Questa pagina è stata tradotta dall'API Cloud Translation.

Azioni di sicurezza

Questa pagina si applica a Apigee e Apigee ibridi.

Visualizza documentazione di Apigee Edge.

La pagina Azioni di sicurezza ti consente di creare azioni di sicurezza che definiscono il modo in cui Apigee gestisce rilevato il traffico, in base alle informazioni del rilevamento di abusi . Ad esempio, puoi creare un'etichetta di sicurezza per rifiutare le richieste provenienti da un indirizzo IP che è stato identificato come fonte di comportamento illecito. Quando una richiesta inviata da quell'indirizzo, Apigee gli impedisce di accedere alle tue API. Puoi anche creare un'azione di sicurezza per di negare le richieste codificate con regole di rilevamento.

Oltre a negare le azioni, puoi anche creare azioni di segnalazione, che Aggiungi intestazioni alle richieste rilevate o consenti azioni, che eseguono l'override di un'azione di negazione. in casi specifici. Vedi Azioni di sicurezza.

Vedi Ruoli richiesti per le azioni di sicurezza per i ruoli necessari a eseguire attività relative alle azioni di sicurezza.

Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se sei un cliente Subscription, puoi attivare per la tua organizzazione. Vedi Per maggiori dettagli, gestisci la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.

Come funzionano le azioni relative alla sicurezza

Nella pagina Azioni di sicurezza puoi intervenire per consentire esplicitamente, per rifiutare o contrassegnare le richieste da client specifici. Apigee applica queste azioni alle richieste prima I proxy API li elaborano. Di solito si interviene perché le richieste sono conformi ai pattern di comportamenti indesiderati o (nel caso dell'azione di autorizzazione) perché vuoi eseguire l'override di un'azione di negazione per indirizzi IP specifici.

L'azione del flag consente alle richieste di passare alle API, ma aggiunge fino a cinque intestazioni richieste segnalate, in modo da monitorarle per osservare il loro comportamento.

Per identificare su quali richieste prendere provvedimenti, puoi utilizzare la funzionalità Rilevamento di abusi. Rilevata traffico o incidente , che mostrano gli indirizzi IP che sono fonte di abusi. Puoi agire per bloccare le richieste provenienti da questi indirizzi IP.

Azioni di sicurezza

Puoi eseguire i seguenti tipi di azioni relative alla sicurezza.

Azione	Descrizione	Ordine di precedenza
Consenti	Consente determinate richieste che altrimenti verrebbero bloccate da un'azione di negazione. Ad esempio, supponiamo che tu abbia creato un'azione di sicurezza per rifiutare il traffico con tag una regola di rilevamento. Puoi creare un'azione di autorizzazione per sostituire l'azione di negazione per le richieste da un indirizzo IP specifico che ritieni attendibile.	1
Rifiuta	Blocca tutte le richieste che soddisfano le condizioni dell'azione, ad esempio l'origine a un indirizzo IP specificato. Quando scegli di rifiutare le richieste, Apigee risponde al client con un codice di risposta a tua scelta.	2
Bandiera	Segnala le richieste che soddisfano la condizione dell'azione, in modo che i servizi di backend possono intervenire. Quando contrassegni le richieste di un client, Apigee aggiunge fino a cinque intestazioni, definite da te, alla richiesta. I tuoi servizi di backend possono elaborare le chiamate API in base a questi flag, ad esempio ad esempio reindirizzando le chiamate a un flusso diverso. L'azione di segnalazione fornisce un modo per segnalare ai servizi di backend che una chiamata API è sospetta.	3

Ordine di precedenza

Quando una richiesta soddisfa la condizione di più azioni di sicurezza, la precedenza dell'ordine delle azioni determina quale azione viene eseguita. Ad esempio, supponiamo che una richiesta soddisfi le condizioni di un'azione di autorizzazione e di negazione. Poiché l'ordine di precedenza un'azione di autorizzazione è 1 e l'ordine di precedenza di un'azione di negazione è 2, l'azione di autorizzazione la precedenza, in modo che alla richiesta sia consentito l'accesso all'API.

Ad esempio, potresti consentire le richieste provenienti dall'indirizzo IP di un server interno o attendibile del client, anche se queste richieste corrispondono a un'azione di negazione separata. L'ordine di precedenza assicura che un'azione di autorizzazione per l'indirizzo IP attendibile sostituirà qualsiasi azione di negazione.

Limitazioni delle azioni di sicurezza

Le azioni di sicurezza vengono applicate a livello di ambiente Apigee. Per ogni ambiente, le azioni di sicurezza presentano le seguenti limitazioni:

Sono consentite al massimo 1000 azioni abilitate per un ambiente in qualsiasi momento.
Puoi aggiungere al massimo cinque intestazioni per ogni azione.

