Se usó la API de Cloud Translation para traducir esta página.

Descripción general de la IU y las acciones de seguridad

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Las acciones de seguridad avanzadas de seguridad de APIs te permiten configurar acciones de seguridad que definen cómo Apigee maneja el tráfico. Por ejemplo, puedes crear una acción de seguridad para rechazar solicitudes de una dirección IP que la Detección de abusos identificó como abusiva y bloquear su acceso a tus APIs.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

En esta página, se proporciona una descripción general de la funcionalidad de acciones de seguridad y cómo usarla desde la IU de Apigee en la consola de Cloud. También puedes administrar las acciones de seguridad con la API de Security actions o a través de Terraform.

Consulta también Roles obligatorios para las acciones de seguridad para conocer los roles necesarios para realizar tareas de acciones de seguridad.

Cómo funcionan las acciones de seguridad

Con las acciones de seguridad, puedes permitir, rechazar o marcar solicitudes de forma explícita según condiciones específicas. Apigee aplica estas acciones a las solicitudes antes de que los proxies de API las procesen. Por lo general, debes tomar medidas porque las solicitudes se ajustan a patrones de comportamiento no deseado o (en el caso de la acción de permiso) porque deseas anular una acción de denegación para tráfico específico.

La acción de marca permite que las solicitudes pasen a tus API, pero agrega hasta cinco encabezados a las solicitudes marcadas para que puedas realizar un seguimiento de ellas y observar su comportamiento.

Una forma de identificar las solicitudes en las que se deben tomar medidas es usar las vistas Detección de abuso, Tráfico detectado o Incidente, que muestran las direcciones IP y las claves de API que son fuentes de abuso.

Acciones de seguridad

Puedes realizar los siguientes tipos de acciones de seguridad.

Tipo de acción	Descripción	Orden de prioridad
Permitir	Permite ciertas solicitudes que, de lo contrario, estarían bloqueadas por una acción de denegación. Por ejemplo, supongamos que creaste una acción de seguridad para rechazar el tráfico que se etiquetó con una regla de detección. Puedes crear una acción de permiso para anular la acción de denegación de las solicitudes con algunas condiciones específicas.	1
Rechazar	Bloquea todas las solicitudes que cumplen con las condiciones de la acción, por ejemplo, que se originan en una dirección IP especificada. Cuando eliges denegar solicitudes, Apigee responde al cliente con un código de respuesta que puedes elegir.	2
Marcar	Marca las solicitudes que cumplen con la condición especificada para que tus servicios de backend puedan realizar acciones en ellas. Cuando marcas las solicitudes de un cliente, Apigee agrega hasta cinco encabezados, que defines a la solicitud. Los servicios de backend pueden procesar las llamadas a la API de acuerdo con estas marcas, por ejemplo, mediante el redireccionamiento de las llamadas a un flujo diferente. La acción de marca proporciona una forma de indicar a tus servicios de backend que una llamada a la API es sospechosa.	3

Orden de prioridad

Cuando una solicitud cumple con la condición de más de una acción de seguridad, el orden de prioridad de las acciones determina qué acción se realiza. Por ejemplo, supongamos que una solicitud cumple con las condiciones de una acción de permiso y de denegación. Dado que el orden de prioridad de una acción de permiso es 1 y el orden de prioridad de una acción de denegación es 2, la acción de permiso tiene prioridad, por lo que la solicitud tiene acceso a la API.

Por ejemplo, es posible que desees permitir las solicitudes de la dirección IP de un cliente interno o de confianza, incluso si esas solicitudes coincidieron con una acción de denegación separada. El orden de prioridad garantiza que una acción de permiso para la dirección IP de confianza anule cualquier acción de denegación.

Acciones de seguridad específicas del proxy

Una acción de seguridad se puede aplicar a todos los proxies de un entorno o solo a un proxy o proxies específicos dentro del entorno. Consulta Limitaciones de las acciones de seguridad para conocer las limitaciones de las acciones de seguridad específicas del proxy.

