Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
La pagina Azioni di sicurezza consente di creare azioni di sicurezza che definiscono il modo in cui Apigee gestisce il traffico rilevato, in base alle informazioni contenute nella pagina Rilevamento di abusi. Ad esempio, puoi creare un'azione di sicurezza per rifiutare le richieste provenienti da un indirizzo IP che è stato identificato come fonte di abuso. Quando viene ricevuta una richiesta da quell'indirizzo, Apigee gli impedisce di accedere alle tue API. Puoi anche creare un'azione di sicurezza per rifiutare le richieste codificate con regole di rilevamento specificate.
Oltre a negare le azioni, puoi anche creare azioni di segnalazione, che aggiungono intestazioni alle richieste rilevate, oppure azioni di autorizzazione, che sostituiscono un'azione di negazione in casi specifici. Vedi Azioni di sicurezza.
Consulta i ruoli richiesti per le azioni di sicurezza per i ruoli necessari per eseguire le attività relative alle azioni di sicurezza.
Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta la pagina Gestire la sicurezza delle API avanzata per le organizzazioni Subscription. Se sei un cliente con pagamento a consumo, puoi abilitare il componente aggiuntivo nei tuoi ambienti idonei. Per maggiori informazioni, consulta la pagina Gestire il componente aggiuntivo Advanced API Security.
Come funzionano le azioni di sicurezza
Nella pagina Azioni di sicurezza puoi intervenire per consentire, negare o segnalare in modo esplicito le richieste provenienti da client specifici. Apigee applica queste azioni alle richieste prima che i proxy API le elaborino. In genere, prendi provvedimenti perché le richieste sono conformi a pattern di comportamenti indesiderati o (nel caso dell'azione di autorizzazione) perché vuoi eseguire l'override di un'azione di negazione per indirizzi IP specifici.
L'azione di segnalazione consente alle richieste di passare alle tue API, ma aggiunge fino a cinque intestazioni alle richieste segnalate, in modo che tu possa monitorarle per osservarne il comportamento.
Per identificare le richieste su cui intervenire, puoi utilizzare le visualizzazioni Rilevamento di abusi Traffico rilevato o Incidenti, che mostrano gli indirizzi IP che sono fonti di comportamenti illeciti. Puoi intervenire per bloccare le richieste provenienti da questi indirizzi IP.
Azioni di sicurezza
Puoi eseguire i seguenti tipi di azioni di sicurezza.
| Azione | Descrizione | Ordine di precedenza |
|---|---|---|
| Consenti | Consente determinate richieste che altrimenti verrebbero bloccate da un'azione di negazione. Ad esempio, supponi di aver creato un'azione di sicurezza per negare il traffico contrassegnato con una regola di rilevamento. Puoi creare un'azione di autorizzazione per sostituire l'azione di negazione per le richieste provenienti da un indirizzo IP specifico che ritieni attendibile. | 1 |
| Nega | Blocca tutte le richieste che soddisfano le condizioni dell'azione, ad esempio quelle che hanno origine da un indirizzo IP specificato. Quando scegli di rifiutare le richieste, Apigee risponde al client con un codice di risposta a tua scelta. | 2 |
| Flag | Segnala le richieste che soddisfano la condizione dell'azione in modo che i servizi di backend possano intervenire. Quando segnali le richieste di un client, Apigee aggiunge alla richiesta fino a cinque intestazioni, da te definite. I servizi di backend possono elaborare le chiamate API in base a questi flag, ad esempio reindirizzando le chiamate a un flusso diverso. L'azione flag fornisce un modo per segnalare ai servizi di backend che una chiamata API è sospetta. | 3 |
Ordine di precedenza
Quando una richiesta soddisfa la condizione di più azioni di sicurezza, l'ordine di precedenza delle azioni determina quale azione viene eseguita. Ad esempio, supponiamo che una richiesta soddisfi le condizioni sia di un'azione di autorizzazione sia di un'azione di negazione. Poiché l'ordine di precedenza di un'azione di autorizzazione è 1 e l'ordine di precedenza di un'azione di negazione è 2, l'azione di autorizzazione ha la precedenza, pertanto alla richiesta è consentito l'accesso all'API.