Latenze

Le azioni di sicurezza hanno le seguenti latenze:

Quando crei un'azione di sicurezza, l'operazione può richiedere fino a 10 minuti affinché l'azione abbia effetto. Quando un'azione è diventata effettiva ed applicata ad alcune API, potrai visualizzare gli effetti dell'azione nella Pagina dei dettagli dell'azione di sicurezza. Nota: Anche se l'azione è stata applicata, non potrai stabilirlo Pagina dei dettagli dell'azione di sicurezza, a meno che l'azione non sia stata applicata a una parte del traffico API.
Le azioni di sicurezza abilitate comportano un piccolo aumento (meno del 2%) del tempo di risposta del proxy API.

Apri la pagina Azioni di sicurezza

Per aprire la pagina Azioni di sicurezza:

Apri l'UI di Apigee nella console Cloud.
Seleziona Advanced API Security > (Sicurezza avanzata delle API) > Azioni di sicurezza.

Si apre la pagina principale Azioni di sicurezza, come mostrato di seguito:

Pagina principale delle azioni di sicurezza.

Nella pagina Azioni di sicurezza puoi:

Crea una nuova azione di sicurezza.
Metti in pausa tutte le azioni di sicurezza attivate.
Attiva o disattiva una singola azione di sicurezza utilizzando il menu con tre puntini nella riga per l'azione.

La pagina Azioni di sicurezza mostra un elenco di azioni di sicurezza, con le seguenti dettagli:

Nome: il nome dell'azione.
Stato: lo stato dell'azione, che può essere Attivata, In pausa o Disattivato.
Azione: l'azione di sicurezza.
Scadenza (UTC): la data di scadenza dell'azione.
Ultimo aggiornamento (UTC): la data e l'ora dell'ultimo aggiornamento dell'azione.
Un menu con tre puntini in cui puoi attivare o disattivare un'azione di sicurezza. Per farlo, fai clic sul menu nella riga corrispondente all'azione e seleziona Attiva o Disattiva. Azioni di sicurezza disattivate non influiscono sulle richieste API.

Crea un'azione di sicurezza

Questa sezione spiega come creare un'azione di sicurezza. Una volta creata un'immagine di sicurezza, all'azione, non può l'eliminazione. Puoi disabilitare l'azione (per impedirne l'applicazione forzata), ma verrà visualizzata nella UI di Apigee.

Per creare una nuova azione di sicurezza:

Nella parte superiore della pagina Azioni di sicurezza, fai clic su Crea per aprire lo Finestra di dialogo Crea azione di sicurezza, come mostrato di seguito.
In Impostazioni generali, inserisci le seguenti impostazioni:
- Nome:un nome per l'azione di sicurezza.
- Descrizione (facoltativa): una breve descrizione dell'azione.
- Ambiente: l'ambiente in cui vuoi creare l'azione di sicurezza.
- Scadenza: la data e l'ora di scadenza dell'azione, se presente. Seleziona una delle due opzioni Mai oppure Personalizzato, quindi inserisci la data e l'ora in cui vuoi che l'azione scada. Puoi modificare anche il fuso orario.
Fai clic su Avanti per visualizzare la sezione Regola, come mostrato di seguito:

