安全操作概览与界面

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

借助 Advanced API Security 安全操作功能,您可以配置安全操作来定义 Apigee 处理流量的方式。例如,您可以创建一个安全操作来拒绝来自被滥用行为检测功能识别为滥用行为来源的 IP 地址的请求,并阻止这些 IP 地址访问您的 API。

如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件

本页简要介绍了安全操作功能,以及如何通过 Cloud 控制台中的 Apigee 界面使用该功能。您还可以使用 Security actions API 或通过 Terraform 来管理安全操作。

另外,如需了解执行安全操作任务所需的角色,请参阅安全操作所需的角色

安全操作的运作方式

借助安全操作,您可以根据特定条件明确允许、拒绝或标记请求。Apigee 会在 API 代理处理请求之前,对请求执行这些操作。通常,您采取措施是因为请求符合不良行为模式,或者(对于“允许”操作)是因为您要替换特定流量的拒绝操作。

标记操作允许将请求传递给您的 API,但会向标记的请求添加多达五个标头,以便您跟踪这些请求并观察其行为。

如需确定要针对哪些请求采取措施,您可以查看滥用行为检测功能检测到的流量或查看突发事件视图,其中显示了被确定为滥用行为来源的 IP 地址和 API 密钥。

安全操作

您可以执行以下类型的安全操作。

操作类型 说明 优先顺序
允许 允许某些本应被拒绝操作阻止的请求。例如,假设您创建了一个安全操作来拒绝已标记符合某一检测规则的流量。您可以创建一个允许操作,以便针对满足某些特定条件的请求替换其拒绝操作。 1
拒绝 屏蔽满足操作条件的所有请求,例如,从指定 IP 地址发出的请求。如果您选择拒绝请求,Apigee 会使用您选择的响应代码向客户端发出响应。 2
标记 标记符合指定条件的请求,以便您的后端服务相应对其执行操作。当您为客户端请求标记时,Apigee 会向请求添加最多五个您定义的标头。您的后端服务可以根据这些标记处理 API 调用,例如将调用重定向到其他流。标记操作提供了一种方法,可向您的后端服务发出 API 调用可疑的信号。 3

优先顺序

如果某个请求满足多项安全操作的条件,则操作的优先级顺序决定执行哪项操作。例如,假设某个请求同时满足允许操作和拒绝操作的条件。由于允许操作的优先级顺序为 1,拒绝操作的优先级顺序为 2,允许操作优先级更高,因此允许请求访问 API。

例如,您可能希望允许来自内部或受信任客户端的 IP 地址的请求,即使这些请求匹配了单独的拒绝操作。优先级顺序可确保针对受信任 IP 地址的允许操作会替换任何拒绝操作。

特定于代理的安全操作

安全操作可以应用于环境中的所有代理,也可以仅应用于环境中的特定代理。如需了解代理专属安全操作的限制,请参阅安全操作的限制

安全操作状态

每项安全操作都有一个状态:

  • 已启用:安全操作处于活跃状态,只要未过期,就会影响 API 请求。
  • 已停用:安全操作处于非活跃状态,不会影响 API 请求。
  • 已暂停:安全操作处于非活跃状态,不会影响 API 请求。

安全操作的限制

安全操作在 Apigee 环境级层强制执行。对于每个环境,安全操作具有以下限制:

  • 在任意时间,一个环境最多允许 1,000 个已启用的操作。已启用的操作即便已过期也会计入此限额。
  • 您最多可以为每个操作添加 5 个标志标头。
  • 代理专属安全操作最多支持 100 个代理。
  • Apigee Hybrid 目前不支持代理专属安全操作。
  • 不支持多个同名的安全操作。如果快速连续创建多个操作,可能会创建多个同名操作。在这种情况下,只有具有该名称的最新操作有效。

延迟时间

安全操作有以下延迟时间:

  • 创建、修改或删除安全操作时,相应更改最多可能需要 10 分钟才能生效。在新操作生效并应用于某些 API 流量后,您可以在安全操作详情页面中查看操作的效果。注意:除非操作已应用于某些 API 流量,否则您无法在“安全操作详情”页面中确定操作是否已生效。
  • 已启用的安全操作会略微增加 API 代理响应时间(少于 2%)。

在界面中管理安全操作

本部分介绍如何使用 Cloud 控制台中的 Apigee 界面中的安全操作页面。您还可以使用 Security actions API 来管理安全操作。

打开安全操作页面

如需打开安全操作页面,请执行以下操作:

在 Google Cloud 控制台中,依次前往 Advanced API Security > 安全操作页面。

前往“安全操作”

系统会打开安全操作主页面:

安全操作主页面。

安全操作页面中,您可以:

安全操作页面会显示安全操作列表,其中包含以下详细信息:

  • 名称:安全操作的名称。点击名称可查看操作详情。
  • 状态:操作的状态。请参阅安全操作状态
  • 操作安全操作类型。
  • 失效日期 (UTC):操作的失效日期。
  • 上次更新时间 (UTC):上次更新操作的日期和时间。
  • 一个三点状菜单,您可以通过该菜单修改、停用、启用或删除操作。

创建或修改安全操作

本部分介绍如何创建或修改安全操作。请注意,安全操作名称或环境一经创建便无法更改。

如需创建或修改安全操作,请执行以下操作:

