Sicherheitsaktionen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Auf der Seite Sicherheitsaktionen können Sie Sicherheitsaktionen erstellen, die definieren, wie Apigee erkannten Traffic anhand der Informationen auf der Seite Missbrauchserkennung verarbeitet. Sie können beispielsweise eine Sicherheitsaktion erstellen, um Anfragen von einer IP-Adresse abzulehnen, die als Missbrauchsquelle identifiziert wurde. Wenn eine Anfrage von dieser Adresse empfangen wird, verhindert Apigee, dass sie Zugriff auf Ihre APIs erhält. Sie können auch eine Sicherheitsaktion erstellen, um Anfragen abzulehnen, die mit bestimmten Erkennungsregeln getaggt wurden.

Zusätzlich zu den Deny-Aktionen können Sie auch Flag-Aktionen erstellen, die Header zu erkannten Anfragen hinzufügen, oder Allow-Aktionen, die eine Deny-Aktion in bestimmten Fällen überschreiben. Siehe Sicherheitsaktionen.

Informationen zu den Rollen, die zum Ausführen von Sicherheitsaktionen erforderlich sind, finden Sie unter Erforderliche Rollen für Sicherheitsaktionen.

Damit Sie dieses Feature verwenden können, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Funktionsweise von Sicherheitsaktionen

Auf der Seite Sicherheitsaktionen können Sie Maßnahmen ergreifen, um Anfragen von bestimmten Clients explizit zuzulassen, abzulehnen oder zu melden. Apigee wendet diese Aktionen auf Anfragen an, bevor sie von Ihren API-Proxys verarbeitet werden. In der Regel führen Sie eine Aktion aus folgenden Gründen aus: eine Anfrage entspricht einem unerwünschten Muster oder (im Fall einer Allow-Aktion) Sie möchten eine Deny-Aktion für bestimmte IP-Adressen überschreiben.

Mit der Flag-Aktion werden Anfragen zwar an Ihre APIs übergeben, doch werden gekennzeichneten Anfragen bis zu fünf Header hinzugefügt, damit ihr Verhalten beobachtet werden kann.

Mit den Ansichten Missbrauchserkennung Erkannter Traffic oder Vorfall, in denen IP-Adressen angezeigt werden, die Quellen von Missbrauch sind, können Sie ermitteln, für welche Anfragen Aktionen ausgeführt werden sollen. Sie können Maßnahmen ergreifen, um Anfragen von diesen IP-Adressen zu blockieren.

Sicherheitsaktionen

Es gibt die folgenden Arten von Sicherheitsaktionen.

Aktion Beschreibung Rangfolge
Zulassen Ermöglicht bestimmte Anfragen, die andernfalls durch eine Deny-Aktion blockiert werden. Angenommen, Sie haben eine Sicherheitsaktion erstellt, um Traffic abzulehnen, der mit einer Erkennungsregel getaggt wurde. Sie können eine Allow-Aktion erstellen, um die Deny-Aktion für Anfragen von einer bestimmten vertrauenswürdigen IP-Adresse zu überschreiben. 1
Ablehnen Blockiert alle Anfragen, die die Bedingungen der Aktion erfüllen, z. B. von einer angegebenen IP-Adresse aus. Wenn Sie Anfragen ablehnen, antwortet Apigee dem Client mit einem Antwortcode, den Sie auswählen können. 2
Flag Sie können Anfragen mit einem Flag versehen, die die Bedingung der Aktion erfüllen, damit Ihre Backend-Dienste sie bearbeiten können. Wenn Sie die Anfragen eines Clients kennzeichnen, fügt Apigee der Anfrage bis zu fünf von Ihnen definierte Header hinzu. Ihre Backend-Dienste können die API-Aufrufe gemäß diesen Flags verarbeiten, z. B. indem sie die Aufrufe an einen anderen Ablauf weiterleiten. Mit der Flag-Aktion können Sie Ihre Backend-Dienste darüber informieren, dass ein API-Aufruf verdächtig ist. 3

Rangfolge

Wenn eine Anfrage die Bedingung mehrerer Sicherheitsaktionen erfüllt, bestimmt die Rangfolge der Aktionen, welche Aktion ausgeführt wird. Angenommen, eine Anfrage erfüllt die Bedingungen sowohl einer Allow- als auch einer Deny-Aktion. Da die Rangfolge einer Allow-Aktion 1 und die Rangfolge einer Deny-Aktion 2 ist, hat die Allow-Aktion Vorrang, sodass die Anfrage Zugriff auf die API erhält.