Estados de las acciones de seguridad

Cada acción de seguridad tiene un estado:

Habilitada: La acción de seguridad está activa y afecta las solicitudes a la API siempre que no haya vencido.
Inhabilitada: La acción de seguridad está inactiva y no afecta las solicitudes a la API.
Pausada: La acción de seguridad está inactiva y no afecta las solicitudes a la API.

Limitaciones de las acciones de seguridad

Las acciones de seguridad se aplican a nivel de entorno de Apigee. Para cada entorno, las acciones de seguridad tienen las siguientes limitaciones:

Se permiten como máximo 1,000 acciones habilitadas para un entorno en cualquier momento. Las acciones habilitadas que también vencieron se consideran en este límite.
Puedes agregar como máximo 5 encabezados de marca para cada acción.
Las acciones de seguridad específicas del proxy admiten un máximo de 100 proxies.
Por el momento, las acciones de seguridad específicas del proxy no son compatibles con Apigee Hybrid.
No se admiten varias acciones de seguridad con el mismo nombre. Es posible que se creen varias acciones con el mismo nombre si se crean varias acciones en rápida sucesión. En ese caso, solo la acción más reciente con ese nombre es efectiva.

Latencias

Las acciones de seguridad tienen las siguientes latencias:

Cuando creas, editas o borras una acción de seguridad, el cambio puede tardar hasta 10 minutos en aplicarse. Una vez que se aplique una acción nueva y se aplique a algo de tráfico de la API, podrás ver los efectos de la acción en la página Detalles de la acción de seguridad. Nota: No es posible determinar si una acción entró en vigencia en la página Detalles de la acción de seguridad, a menos que la acción se haya aplicado a un tráfico de API.
Las acciones de seguridad habilitadas generan un pequeño aumento (menos del 2%) en el tiempo de respuesta del proxy de API.

Administra las acciones de seguridad en la IU

En esta sección, se describe cómo usar la página Acciones de seguridad en la IU de Apigee en la consola de Cloud. También puedes administrar las acciones de seguridad con la API de Security actions.

Abre la página Acciones de seguridad.

Para abrir la página Acciones de seguridad, haz lo siguiente:

En la consola de Google Cloud , ve a la página Advanced API security > Security actions.

Ir a Acciones de seguridad

Se abrirá la página principal Acciones de seguridad:

Página principal de acciones de seguridad.

En la página Acciones de seguridad, puedes hacer lo siguiente:

Crea una acción de seguridad nueva.
Edita una acción de seguridad existente.
Habilita o inhabilita las acciones de seguridad.
Pausa todas las acciones de seguridad habilitadas o algunas de ellas.
Borrar acciones de seguridad

En la página Acciones de seguridad, se muestra una lista de acciones de seguridad con los siguientes detalles:

Nombre: Es el nombre de la acción de seguridad. Haz clic en el nombre para ver los detalles de la acción.
Estado: Es el estado de la acción. Consulta Estados de las acciones de seguridad.
Acción: Es el tipo de acción de seguridad.
Vencimiento (UTC) (Expiration) es la fecha de vencimiento de la acción.
Última actualización (UTC): La última fecha y hora en que se actualizó la acción.
Un menú de tres puntos en el que puedes editar, inhabilitar, habilitar o borrar la acción.

Crea o edita una acción de seguridad

En esta sección, se explica cómo crear o editar una acción de seguridad. Ten en cuenta que no puedes cambiar el nombre de la acción de seguridad ni el entorno una vez que los creaste.

Para crear o editar una acción de seguridad, sigue estos pasos:

