consente alle richieste di passare alle API, ma aggiunge fino a cinque intestazioni alle richieste segnalate, in modo che tu possa monitorarle per osservare il loro comportamento.

Per identificare le richieste su cui intervenire, puoi utilizzare la vista Rilevamento comportamenti illeciti Traffico rilevato o Incidenti, che mostrano gli indirizzi IP che sono fonti di abuso. Puoi agire per bloccare le richieste provenienti da questi indirizzi IP.

Azioni di sicurezza

Puoi eseguire i seguenti tipi di azioni relative alla sicurezza.

Azione	Descrizione	Ordine di precedenza
Consenti	Consente determinate richieste che altrimenti verrebbero bloccate da un'azione di negazione. Ad esempio, supponiamo che tu abbia creato un'azione di sicurezza per negare il traffico taggato con una regola di rilevamento. Puoi creare un'azione di autorizzazione per ignorare l'azione di negazione per le richieste da un indirizzo IP specifico che ritieni attendibile.	1
Nega	Blocca tutte le richieste che soddisfano le condizioni dell'azione, ad esempio quelle provenienti da un indirizzo IP specificato. Quando scegli di rifiutare le richieste, Apigee risponde al client con un codice di risposta a tua scelta.	2
Flag	Segnala le richieste che soddisfano la condizione dell'azione, in modo che i servizi di backend possano intervenire. Quando contrassegni le richieste di un client, Apigee aggiunge alla richiesta fino a cinque intestazioni, definite da te. I servizi di backend possono elaborare le chiamate API in base a questi flag, ad esempio reindirizzando le chiamate a un flusso diverso. L'azione di flag consente di segnalare ai servizi di backend che una chiamata API è sospetta.	3

Ordine di precedenza

Quando una richiesta soddisfa la condizione di più azioni di sicurezza, l'ordine di precedenza delle azioni determina quale azione viene eseguita. Ad esempio, supponiamo che una richiesta soddisfi le condizioni di un'azione di autorizzazione e di negazione. Poiché l'ordine di precedenza di un'azione di autorizzazione è 1 e l'ordine di precedenza di un'azione di negazione è 2, l'azione di autorizzazione ha la precedenza, quindi alla richiesta è consentito l'accesso all'API.

Ad esempio, potresti voler consentire le richieste provenienti dall'indirizzo IP di un client interno o attendibile, anche se corrispondono a un'azione di negazione separata. L'ordine di precedenza assicura che un'azione di autorizzazione per l'indirizzo IP attendibile possa sostituire qualsiasi azione di negazione.

Limitazioni delle azioni di sicurezza

Le azioni di sicurezza vengono applicate a livello di ambiente Apigee. Per ogni ambiente, le azioni di sicurezza presentano le seguenti limitazioni:

Sono consentite al massimo 1000 azioni abilitate per un ambiente in qualsiasi momento.
Puoi aggiungere al massimo cinque intestazioni per ogni azione.

Latenze

Le azioni di sicurezza hanno le seguenti latenze:

Quando crei un'azione di sicurezza, l'applicazione potrebbe richiedere fino a 10 minuti. Una volta che un'azione è diventata effettiva e applicata al traffico API, potrai visualizzare gli effetti dell'azione nella pagina Dettagli azione di sicurezza. Nota: anche se l'azione è stata applicata, non potrai determinarlo dalla pagina dei dettagli dell'azione Sicurezza, a meno che l'azione non sia stata applicata a una parte del traffico API.
Le azioni di sicurezza abilitate comportano un piccolo aumento (meno del 2%) del tempo di risposta del proxy API.

Apri la pagina Azioni di sicurezza

Per aprire la pagina Azioni di sicurezza:

Apri l'UI di Apigee nella console Cloud.
Seleziona Advanced API Security > Security actions (Sicurezza avanzata delle API > Azioni di sicurezza).

Si apre la pagina principale Azioni di sicurezza, come mostrato di seguito:

Pagina principale delle azioni di sicurezza.

Nella pagina Azioni di sicurezza puoi:

Crea una nuova azione di sicurezza.
Metti in pausa tutte le azioni di sicurezza attivate.
Abilita o disabilita una singola azione di sicurezza utilizzando il menu con tre puntini nella riga relativa all'azione.

