Sicherheitsaktionen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Auf der Seite Sicherheitsaktionen können Sie Sicherheitsaktionen erstellen, die definieren, wie Apigee erkannten Traffic anhand der Informationen auf der Seite Missbrauchserkennung verarbeitet. Sie können beispielsweise eine Sicherheitsaktion erstellen, um Anfragen von einer IP-Adresse abzulehnen, die als Missbrauchsquelle identifiziert wurde. Wenn eine Anfrage von dieser Adresse empfangen wird, verhindert Apigee, dass sie Zugriff auf Ihre APIs erhält. Sie können auch eine Sicherheitsaktion erstellen, um Anfragen abzulehnen, die mit bestimmten Erkennungsregeln getaggt wurden.

Zusätzlich zu den Deny-Aktionen können Sie auch Flag-Aktionen erstellen, die Header zu erkannten Anfragen hinzufügen, oder Allow-Aktionen, die eine Deny-Aktion in bestimmten Fällen überschreiben. Siehe Sicherheitsaktionen.

Informationen zu den Rollen, die zum Ausführen von Sicherheitsaktionen erforderlich sind, finden Sie unter Erforderliche Rollen für Sicherheitsaktionen.

Wenn Sie diese Funktion verwenden möchten, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Funktionsweise von Sicherheitsaktionen

Auf der Seite Sicherheitsaktionen können Sie Maßnahmen ergreifen, um Anfragen von bestimmten Clients explizit zuzulassen, abzulehnen oder zu melden. Apigee wendet diese Aktionen auf Anfragen an, bevor sie von Ihren API-Proxys verarbeitet werden. In der Regel führen Sie eine Aktion aus folgenden Gründen aus: eine Anfrage entspricht einem unerwünschten Muster oder (im Fall einer Allow-Aktion) Sie möchten eine Deny-Aktion für bestimmte IP-Adressen überschreiben.

Mit der Flag-Aktion werden Anfragen zwar an Ihre APIs übergeben, doch werden gekennzeichneten Anfragen bis zu fünf Header hinzugefügt, damit ihr Verhalten beobachtet werden kann.

Mit den Ansichten Missbrauchserkennung Erkannter Traffic oder Vorfall, in denen IP-Adressen angezeigt werden, die Quellen von Missbrauch sind, können Sie ermitteln, für welche Anfragen Aktionen ausgeführt werden sollen. Sie können Maßnahmen ergreifen, um Anfragen von diesen IP-Adressen zu blockieren.

Sicherheitsaktionen

Es gibt die folgenden Arten von Sicherheitsaktionen.

Aktion	Beschreibung	Rangfolge
Allow	Ermöglicht bestimmte Anfragen, die andernfalls durch eine Deny-Aktion blockiert werden. Angenommen, Sie haben eine Sicherheitsaktion erstellt, um Traffic abzulehnen, der mit einer Erkennungsregel getaggt wurde. Sie können eine Allow-Aktion erstellen, um die Deny-Aktion für Anfragen von einer bestimmten vertrauenswürdigen IP-Adresse zu überschreiben.	1
Deny	Blockiert alle Anfragen, die die Bedingungen der Aktion erfüllen, z. B. von einer angegebenen IP-Adresse aus. Wenn Sie Anfragen ablehnen, antwortet Apigee dem Client mit einem Antwortcode, den Sie auswählen können.	2
Flag	Sie können Anfragen mit einem Flag versehen, die die Bedingung der Aktion erfüllen, damit Ihre Backend-Dienste sie bearbeiten können. Wenn Sie die Anfragen eines Clients kennzeichnen, fügt Apigee der Anfrage bis zu fünf von Ihnen definierte Header hinzu. Ihre Back-End-Dienste können die API-Aufrufe gemäß diesen Flags verarbeiten, indem Sie die Aufrufe beispielsweise an einen anderen Ablauf weiterleiten. Mit der Flag-Aktion können Sie Ihre Backend-Dienste darüber informieren, dass ein API-Aufruf verdächtig ist.	3

Rangfolge

Wenn eine Anfrage die Bedingung mehrerer Sicherheitsaktionen erfüllt, bestimmt die Rangfolge der Aktionen, welche Aktion ausgeführt wird. Angenommen, eine Anfrage erfüllt die Bedingungen sowohl einer Allow- als auch einer Deny-Aktion. Da die Rangfolge einer Allow-Aktion 1 und die Rangfolge einer Deny-Aktion 2 ist, hat die Allow-Aktion Vorrang, sodass die Anfrage Zugriff auf die API erhält.