In questa sezione creerai la regola per l'azione di sicurezza. Inserisci quanto segue:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
  - Allow: la richiesta è consentita.
  - Nega: la richiesta viene rifiutata. Se selezioni Rifiuta, puoi anche specificare Il codice di risposta che viene restituito quando la richiesta viene rifiutata. Le opzioni possibili sono:
    - Predefinito:seleziona un codice HTTP.
    - Personalizzato:inserisci un codice di risposta.
  - Flag:la richiesta è consentita, ma è anche contrassegnata con un'intestazione HTTP speciale che un proxy cerca per determinare se la richiesta richiede una gestione speciale. A definisci l'intestazione, in Intestazioni Se selezioni Segnala, puoi anche creare quanto segue in Intestazioni:
    - Nome intestazione
    - Valore intestazione
- Condizioni:le condizioni in cui viene eseguita l'azione di sicurezza. In Nuova condizione, inserisci quanto segue:
  - Tipo di condizione:può essere Regole di rilevamento o uno dei seguenti attributi:
    - Indirizzi IP/intervalli CIDR, che possono includere indirizzi IP e CIDR IPv4 contemporaneamente.
    - Chiavi API: una o più chiavi API.
    - Prodotti API, uno o più prodotti API Apigee.
    - Token di accesso, uno o più token di accesso.
    - Sviluppatori, uno o più indirizzi email di sviluppatori Apigee.
    - App per sviluppatori, una o più app per sviluppatori Apigee.
    - User agent, uno o più user agent.
    - metodi HTTP, Metodi HTTP come GET o PUT.
    - Codici regione, un elenco di codici regione su cui agire. Consulta Codici ISO 3166-1 alpha-2.
    - Numero di sistema autonomo (ASN), un elenco di numeri ASN su cui agire ad esempio "23". Consulta Sistema autonomo (Internet).
    Note:
    - Per i tipi di condizione Regole di rilevamento e indirizzi IP/intervalli CIDR, puoi creare al massimo due condizioni con questi tipi. Per qualsiasi altro tipo di condizione, puoi creare al massimo una condizione.
    - Per utilizzare qualsiasi attributo elencato in precedenza, diverso da Per le regole di rilevamento o gli indirizzi IP, devi aggiungere il valore Verifica o il criterio relativo alle chiavi API criterio OAuthV2. Consulta Come funzionano le chiavi API per saperne di più.
    - Queste condizioni sono disponibili in Apigee hybrid nella versione 1.12 e successive: chiavi, prodotti API, token di accesso, sviluppatori, app per sviluppatori, user agent.
    - Queste condizioni non sono al momento disponibili in Apigee hybrid: numeri di sistema, metodi HTTP, codici regionali.
    - Gli intervalli CIDR per indirizzi IP/intervalli CIDR non sono disponibili in Apigee hybrid al momento nel tempo.
  - Valori:inserisci uno dei seguenti valori:
    - Se Tipo di condizione è Regole di rilevamento, seleziona un insieme di regole di rilevamento che deve essere stata attivata da una richiesta affinché l'azione di sicurezza venga applicata.
    - Se Tipo di condizione è un attributo, inserisci i valori dell'attributo a cui vuoi applicare l'azione di sicurezza. Ad esempio, se l'attributo è Indirizzi IP/intervalli CIDR, inserisci gli indirizzi IP del delle richieste a cui vuoi applicare l'azione di sicurezza. Puoi inserire un elenco separato da virgole di indirizzi IPv4 e IPv6.
Fai clic su Crea per creare l'azione di sicurezza.

Metti in pausa tutte le azioni attivate

Per mettere in pausa tutte le azioni di sicurezza attivate, fai clic su Metti in pausa le azioni abilitate nel nella parte superiore della pagina Azioni di sicurezza. Quando le azioni di sicurezza sono in pausa, non influiscono sulle richieste API. Usa questa quando devi diagnosticare un problema con tutte le azioni di sicurezza. Per disattivare un singolo utente usa il menu con tre puntini nella riga per l'azione di sicurezza.

Per ripristinare tutte le azioni di sicurezza attivate, fai clic su Riprendi azioni in pausa.

Visualizza i dettagli dell'azione di sicurezza

Per visualizzare i dati recenti sul traffico dell'API relativi a un'azione di sicurezza, seleziona la riga relativa al token di sicurezza nella schermata principale pagina delle azioni. Viene visualizzata la pagina dei dettagli dell'azione Sicurezza, che contiene due schede:

Panoramica
Attributi

Panoramica

Seleziona la scheda Panoramica per visualizzare la pagina Panoramica:

Pagina dei dettagli delle azioni di sicurezza.

La pagina Panoramica mostra informazioni sul traffico recente dell'API. durante il periodo di tempo selezionato in alto nella pagina: 12 ore, 1 giorno, 1 settimana o 2 settimane.

Nella pagina vengono visualizzati i seguenti dati sul traffico:

Tipo di azione: il tipo di azione: negazione, autorizzazione o flag.
Traffico totale nell'ambiente: il numero totale di richieste nell'ambiente.
Traffico totale di eventi rilevati:il numero di richieste correlate all'evento.
Traffico totale interessato dall'azione:
- Per un'azione di negazione, il numero di richieste rifiutate.
- Per un'azione di segnalazione, il numero di richieste segnalate.
- Per un'azione di autorizzazione, il numero di richieste consentite.

Nella pagina vengono visualizzati anche i seguenti grafici:

Tendenze del traffico ambientale: grafici del traffico rilevato, del traffico segnalato e del traffico totale dell'ambiente. Vedi la nota riportata sopra.
Regole principali
Paesi principali
Dettagli dell'azione

Attributi

Seleziona la scheda Attributi per visualizzare la pagina Attributi:

Nella pagina Attributi vengono visualizzati i dati relativi all'azione di sicurezza per attributes, noti anche come dimensioni: ovvero raggruppamenti di dati che ti consentono di visualizzare misure di sicurezza in vari modi. Ad esempio, l'attributo prodotti API consente di visualizzare un'azione di sicurezza per prodotto API.

Le informazioni riportate nella pagina Attributi sono simili alla visualizzazione Attributi per il rilevamento degli abusi Pagina Dettagli incidente.