  1. 打开安全操作页面
  2. 如需创建新的安全操作,请点击页面顶部的创建。如需修改现有安全操作,请点击操作列表中的相应操作对应的三点状菜单中的“修改”,或者选择相应操作,然后选择页面顶部的修改
  3. 常规设置下,输入或修改以下设置:
    • 名称:安全操作的名称。
    • 说明(可选):该操作的简要说明。
    • 环境:要在其中创建安全操作的环境。
    • 代理(可选):您要将安全操作应用到的代理。使用过滤字段按名称限制代理列表。
      • 如需将安全操作应用于环境中当前和未来的所有代理,请将代理字段留空。
      • 选择单个代理,以便仅将安全操作应用于这些代理,而不管以后向环境添加了哪些新代理。
      • 使用全选可选择环境中的所有当前代理。日后添加的任何代理都不会自动包含在规则中。
    • 到期时间:操作的到期日期和时间(如果有)。选择从不自定义,然后输入您希望操作到期的时间和日期。您还可以修改时区。

    创建安全操作视图。

  4. 点击下一步,以显示规则部分。在此部分中,输入或修改以下内容:
    • 操作类型安全操作的类型:
      • 允许:请求已获准。
      • 拒绝:请求遭拒。如果您选择拒绝,还可以指定在请求遭拒时返回的响应代码。可以使用以下选项之一:
        • 预定义:选择 HTTP 代码。
        • 自定义:输入响应代码。
      • 标记:请求是允许的,但也带有代理查找以确定请求是否需要特殊处理的特殊 HTTP 标头。如果您选择标志,还可以在标头下方创建以下内容:
        • 标头名称
        • 标头值
    • 条件:执行安全操作的条件。在新建条件下,输入以下内容:
      • 条件类型:可以是检测规则或以下属性之一:
        • IP 地址/CIDR 范围,可以同时包含 IP 地址和 IPv4 CIDR 范围。
        • API 密钥,一个或多个 API 密钥。
        • API 产品,一个或多个 Apigee API 产品。
        • 访问令牌,一个或多个访问令牌。
        • 开发者:一个或多个 Apigee 开发者电子邮件地址。
        • 开发者应用,一个或多个 Apigee 开发者应用。
        • 用户代理,一个或多个用户代理。
        • HTTP 方法HTTP 方法,例如 GET 或 PUT。
        • 区域代码:要处理的区域代码列表。请参阅 ISO 3166-1 alpha-2 代码
        • 自治系统编号 (ASN),要处理的 ASN 编号列表,例如“23”。请参阅自治系统(互联网)
      • :输入以下值之一:
        • 如果条件类型检测规则,请选择请求必须触发的一组检测规则才能对其应用安全操作。
        • 如果条件类型是属性,请输入您要应用安全操作的属性的值。例如,如果属性为 IP 地址/CIDR 范围,请输入要应用安全操作的请求的来源 IP 地址。 您可以输入以英文逗号分隔的 IPv4 和 IPv6 地址列表。
  5. 点击创建以创建安全操作。

启用、停用、暂停或删除安全操作

本部分介绍如何从安全操作页面更改安全操作的状态。如需了解每种状态类型及其对 API 请求操作的影响,请参阅安全操作状态

您可以采取以下操作来更改状态:

  • 如需停用活跃安全操作,请执行以下任一操作:点击相应操作所在行的三点状菜单,然后选择停用;或者点击相应安全操作的名称,然后点击页面顶部的停用
  • 如需启用安全操作,请执行以下任一操作:点击相应操作所在行的三点状菜单,然后选择启用;或者点击相应安全操作的名称,然后点击页面顶部的启用
  • 如需暂停所有活跃安全操作以暂时停用它们,请点击安全操作列表页面顶部的暂停已启用的操作。如需恢复所有已暂停的操作,请点击页面顶部的恢复已暂停的操作

您还可以删除安全操作。删除后,系统会将其从您的配置中永久移除。如需删除安全操作,请点击相应操作所在行的三点状菜单,然后选择删除;或者点击相应安全操作的名称,然后点击页面顶部的删除

查看安全操作详情

如需查看与安全操作相关的近期 API 流量数据,请在“安全操作”主页面中点击相应安全操作的名称。此时将显示“安全操作详情”页面,其中包含两个标签页:概览属性

概览

选择概览标签页以显示概览页面:

安全操作详情页面。

概览页面会显示您在页面顶部选择的时间段(12 小时、1 天、1 周或 2 周)内的近期 API 流量信息。

该页面会显示以下流量数据:

  • 操作类型:拒绝、允许或标记。如需了解操作类型,请参阅安全操作
  • 环境流量总数:环境中的请求总数。
  • 检测到的事件流量总数:环境中“检测到”(触发了滥用行为规则)的请求数。
  • 受此操作影响的总流量:
    • 对于拒绝操作,为拒绝请求的数量。
    • 对于标志操作,为标记请求的数量。
    • 对于允许操作,为允许请求的数量。

该页面还会显示以下图表:

  • 环境流量趋势:检测到的流量、标记的流量和环境流量总量图表。此图仅限于涵盖观察到的所有流量的最近时段。该时段可能比您选择的时段要短。
  • 顶部规则
  • 热门国家/地区
  • 操作详情

属性

选择属性标签页以显示属性页面。

属性页面按属性(也称为维度)显示安全操作的数据,这些数据可让您通过不同方式查看安全操作。例如,API 产品属性使您可以按 API 产品查看安全操作。

属性页面中显示的信息与滥用行为检测功能的突发事件详情属性属性视图类似。