Sie können beispielsweise Anfragen von der IP-Adresse eines internen oder vertrauenswürdigen Clients zulassen, auch wenn diese Anfragen mit einer separaten Deny-Aktion übereinstimmen. Die Rangfolge sorgt dafür, dass eine Allow-Aktion für die vertrauenswürdige IP-Adresse jede Deny-Aktion überschreibt.

Einschränkungen bei Sicherheitsaktionen

Sicherheitsaktionen werden auf Ebene der Apigee-Umgebung erzwungen. Für jede Umgebung gelten bei Sicherheitsaktionen die folgenden Einschränkungen:

Es sind maximal 1.000 aktivierte Aktionen für eine Umgebung zulässig.
Sie können für jede Aktion maximal fünf Flag-Header hinzufügen.

Latenzen

Sicherheitsaktionen haben die folgenden Latenzen:

Wenn Sie eine Sicherheitsaktion erstellen, kann es bis zu 10 Minuten dauern, bis die Aktion wirksam wird. Nachdem eine Aktion wirksam und auf API-Traffic angewendet wurde, können Sie die Auswirkungen der Aktion auf der Seite Sicherheitsaktionsdetails sehen. Hinweis: Selbst wenn die Aktion wirksam wurde, können Sie dies nur auf der Seite mit den Details zu den Sicherheitsaktionen erkennen, wenn die Aktion auf einen Teil des API-Traffics angewendet wurde.
Bei aktivierten Sicherheitsaktionen erhöht sich die Antwortzeit von API-Proxys geringfügig (weniger als 2 %).

Seite Sicherheitsaktionen öffnen

So öffnen Sie die Seite Sicherheitsaktionen:

Öffnen Sie die Apigee-UI in der Cloud Console.
Wählen Sie Erweiterte API-Sicherheit > Sicherheitsaktionen aus.

Dadurch wird die Hauptseite für Sicherheitsaktionen wie unten dargestellt geöffnet:

Auf der Seite Sicherheitsaktionen können Sie folgende Aufgaben ausführen:

Neue Sicherheitsaktion erstellen
Alle aktivierten Sicherheitsaktionen pausieren
Wenn Sie eine einzelne Sicherheitsaktion aktivieren oder deaktivieren möchten, verwenden Sie das Dreipunkt-Menü in der Zeile für die Aktion.

Die Seite Sicherheitsaktionen enthält eine Liste der Sicherheitsaktionen mit den folgenden Details:

Name: Der Name der Aktion.
Status: Der Status der Aktion, entweder Aktiviert, Pausiert oder Deaktiviert.
Aktion: Die Sicherheitsaktion.
Ablauf (UTC): Das Ablaufdatum der Aktion.
Zuletzt aktualisiert (UTC): Das Datum und die Uhrzeit der letzten Aktualisierung der Aktion.
Ein Dreipunkt-Menü, in dem Sie eine Sicherheitsaktion aktivieren oder deaktivieren können. Klicken Sie dazu auf das Menü in der Zeile für die Aktion und wählen Sie Aktivieren oder Deaktivieren aus. Deaktivierte Sicherheitsaktionen haben keine Auswirkungen auf API-Anfragen.

Sicherheitsaktion erstellen

In diesem Abschnitt wird erläutert, wie Sie eine Sicherheitsaktion erstellen. Nachdem Sie eine Sicherheitsaktion erstellt haben, kann sie nicht mehr gelöscht werden. Sie können die Aktion deaktivieren, um zu verhindern, dass sie erzwungen wird. Sie wird jedoch in der Apigee-Benutzeroberfläche angezeigt.