Abre la página Acciones de seguridad.
Para crear una acción de seguridad nueva, haz clic en Crear en la parte superior de la página. Para editar una acción de seguridad existente, haz clic en Editar en el menú de tres puntos de esa acción en la lista de acciones o selecciona la acción y, luego, Editar en la parte superior de la página.
En Configuración general, ingresa o edita los siguientes parámetros de configuración:
- Nombre: Un nombre para la acción de seguridad.
- Descripción (opcional): Es una descripción breve de la acción.
- Entorno: Es el entorno en el que deseas crear la acción de seguridad.
- Proxies (opcional): Son los proxies a los que deseas que se aplique la acción de seguridad. Limita la lista de proxies por nombre con el campo Filtro.
  - Deja el campo Proxies vacío para aplicar la acción de seguridad a todos los proxies actuales y futuros del entorno.
  - Selecciona proxies individuales para aplicar la acción de seguridad solo a esos proxies, sin importar los proxies nuevos que se agreguen al entorno más adelante.
  - Usa Seleccionar todo para seleccionar todos los proxies actuales del entorno. Los proxies que se agreguen posteriormente no se incluirán automáticamente en la regla.
- Vencimiento: Es la fecha y la hora de vencimiento de la acción, si corresponde. Selecciona Nunca o Personalizado y, luego, ingresa la fecha y hora en la que deseas que venza la acción. También puedes modificar la zona horaria.
Haz clic en Siguiente para mostrar la sección Regla. En esta sección, ingresa o edita lo siguiente:
- Tipo de acción: Es el tipo de acción de seguridad:
  - Permitir: Se permite la solicitud.
  - Rechazar: Se rechaza la solicitud. Si seleccionas Rechazar, también puedes especificar el código de respuesta que se muestra cuando se rechaza una solicitud. Esto puede ser:
    - Predefinido: Selecciona un código HTTP.
    - Personalizado: Ingresa un código de respuesta.
  - Marca: La solicitud está permitida, pero también se marca con un encabezado HTTP especial que un proxy busca para determinar si la solicitud requiere un control especial. Para definir el encabezado, en Encabezados Si seleccionas Marcador, también puedes crear lo siguiente: Encabezados :
    - Nombre del encabezado
    - Valor del encabezado
- Condiciones: Son las condiciones en las que se realiza la acción de seguridad. En Nueva condición, ingresa lo siguiente:
  - Tipo de condición: Puede ser Reglas de detección o uno de los siguientes atributos:
    - Direcciones IP/rangos de CIDR, que pueden incluir direcciones IP y rangos de CIDR IPv4 al mismo tiempo
    - Claves de API, una o más claves de API.
    - Productos de API: Uno o más productos de la API de Apigee.
    - Tokens de acceso: Uno o más tokens de acceso.
    - Desarrolladores: Una o más direcciones de correo electrónico de desarrolladores de Apigee
    - Apps para desarrolladores: Una o más apps para desarrolladores de Apigee
    - Usuarios-agente: Uno o más usuarios-agente.
    - Métodos HTTP,Métodos HTTPcomo GET o PUT
    - Códigos de región, una lista de códigos de región en los que se aplicará la acción. Consulta los códigos ISO 3166-1 alpha-2.
    - Números de sistema autónomo (ASN), una lista de números de ASN sobre los que se actuará, como "23". Consulta Sistema autónomo (Internet).
    Notas:
    - Para los tipos de condición Reglas de detección y direcciones IP/rangos CIDR, puedes crear como máximo dos condiciones que tengan esos tipos. Para cualquier otro tipo de condición, puedes crear, como máximo, una condición.
    - Para usar las condiciones de claves de API, productos de API, tokens de acceso, desarrolladores o apps para desarrolladores, también debes usar la política de Verificar clave de API o la política de OAuthV2. Consulta Cómo funcionan las claves de API para obtener más información.
    - En Apigee Hybrid, estas condiciones están disponibles en la versión 1.12 y posteriores: claves de API, productos de API, tokens de acceso, desarrolladores, apps de desarrollador y usuarios-agentes. Estas condiciones están disponibles en la versión 1.13 y posteriores: números de sistemas autónomos, rangos de CIDR, métodos HTTP y códigos regionales.
  - Valores: Ingresa una de las siguientes opciones:
    - Si el Tipo de condición es Reglas de detección, selecciona un conjunto de reglas de detección que se hayan activado para una solicitud. la acción de seguridad que se debe aplicar a él.
    - Si el Tipo de condición es un atributo, ingresa los valores del atributo al que deseas que se aplique la acción de seguridad. Por ejemplo, si el atributo es Direcciones IP/rangos CIDR, ingresa las direcciones IP de las fuentes de las solicitudes a las que deseas que se aplique la acción de seguridad. Puedes ingresar una lista separada por comas de direcciones IPv4 e IPv6.
Haz clic en Crear para crear la acción de seguridad.