Ad esempio, potresti voler consentire le richieste provenienti dall'indirizzo IP di un client interno o attendibile, anche se quelle richieste corrispondono a un'azione di negazione separata. L'ordine di precedenza garantisce che un'azione di autorizzazione per l'indirizzo IP attendibile sostituisca qualsiasi azione di negazione.
Limitazioni delle azioni di sicurezza
Le azioni di sicurezza vengono applicate a livello di ambiente Apigee. Per ogni ambiente, le azioni di sicurezza presentano le seguenti limitazioni:
- Sono consentite al massimo 1000 azioni abilitate per un ambiente in qualsiasi momento.
- Puoi aggiungere al massimo 5 intestazioni flag per ogni azione.
Latenze
Le azioni di sicurezza hanno le seguenti latenze:
- Quando crei un'azione di sicurezza, l'applicazione potrebbe richiedere fino a 10 minuti. Una volta che un'azione è stata applicata e ad una parte del traffico API, potrai visualizzarne gli effetti nella pagina Dettagli dell'azione di sicurezza. Nota: anche se l'azione è stata applicata, non potrai determinarlo dalla pagina dei dettagli dell'azione di sicurezza, a meno che l'azione non sia stata applicata a parte del traffico API.
- Le azioni di sicurezza abilitate comportano un piccolo aumento (meno del 2%) del tempo di risposta del proxy API.
Apri la pagina Azioni di sicurezza
Per aprire la pagina Azioni di sicurezza:
- Apri https://console.cloud.google.com/apigee.
- Seleziona Sicurezza API avanzata > Azioni di sicurezza.
Si apre la pagina Azioni di sicurezza principale, come mostrato di seguito:
Nella pagina Azioni di sicurezza puoi:
- Crea una nuova azione di sicurezza.
- Metti in pausa tutte le azioni di sicurezza attivate.
- Abilita o disabilita una singola azione di sicurezza utilizzando il menu con tre puntini nella riga corrispondente all'azione.
La pagina Azioni di sicurezza mostra un elenco di azioni di sicurezza, con i seguenti dettagli:
- Nome: il nome dell'azione.
- Stato: lo stato dell'azione, che può essere Attivata, In pausa o Disattivata.
- Azione: l'azione di sicurezza.
- Scadenza (UTC): la data di scadenza dell'azione.
- Ultimo aggiornamento (UTC): la data e l'ora dell'ultimo aggiornamento dell'azione.
- Un menu con tre puntini in cui puoi attivare o disattivare un'azione di sicurezza. Per farlo, fai clic sul menu nella riga relativa all'azione e seleziona Attiva o Disattiva. Le azioni di sicurezza disabilitate non influiscono sulle richieste API.
Crea un'azione di sicurezza
In questa sezione viene spiegato come creare un'azione di sicurezza. Tieni presente che, una volta creata, un'azione di sicurezza non può essere eliminata. Puoi disabilitare l'azione (per impedirne l'applicazione), ma verrà visualizzata nella UI di Apigee.
Per creare una nuova azione di sicurezza:
- Nella parte superiore della pagina Azioni di sicurezza, fai clic su Crea per aprire la finestra di dialogo Crea azione di sicurezza, come mostrato di seguito.
- In Impostazioni generali, inserisci le seguenti impostazioni:
- Nome:il nome dell'azione di sicurezza.
- Descrizione (facoltativa): una breve descrizione dell'azione.
- Ambiente: l'ambiente in cui vuoi creare l'azione di sicurezza.
- Scadenza: la data e l'ora di scadenza dell'azione, se presenti. Seleziona Mai o Personalizzata e inserisci la data e l'ora in cui vuoi che l'azione scada. Puoi anche modificare il fuso orario.
- Fai clic su Avanti per visualizzare la sezione Regola, come mostrato di seguito:
In questa sezione creerai la regola per l'azione di sicurezza. Inserisci quanto segue:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
- Allow (Consenti): la richiesta è consentita.
- Nega: la richiesta viene rifiutata. Se selezioni Rifiuta, puoi anche specificare il codice di risposta che viene restituito quando una richiesta viene rifiutata. Le opzioni possibili sono:
- Predefinito:seleziona un codice HTTP.
- Personalizzato: inserisci un codice di risposta.