So erstellen Sie eine neue Sicherheitsaktion:

Klicken Sie oben auf der Seite Sicherheitsaktionen auf Erstellen, um das Dialogfeld Sicherheitsaktion erstellen zu öffnen, wie unten dargestellt.
Geben Sie unter Allgemeine Einstellungen die folgenden Einstellungen ein:
- Name: Der Name für die Sicherheitsaktion.
- Beschreibung (optional): Eine kurze Beschreibung der Aktion.
- Umgebung: Die Umgebung, in der Sie die Sicherheitsaktion erstellen möchten.
- Ablauf: das Datum und die Uhrzeit des Ablaufs der Aktion, falls vorhanden. Wählen Sie entweder Nie oder Benutzerdefiniert aus und geben Sie dann das gewünschte Datum und die Uhrzeit ein. Sie können auch die Zeitzone ändern.
Klicken Sie auf Weiter, um den Abschnitt Regel wie unten dargestellt aufzurufen:

In diesem Abschnitt erstellen Sie die Regel für die Sicherheitsaktion. Geben Sie Folgendes ein:
- Aktionstyp: Der Typ der Sicherheitsaktion. Folgende Optionen stehen zur Auswahl:
  - Allow: Die Anfrage ist zulässig.
  - Deny:: Die Anfrage wird abgelehnt. Wenn Sie Deny auswählen, können Sie auch den Antwortcode angeben, der zurückgegeben wird, wenn eine Anfrage abgelehnt wird. Folgende Optionen stehen zur Auswahl:
    - Vordefiniert: Wählen Sie einen HTTP-Code aus.
    - Benutzerdefiniert: Geben Sie einen Antwortcode ein.
  - Flag: Die Anfrage ist zulässig, wird aber mit einem speziellen HTTP-Header gekennzeichnet, nach dem ein Proxy suchen kann, um zu ermitteln, ob die Anfrage eine besondere Behandlung erfordert. Wenn Sie unter Header die Option Flag auswählen, können Sie auch Folgendes angeben, um den Header zu definieren:
    - Headername
    - Headerwert
- Bedingungen: Die Bedingungen, unter denen die Sicherheitsaktion ausgeführt wird. Geben Sie unter Neue Bedingung Folgendes ein:
  - Bedingungstyp: Kann entweder Erkennungsregeln oder eines der folgenden Attribute sein:
    - IP-Adressen/CIDR-Bereiche, die gleichzeitig IP-Adressen und IPv4-CIDR-Bereiche enthalten können.
    - API-Schlüssel, einen oder mehrere API-Schlüssel.
    - API-Produkte, ein oder mehrere Apigee API-Produkte.
    - Zugriffstokens, ein oder mehrere Zugriffstoken.
    - Entwickler, eine oder mehrere E-Mail-Adressen von Apigee-Entwicklern.
    - Entwickler-Apps, eine oder mehrere Apigee-Entwickler-Apps.
    - User-Agents: Ein oder mehrere User-Agents.
    - HTTP-Methoden, HTTP-Methoden wie GET oder PUT.
    - Regionscodes, eine Liste der Regionscodes, auf die angewendet werden soll. Siehe ISO 3166-1-Alpha-2-Codes.
    - Autonome Systemnummern (ASNs), eine Liste von ASN-Nummern, auf die reagiert werden soll, z. B. "23". Siehe Autonomes System (Internet).
    Hinweise:
    - Für die Bedingungstypen Erkennungsregeln und IP-Adressen/CIDR-Bereiche können Sie höchstens zwei Bedingungen mit diesen Typen erstellen. Für jeden anderen Bedingungstyp können Sie höchstens eine Bedingung erstellen.
    - Zur Verwendung eines der oben aufgeführten Attribute außer Erkennungsregeln oder IP-Adresse müssen Sie entweder die API-Schlüssel prüfen-Richtlinie oder die OAuthV2-Richtlinie hinzufügen. Weitere Informationen finden Sie unter Funktionsweise von API-Schlüsseln.
    - Diese Bedingungen sind in Apigee Hybrid ab Version 1.12 verfügbar: API-Schlüssel, API-Produkte, Zugriffstoken, Entwickler, Entwickler-Apps, User-Agents.
    - Diese Bedingungen sind in Apigee Hybrid derzeit nicht verfügbar: Autonome Systemnummern, HTTP-Methoden, Regionscodes.
    - CIDR-Bereiche für IP-Adressen/CIDR-Bereiche sind in Apigee Hybrid derzeit nicht verfügbar.
  - Werte: Geben Sie einen der folgenden Werte ein:
    - Wenn der Bedingungstyp Erkennungsregeln ist, wählen Sie einen Satz Erkennungsregeln aus, für die eine Anfrage ausgelöst worden sein muss, damit die Sicherheitsaktion angewendet wird.
    - Wenn der Bedingungstyp ein Attribut ist, geben Sie die Werte des Attributs ein, auf das die Sicherheitsaktion angewendet werden soll. Wenn das Attribut beispielsweise IP-Adressen/CIDR-Bereiche lautet, geben Sie die IP-Adressen der Quellen der Anfragen ein, auf die die Sicherheitsaktion angewendet werden soll. Sie können eine durch Kommas getrennte Liste mit IPv4- und IPv6-Adressen eingeben.
Klicken Sie auf Erstellen, um die Sicherheitsaktion zu erstellen.