Sie können beispielsweise Anfragen von der IP-Adresse eines internen oder vertrauenswürdigen Clients zulassen, auch wenn diese Anfragen mit einer separaten Deny-Aktion übereinstimmen. Die Rangfolge sorgt dafür, dass eine Allow-Aktion für die vertrauenswürdige IP-Adresse jede Deny-Aktion überschreibt.

Proxyspezifische Sicherheitsaktionen

Eine Sicherheitsaktion kann auf alle Proxys in einer Umgebung oder nur auf einen bestimmten Proxy oder bestimmte Proxys in der Umgebung angewendet werden. Informationen zu Einschränkungen für proxyspezifische Sicherheitsaktionen finden Sie unter Einschränkungen bei Sicherheitsaktionen.

Einschränkungen bei Sicherheitsaktionen

Sicherheitsaktionen werden auf Ebene der Apigee-Umgebung erzwungen. Für jede Umgebung gelten bei Sicherheitsaktionen die folgenden Einschränkungen:

  • Es sind maximal 1.000 aktivierte Aktionen für eine Umgebung zulässig.
  • Sie können pro Aktion maximal 5 Flag-Header hinzufügen.
  • Proxyspezifische Sicherheitsaktionen unterstützen maximal 100 Proxys.
  • Proxyspezifische Sicherheitsaktionen werden in Apigee Hybrid derzeit nicht unterstützt.

Latenzen

Sicherheitsaktionen haben die folgenden Latenzen:

  • Wenn Sie eine Sicherheitsaktion erstellen, kann es bis zu 10 Minuten dauern, bis die Aktion wirksam wird. Nachdem eine Aktion wirksam und auf API-Traffic angewendet wurde, können Sie die Auswirkungen der Aktion auf der Seite Sicherheitsaktionsdetails sehen. Hinweis: Selbst wenn die Aktion wirksam wurde, können Sie dies nur auf der Seite mit den Details zu den Sicherheitsaktionen erkennen, wenn die Aktion auf einen Teil des API-Traffics angewendet wurde.
  • Bei aktivierten Sicherheitsaktionen erhöht sich die Antwortzeit von API-Proxys geringfügig (weniger als 2 %).

Seite Sicherheitsaktionen öffnen

So öffnen Sie die Seite Sicherheitsaktionen:

  1. Öffnen Sie die Apigee-UI in der Cloud Console.
  2. Wählen Sie Erweiterte API-Sicherheit > Sicherheitsaktionen aus.

Dadurch wird die Hauptseite für Sicherheitsaktionen wie unten dargestellt geöffnet:

Hauptseite der Sicherheitsaktionen.

Auf der Seite Sicherheitsaktionen können Sie folgende Aufgaben ausführen:

Die Seite Sicherheitsaktionen enthält eine Liste der Sicherheitsaktionen mit den folgenden Details:

  • Name: Der Name der Aktion.
  • Status: Der Status der Aktion, entweder Aktiviert, Pausiert oder Deaktiviert.
  • Aktion: Die Sicherheitsaktion.
  • Ablauf (UTC): Das Ablaufdatum der Aktion.
  • Zuletzt aktualisiert (UTC): Das Datum und die Uhrzeit der letzten Aktualisierung der Aktion.
  • Ein Dreipunkt-Menü, in dem Sie eine Sicherheitsaktion aktivieren oder deaktivieren können. Klicken Sie dazu auf das Menü in der Zeile für die Aktion und wählen Sie Aktivieren oder Deaktivieren aus. Deaktivierte Sicherheitsaktionen haben keine Auswirkungen auf API-Anfragen.

Sicherheitsaktion erstellen

In diesem Abschnitt wird erläutert, wie Sie eine Sicherheitsaktion erstellen. Nachdem Sie eine Sicherheitsaktion erstellt haben, kann sie aktuell nicht mehr gelöscht werden und ihre Einstellungen können nicht mehr geändert werden. Sie können die Aktion deaktivieren, um zu verhindern, dass sie erzwungen wird. Sie wird aber weiterhin in der Apigee-Benutzeroberfläche angezeigt.