- Flag: la richiesta è consentita, ma viene anche contrassegnata con un'intestazione HTTP speciale che un proxy cerca per determinare se la richiesta richiede una gestione speciale. Per definire l'intestazione, in Intestazioni. Se
selezioni Flag, puoi anche creare quanto segue in Intestazioni:
- Nome intestazione
- Valore intestazione
- Condizioni:le condizioni in base alle quali viene eseguita l'azione di sicurezza.
In Nuova condizione, inserisci quanto segue:
- Tipo di condizione: può essere Regole di rilevamento o uno dei seguenti
attributi:
- Indirizzi IP
- Chiavi API
- Prodotti API
- Token di accesso
- Sviluppatori
- App per sviluppatori
- User agent
- Valori:inserisci uno dei seguenti valori:
- Se il Tipo di condizione è Regole di rilevamento, seleziona un insieme di regole di rilevamento che deve essere stata attivata da una richiesta affinché venga applicata l'azione di sicurezza.
- Se Tipo di condizione è un attributo, inserisci i valori dell'attributo a cui vuoi applicare l'azione di sicurezza. Ad esempio, se l'attributo è indirizzi IP, inserisci gli indirizzi IP delle origini delle richieste a cui vuoi applicare l'azione di sicurezza. Puoi inserire un elenco separato da virgole di indirizzi IPv4 e IPv6.
- Tipo di condizione: può essere Regole di rilevamento o uno dei seguenti
attributi:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
- Fai clic su Crea per creare l'azione di sicurezza.
Metti in pausa tutte le azioni attivate
Per mettere in pausa tutte le azioni di sicurezza attivate, fai clic su Metti in pausa le azioni attivate nella parte superiore della pagina Azioni di sicurezza. Quando le azioni di sicurezza sono in pausa, non influiscono sulle richieste API. Utilizza questa funzionalità quando devi diagnosticare un problema con tutte le azioni di sicurezza. Per disattivare una singola azione di sicurezza, utilizza il menu con tre puntini nella riga corrispondente.
Per riprendere tutte le azioni di sicurezza attivate, fai clic su Riprendi azioni in pausa.
Visualizza i dettagli dell'azione di sicurezza
Per visualizzare i dati recenti sul traffico API relativi a un'azione di sicurezza, seleziona la riga relativa all'azione di sicurezza nella pagina principale Azioni di sicurezza. Viene visualizzata la pagina dei dettagli dell'azione di sicurezza, che ha due schede:
Panoramica
Seleziona la scheda Panoramica per visualizzare la pagina Panoramica:
Nella pagina Panoramica vengono visualizzate le informazioni sul traffico API recente durante il periodo di tempo selezionato nella parte superiore della pagina: 12 ore, 1 giorno, 1 settimana o 2 settimane.
Nella pagina vengono visualizzati i seguenti dati sul traffico:
- Tipo di azione: il tipo di azione: nega, consenti o segnala.
- Traffico totale dell'ambiente: il numero totale di richieste nell'ambiente.
- Traffico totale di eventi rilevati: il numero di richieste relative all'evento.
- Traffico totale interessato dall'azione:
- Per un'azione di negazione, il numero di richieste rifiutate.
- Per un'azione flag, il numero di richieste segnalate.
- Per un'azione di autorizzazione, il numero di richieste consentite.
Nella pagina vengono visualizzati anche i seguenti grafici:
- Tendenze del traffico ambientale: grafici relativi al traffico rilevato, al traffico segnalato e al traffico totale nell'ambiente. Vedi la nota riportata sopra.
- Regole principali
- Paesi principali
- Dettagli dell'azione
Attributi
Seleziona la scheda Attributi per visualizzare la pagina Attributi:
Nella pagina Attributi vengono visualizzati i dati relativi all'azione di sicurezza in base agli attributi, anche noti come dimensioni, che sono raggruppamenti di dati che ti consentono di visualizzare l'azione di sicurezza in diversi modi. Ad esempio, l'attributo prodotti API consente di visualizzare l'azione di sicurezza in base al prodotto API.
Le informazioni mostrate nella pagina Attributi sono simili alla visualizzazione Attributi per la pagina Dettagli incidente Rilevamento di abusi.