La pagina Azioni di sicurezza mostra un elenco di azioni di sicurezza con i seguenti dettagli:

Nome: il nome dell'azione.
Stato: lo stato dell'azione, che può essere Attivata, In pausa o Disattivata.
Azione: l'azione di sicurezza.
Scadenza (UTC): la data di scadenza dell'azione.
Ultimo aggiornamento (UTC): la data e l'ora dell'ultimo aggiornamento dell'azione.
Un menu con tre puntini in cui puoi attivare o disattivare un'azione di sicurezza. Per farlo, fai clic sul menu nella riga dell'azione e seleziona Attiva o Disattiva. Le azioni di sicurezza disabilitate non influiscono sulle richieste API.

Crea un'azione di sicurezza

Questa sezione spiega come creare un'azione di sicurezza. Tieni presente che, una volta creata, un'azione di sicurezza non può essere eliminata. Puoi disabilitarla (per impedirne l'applicazione), ma verrà visualizzata nella UI di Apigee.

Per creare una nuova azione di sicurezza:

Nella parte superiore della pagina Azioni di sicurezza, fai clic su Crea per aprire la finestra di dialogo Crea azione di sicurezza, come mostrato di seguito.
In Impostazioni generali, inserisci le seguenti impostazioni:
- Nome:un nome per l'azione di sicurezza.
- Descrizione (facoltativa): una breve descrizione dell'azione.
- Ambiente: l'ambiente in cui vuoi creare l'azione di sicurezza.
- Scadenza: la data e l'ora di scadenza dell'azione, se presente. Seleziona Mai o Personalizzato, quindi inserisci la data e l'ora di scadenza dell'azione. Puoi anche modificare il fuso orario.
Fai clic su Avanti per visualizzare la sezione Regola, come mostrato di seguito:

In questa sezione creerai la regola per l'azione di sicurezza. Inserisci quanto segue:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
  - Allow: la richiesta è consentita.
  - Nega: la richiesta viene rifiutata. Se selezioni Rifiuta, puoi anche specificare il codice di risposta che viene restituito quando la richiesta viene rifiutata. Le opzioni possibili sono:
    - Predefinito:seleziona un codice HTTP.
    - Personalizzato:inserisci un codice di risposta.
  - Flag:la richiesta è consentita, ma è anche contrassegnata con un'intestazione HTTP speciale che un proxy cerca per determinare se la richiesta richiede una gestione speciale. Per definire l'intestazione, in Intestazioni. Se selezioni Contrassegno, puoi anche creare quanto segue in Intestazioni:
    - Nome intestazione
    - Valore intestazione
- Condizioni:le condizioni in cui viene eseguita l'azione di sicurezza. In Nuova condizione, inserisci quanto segue:
  - Tipo di condizione:può essere Regole di rilevamento o uno dei seguenti attributi:
    - Indirizzi IP/intervalli CIDR, che possono includere indirizzi IP e intervalli CIDR IPv4 contemporaneamente.
    - Chiavi API: una o più chiavi API.
    - Prodotti API, uno o più prodotti API Apigee.
    - Token di accesso, uno o più token di accesso.
    - Sviluppatori, uno o più indirizzi email di sviluppatori Apigee.
    - App per sviluppatori, una o più app per sviluppatori Apigee.
    - User agent, uno o più user agent.
    - Metodi HTTP, metodi HTTP come GET o PUT.
    - Codici regione, un elenco di codici regione su cui agire. Consulta i codici ISO 3166-1 alpha-2.
    - Numero di sistema autonomo (ASN), un elenco di numeri ASN su cui agire, ad esempio "23". Vedi Sistema autonomo (Internet).
    Note:
    - Per i tipi di condizione Regole di rilevamento e Indirizzi IP/intervalli CIDR, puoi creare al massimo due condizioni che includano questi tipi. Per qualsiasi altro tipo di condizione, puoi creare al massimo una condizione.
    - Per utilizzare uno qualsiasi degli attributi elencati sopra, diversi da Regole di rilevamento o Indirizzi IP, devi aggiungere il criterio Verify API Key (Verifica chiave API) o OAuthV2. Per ulteriori informazioni, consulta Come funzionano le chiavi API.
    - Queste condizioni sono disponibili in Apigee hybrid nella versione 1.12 e successive: chiavi API, prodotti API, token di accesso, sviluppatori, app per sviluppatori, user agent.
    - Le seguenti condizioni non sono al momento disponibili in Apigee hybrid: numeri di sistema autonomi, metodi HTTP, codici regione.
    - Gli intervalli CIDR per indirizzi IP/intervalli CIDR non sono al momento disponibili in Apigee hybrid.
  - Valori:inserisci uno dei seguenti valori:
    - Se Tipo di condizione è Regole di rilevamento, seleziona un insieme di regole di rilevamento che deve essere stata attivata da una richiesta affinché l'azione di sicurezza venga applicata.
    - Se Tipo di condizione è un attributo, inserisci i valori dell'attributo a cui vuoi applicare l'azione di sicurezza. Ad esempio, se l'attributo è Indirizzi IP/intervalli CIDR, inserisci gli indirizzi IP delle origini delle richieste a cui vuoi applicare l'azione di sicurezza. Puoi inserire un elenco separato da virgole di indirizzi IPv4 e IPv6.
Fai clic su Crea per creare l'azione di sicurezza.