So erstellen Sie eine neue Sicherheitsaktion:

  1. Klicken Sie oben auf der Seite Sicherheitsaktionen auf Erstellen, um das Dialogfeld Sicherheitsaktion erstellen zu öffnen, wie unten dargestellt.

    Ansicht „Sicherheitsaktion erstellen“.

  2. Geben Sie unter Allgemeine Einstellungen die folgenden Einstellungen ein:
    • Name: Der Name für die Sicherheitsaktion.
    • Beschreibung (optional): Eine kurze Beschreibung der Aktion.
    • Umgebung: Die Umgebung, in der Sie die Sicherheitsaktion erstellen möchten.
    • Proxys (optional): Die Proxys, auf die die Sicherheitsaktion angewendet werden soll. Begrenzen Sie die Proxyliste mit dem Feld Filter nach Name.
      • Lassen Sie das Feld Proxys leer, um die Sicherheitsaktion auf alle aktuellen und zukünftigen Proxys in der Umgebung anzuwenden.
      • Wählen Sie einzelne Proxys aus, um die Sicherheitsaktion nur auf diese Proxys anzuwenden, und nicht auf eventuelle neue Proxys, die der Umgebung später hinzugefügt werden.
      • Mit Alle auswählen können Sie alle aktuellen Proxys in der Umgebung auswählen. Später hinzugefügte Proxys werden nicht automatisch in die Regel aufgenommen.
    • Ablauf: das Datum und die Uhrzeit des Ablaufs der Aktion, falls vorhanden. Wählen Sie entweder Nie oder Benutzerdefiniert aus und geben Sie dann das gewünschte Datum und die Uhrzeit ein. Sie können auch die Zeitzone ändern.
  3. Klicken Sie auf Weiter, um den Abschnitt Regel wie unten dargestellt aufzurufen:

    Regeleinstellungen für eine Sicherheitsaktion.

    In diesem Abschnitt erstellen Sie die Regel für die Sicherheitsaktion. Geben Sie Folgendes ein:

    • Aktionstyp: Der Typ der Sicherheitsaktion. Folgende Optionen stehen zur Auswahl:
      • Allow: Die Anfrage ist zulässig.
      • Deny:: Die Anfrage wird abgelehnt. Wenn Sie Deny auswählen, können Sie auch den Antwortcode angeben, der zurückgegeben wird, wenn eine Anfrage abgelehnt wird. Folgende Optionen stehen zur Auswahl:
        • Vordefiniert: Wählen Sie einen HTTP-Code aus.
        • Benutzerdefiniert: Geben Sie einen Antwortcode ein.
      • Flag: Die Anfrage ist zulässig, wird aber mit einem speziellen HTTP-Header gekennzeichnet, nach dem ein Proxy suchen kann, um zu ermitteln, ob die Anfrage eine besondere Behandlung erfordert. Wenn Sie unter Header die Option Flag auswählen, können Sie auch Folgendes angeben, um den Header zu definieren:
        • Headername
        • Headerwert
    • Bedingungen: Die Bedingungen, unter denen die Sicherheitsaktion ausgeführt wird. Geben Sie unter Neue Bedingung Folgendes ein:
      • Bedingungstyp: Kann entweder Erkennungsregeln oder eines der folgenden Attribute sein:
        • IP-Adressen/CIDR-Bereiche, die gleichzeitig IP-Adressen und IPv4-CIDR-Bereiche enthalten können.
        • API-Schlüssel, einen oder mehrere API-Schlüssel.
        • API-Produkte, ein oder mehrere Apigee API-Produkte.
        • Zugriffstokens, ein oder mehrere Zugriffstoken.
        • Entwickler, eine oder mehrere E-Mail-Adressen von Apigee-Entwicklern.
        • Entwickler-Apps, eine oder mehrere Apigee-Entwickler-Apps.
        • User-Agents: Ein oder mehrere User-Agents.
        • HTTP-Methoden, HTTP-Methoden wie GET oder PUT.
        • Regionscodes, eine Liste der Regionscodes, auf die angewendet werden soll. Siehe ISO 3166-1-Alpha-2-Codes.
        • Autonome Systemnummern (ASNs), eine Liste von ASN-Nummern, auf die reagiert werden soll, z. B. "23". Siehe Autonomes System (Internet).
      • Werte: Geben Sie einen der folgenden Werte ein:
        • Wenn der Bedingungstyp Erkennungsregeln ist, wählen Sie einen Satz Erkennungsregeln aus, für die eine Anfrage ausgelöst worden sein muss, damit die Sicherheitsaktion angewendet wird.
        • Wenn der Bedingungstyp ein Attribut ist, geben Sie die Werte des Attributs ein, auf das die Sicherheitsaktion angewendet werden soll. Wenn das Attribut beispielsweise IP-Adressen/CIDR-Bereiche lautet, geben Sie die IP-Adressen der Quellen der Anfragen ein, auf die die Sicherheitsaktion angewendet werden soll. Sie können eine durch Kommas getrennte Liste mit IPv4- und IPv6-Adressen eingeben.
  4. Klicken Sie auf Erstellen, um die Sicherheitsaktion zu erstellen.