Alle aktivierten Aktionen pausieren

Wenn Sie alle aktivierten Sicherheitsaktionen pausieren möchten, klicken Sie auf der Seite Sicherheitsaktionen auf Aktivierte Aktionen pausieren. Wenn Sicherheitsaktionen pausiert werden, haben sie keine Auswirkungen auf API-Anfragen. Verwenden Sie diese Funktion, wenn Sie ein Problem bei allen Sicherheitsaktionen diagnostizieren müssen. Wenn Sie eine einzelne Sicherheitsaktion deaktivieren möchten, verwenden Sie das Dreipunkt-Menü in der Zeile für die Sicherheitsaktion.

Wenn Sie alle aktivierten Sicherheitsaktionen fortsetzen möchten, klicken Sie auf Pausierte Aktionen fortsetzen.

Details zur Sicherheitsaktion ansehen

Wenn Sie die aktuellen API-Traffic-Daten für eine Sicherheitsaktion ansehen möchten, wählen Sie auf der Hauptseite für Sicherheitsaktionen die Zeile für die Sicherheitsaktion aus. Daraufhin wird die Seite mit den Details der Sicherheitsaktion mit zwei Tabs angezeigt:

Übersicht
Attribute

Überblick

Wähle den Tab Übersicht aus, um die Seite Übersicht aufzurufen:

Auf der Seite Übersicht werden Informationen zum letzten API-Traffic während des oben ausgewählten Zeitraums angezeigt: 12 Stunden, 1 Tag, 1 Woche oder 2 Wochen.

Auf der Seite werden die folgenden Trafficdaten angezeigt:

Aktionstyp: Der Typ der Aktion: "Deny", "Allow" oder "Flag".
Gesamter Umgebungs-Traffic: Die Gesamtzahl der Anfragen in der Umgebung.
Gesamtzahl der erkannten Ereigniszugriffe: Die Anzahl der Anfragen, die sich auf das Ereignis beziehen.
Gesamter von der Aktion betroffener Traffic:
- Bei einer Deny-Aktion die Anzahl der abgelehnten Anfragen.
- Bei einer Flag-Aktion die Anzahl der gekennzeichneten Anfragen.
- Bei einer Allow-Aktion die Anzahl der zulässigen Anfragen.

Auf der Seite werden auch die folgenden Grafiken angezeigt:

Umgebungstraffic-Trends: Grafiken des erkannten Traffics, des gekennzeichneten Traffics und des gesamten Umgebungs-Traffics. Beachten Sie den Hinweis oben.
Top-Regeln
Top-Länder
Aktionsdetails

Attribute

Wählen Sie den Tab Attribute aus, um die Seite Attribute aufzurufen:

Auf der Seite Attribute werden Daten für die Sicherheitsaktion nach Attributen, auch als Dimensionen bezeichnet, angezeigt. Dies sind Gruppierungen der Daten, mit denen Sie die Sicherheitsaktionen auf verschiedene Weise ansehen können. Mit dem Attribut "API-Produkte" können Sie beispielsweise die Sicherheitsaktion nach API-Produkt anzeigen.

Die auf der Seite Attribute angezeigten Informationen ähneln der Ansicht Attribute für die Seite Details zum Vorfall bei Missbrauchserkennung.