Metti in pausa tutte le azioni attivate

Per mettere in pausa tutte le azioni di sicurezza attivate, fai clic su Metti in pausa le azioni abilitate nella parte superiore della pagina Azioni di sicurezza. Quando le azioni di sicurezza sono in pausa, non influiscono sulle richieste API. Utilizza questa funzionalità quando devi diagnosticare un problema con tutte le azioni di sicurezza. Per disabilitare una singola azione di sicurezza, utilizza il menu con tre puntini nella riga corrispondente all'azione di sicurezza.

Per ripristinare tutte le azioni di sicurezza attivate, fai clic su Riprendi azioni in pausa.

Visualizza i dettagli dell'azione di sicurezza

Per visualizzare i dati recenti sul traffico dell'API relativi a un'azione di sicurezza, seleziona la riga per l'azione di sicurezza nella pagina principale Azioni di sicurezza. Viene visualizzata la pagina dei dettagli dell'azione Sicurezza, che contiene due schede:

Panoramica
Attributi

Panoramica

Seleziona la scheda Panoramica per visualizzare la pagina Panoramica:

Pagina dei dettagli delle azioni di sicurezza.

La pagina Panoramica mostra informazioni sul traffico recente dell'API durante il periodo di tempo selezionato nella parte superiore della pagina: 12 ore, 1 giorno, 1 settimana o 2 settimane.

Nella pagina vengono visualizzati i seguenti dati sul traffico:

Tipo di azione: il tipo di azione: negazione, autorizzazione o flag.
Traffico totale nell'ambiente: il numero totale di richieste nell'ambiente.
Traffico totale di eventi rilevati:il numero di richieste correlate all'evento.
Traffico totale interessato dall'azione:
- Per un'azione di negazione, il numero di richieste rifiutate.
- Per un'azione di segnalazione, il numero di richieste segnalate.
- Per un'azione di autorizzazione, il numero di richieste consentite.

Nella pagina vengono visualizzati anche i seguenti grafici:

Tendenze del traffico ambientale: grafici del traffico rilevato, del traffico segnalato e del traffico ambientale totale. Vedi la nota riportata sopra.
Regole principali
Paesi principali
Dettagli dell'azione

Attributi

Seleziona la scheda Attributi per visualizzare la pagina Attributi:

La pagina Attributi mostra i dati relativi all'azione di sicurezza per attributi, noti anche come dimensioni, che sono raggruppamenti di dati che ti consentono di visualizzare l'azione di sicurezza in modi diversi. Ad esempio, l'attributo prodotti API ti consente di visualizzare l'azione di sicurezza per prodotto API.

Le informazioni visualizzate nella pagina Attributi sono simili alla visualizzazione Attributi della pagina Dettagli incidente di Rilevamento degli abusi.