Alle aktivierten Aktionen pausieren

Wenn Sie alle aktivierten Sicherheitsaktionen pausieren möchten, klicken Sie auf der Seite Sicherheitsaktionen auf Aktivierte Aktionen pausieren. Wenn Sicherheitsaktionen pausiert werden, haben sie keine Auswirkungen auf API-Anfragen. Verwenden Sie diese Funktion, wenn Sie ein Problem mit allen Sicherheitsaktionen diagnostizieren möchten. Wenn Sie eine einzelne Sicherheitsaktion deaktivieren möchten, verwenden Sie das Dreipunkt-Menü in der Zeile für die Sicherheitsaktion.

Wenn Sie alle aktivierten Sicherheitsaktionen fortsetzen möchten, klicken Sie auf Pausierte Aktionen fortsetzen.

Details zur Sicherheitsaktion ansehen

Wenn Sie die aktuellen API-Traffic-Daten für eine Sicherheitsaktion ansehen möchten, wählen Sie auf der Hauptseite für Sicherheitsaktionen die Zeile für die Sicherheitsaktion aus. Daraufhin wird die Seite mit den Details der Sicherheitsaktion mit zwei Tabs angezeigt:

Übersicht

Wähle den Tab Übersicht aus, um die Seite Übersicht aufzurufen:

Detailseite der Sicherheitsaktionen.

Auf der Seite Übersicht werden Informationen zum letzten API-Traffic während des oben ausgewählten Zeitraums angezeigt: 12 Stunden, 1 Tag, 1 Woche oder 2 Wochen.

Auf der Seite werden die folgenden Trafficdaten angezeigt:

  • Aktionstyp: Der Typ der Aktion: "Deny", "Allow" oder "Flag".
  • Gesamter Umgebungs-Traffic: Die Gesamtzahl der Anfragen in der Umgebung.
  • Gesamtzahl der erkannten Ereigniszugriffe: Die Anzahl der Anfragen, die sich auf das Ereignis beziehen.
  • Gesamter von der Aktion betroffener Traffic:
    • Bei einer Deny-Aktion die Anzahl der abgelehnten Anfragen.
    • Bei einer Flag-Aktion die Anzahl der gekennzeichneten Anfragen.
    • Bei einer Allow-Aktion die Anzahl der zulässigen Anfragen.

Auf der Seite werden außerdem die folgenden Grafiken angezeigt:

  • Umgebungstraffic-Trends: Diagramme mit erkanntem Traffic, gemeldetem Traffic und dem gesamten Traffic in der Umgebung. Siehe Hinweis oben.
  • Top-Regeln
  • Top-Länder
  • Aktionsdetails

Attribute

Wählen Sie den Tab Attribute aus, um die Seite Attribute aufzurufen:

Seite mit den Details zu Sicherheitsaktionen, wobei „Attribute“ ausgewählt ist.

Auf der Seite Attribute werden Daten für die Sicherheitsaktion nach Attributen, auch als Dimensionen bezeichnet, angezeigt. Dies sind Gruppierungen der Daten, mit denen Sie die Sicherheitsaktionen auf verschiedene Weise ansehen können. Mit dem Attribut „API-Produkte“ können Sie beispielsweise die Sicherheitsaktionen nach API-Produkt anzeigen.

Die auf der Seite Attribute angezeigten Informationen ähneln der Ansicht Attribute für die Seite Details zum Vorfall bei Missbrauchserkennung.