Habilita, inhabilita, pausa o borra acciones de seguridad

En esta sección, se describe cómo cambiar el estado de una acción de seguridad desde la página Acciones de seguridad. Consulta Estados de las acciones de seguridad para obtener información sobre cada tipo de estado y cómo afecta las acciones en las solicitudes a la API.

Estas son las acciones que puedes realizar para cambiar los estados:

Para inhabilitar una acción de seguridad activa, haz clic en el menú de tres puntos de la fila de la acción y selecciona Inhabilitar, o bien haz clic en el nombre de la acción de seguridad y, luego, en Inhabilitar en la parte superior de la página.
Para habilitar una acción de seguridad, haz clic en el menú de tres puntos de la fila de la acción y selecciona Habilitar, o bien haz clic en el nombre de la acción de seguridad y, luego, en Habilitar en la parte superior de la página.
Para pausar todas las acciones de seguridad activas y desactivarlas temporalmente, haz clic en Pausar acciones habilitadas en la parte superior de la lista de acciones de seguridad de la página. Para reanudar todas las acciones pausadas, haz clic en Reanudar las acciones pausadas en la parte superior de la página.
Nota: Cuando reanudas todas las acciones habilitadas, las acciones inhabilitadas permanecen inhabilitadas.

También puedes borrar una acción de seguridad. Si lo borras, se quitará de tu configuración de forma permanente. Para borrar una acción de seguridad, haz clic en el menú de tres puntos de la fila de la acción y selecciona Borrar, o bien haz clic en el nombre de la acción de seguridad y, luego, en Borrar en la parte superior de la página.

Visualiza los detalles de la acción de seguridad

Para ver los datos de tráfico de API recientes relacionados con una acción de seguridad, haz clic en el nombre de la acción de seguridad en la página principal de acciones de seguridad. Se mostrará la página de detalles de la acción de seguridad, que tiene dos pestañas: Descripción general y Atributos.

Descripción general

Selecciona la pestaña Descripción general para mostrar la página Descripción general:

Página de detalles de acciones de seguridad.

En la página Descripción general, se muestra información sobre el tráfico reciente de la API durante el período que seleccionas en la parte superior de la página: 12 horas, 1 día, 1 semana o 2 semanas.

En la página, se muestran los siguientes datos de tráfico:

Tipo de acción: Rechazar, permitir o marcar. Consulta Acciones de seguridad para obtener información sobre los tipos de acciones.
Tráfico total del entorno: La cantidad total de solicitudes en el entorno.
Tráfico total del evento detectado: La cantidad de solicitudes que se "detectaron" (activaron una regla de abuso) en el entorno.
Tráfico total afectado por la acción:
- Para una acción de denegación, la cantidad de solicitudes rechazadas.
- Para una acción de marca, la cantidad de solicitudes marcadas.
- Para una acción “allow”, la cantidad de solicitudes permitidas.

La página también muestra los siguientes gráficos:

Tendencias de tráfico del entorno: gráficos de tráfico detectado, tráfico marcado y tráfico del entorno total. Este gráfico está restringido a un intervalo de tiempo reciente que contiene todo el tráfico observado. Este intervalo puede ser más corto que el que selecciones.
Reglas principales
Países principales
Detalles de la acción

Atributos

Selecciona la pestaña Atributos para ver la página Atributos.

En la página Atributos, se muestran los datos de la acción de seguridad mediante atributos, también conocidos como dimensiones, que son agrupaciones datos que te permiten ver la acción de seguridad de diferentes maneras. Por ejemplo, el atributo de productos de API te permite ver la acción de seguridad por producto de API.

La información que se muestra en la página Atributos es similar a la vista Atributos de los atributos de detalles del incidente de detección de abuso.