Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza la documentazione di Apigee Edge.
La pagina Azioni di sicurezza ti consente di creare azioni di sicurezza che definiscono la modalità di gestione da parte di Apigee del traffico rilevato, in base alle informazioni della pagina Rilevamento abusi. Ad esempio, puoi creare un'azione di sicurezza per rifiutare le richieste provenienti da un indirizzo IP identificato come fonte di abusi. Quando una richiesta inviata da quell'indirizzo, Apigee gli impedisce di accedere alle tue API. Puoi anche creare un'azione di sicurezza per di negare le richieste codificate con regole di rilevamento.
Oltre alle azioni di rifiuto, puoi anche creare azioni di segnalazione, che aggiungono intestazioni alle richieste rilevate, o azioni di autorizzazione, che sostituiscono un'azione di rifiuto in casi specifici. Vedi Azioni di sicurezza.
Vedi Ruoli richiesti per le azioni di sicurezza per i ruoli necessari a eseguire attività relative alle azioni di sicurezza.
Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.
Come funzionano le azioni di sicurezza
Nella pagina Azioni di sicurezza puoi intervenire per consentire esplicitamente, per rifiutare o contrassegnare le richieste da client specifici. Apigee applica queste azioni alle richieste prima I proxy API li elaborano. Di solito si interviene perché le richieste sono conformi ai pattern di comportamenti indesiderati o (nel caso dell'azione di autorizzazione) perché vuoi eseguire l'override di un'azione di negazione per indirizzi IP specifici.
L'azione del flag consente alle richieste di passare alle API, ma aggiunge fino a cinque intestazioni richieste segnalate, in modo da monitorarle per osservare il loro comportamento.
Per identificare le richieste su cui intervenire, puoi utilizzare le visualizzazioni Rilevamento di abusi Traffico rilevato o Eventi, che mostrano gli indirizzi IP che sono fonti di abusi. Puoi intervenire per bloccare le richieste provenienti da questi indirizzi IP.
Azioni di sicurezza
Puoi eseguire i seguenti tipi di azioni di sicurezza.
Azione | Descrizione | Ordine di precedenza |
---|---|---|
Consenti | Consente determinate richieste che altrimenti verrebbero bloccate da un'azione di rifiuto. Ad esempio, supponiamo di aver creato un'azione di sicurezza per negare il traffico che è stato taggato con una regola di rilevamento. Puoi creare un'azione di autorizzazione per sostituire l'azione di negazione per le richieste da un indirizzo IP specifico che ritieni attendibile. | 1 |
Rifiuta | Blocca tutte le richieste che soddisfano le condizioni dell'azione, ad esempio quelle provenienti da un indirizzo IP specificato. Quando scegli di rifiutare le richieste, Apigee risponde al client con un codice di risposta a tua scelta. | 2 |
Bandiera | Segnala le richieste che soddisfano la condizione dell'azione, in modo che i servizi di backend possono intervenire. Quando segnali le richieste di un cliente, Apigee aggiunge fino a cinque intestazioni, che definisci, alla richiesta. I tuoi servizi di backend possono elaborare le chiamate API in base a questi flag, ad esempio ad esempio reindirizzando le chiamate a un flusso diverso. L'azione di segnalazione consente di indicare ai servizi di backend che una chiamata API è sospetta. | 3 |
Ordine di precedenza
Quando una richiesta soddisfa la condizione di più azioni di sicurezza, la precedenza dell'ordine delle azioni determina quale azione viene eseguita. Ad esempio, supponiamo che una richiesta soddisfi le condizioni sia di un'azione di autorizzazione sia di un'azione di rifiuto. Poiché l'ordine di precedenza di un'azione di autorizzazione è 1 e l'ordine di precedenza di un'azione di rifiuto è 2, l'azione di autorizzazione ha la precedenza, quindi la richiesta ha accesso consentito all'API.
Ad esempio, potresti voler consentire le richieste dall'indirizzo IP di un cliente interno o attendibile, anche se queste richieste corrispondono a un'azione di rifiuto distinta. L'ordine di precedenza assicura che un'azione di autorizzazione per l'indirizzo IP attendibile sostituirà qualsiasi azione di negazione.
Azioni di sicurezza specifiche per il proxy
Un'azione di sicurezza può essere applicata a tutti i proxy in un ambiente o solo a un proxy o proxy all'interno dell'ambiente. Vedi Limitazioni delle azioni di sicurezza per limitazioni relative ad azioni di sicurezza specifiche per i proxy.
Limitazioni delle azioni di sicurezza
Le azioni di sicurezza vengono applicate a livello di ambiente Apigee. Per ogni ambiente, le azioni di sicurezza presentano le seguenti limitazioni:
- In qualsiasi momento sono consentite al massimo 1000 azioni abilitate per un ambiente.
- Puoi aggiungere al massimo 5 intestazioni di flag per ogni azione.
- Le azioni di sicurezza specifiche per i proxy supportano un massimo di 100 proxy.
- Al momento, le azioni di sicurezza specifiche per i proxy non sono supportate in Apigee Hybrid.
Latenze
Le azioni di sicurezza hanno le seguenti latenze:
- Quando crei un'azione di sicurezza, l'applicazione dell'azione può richiedere fino a 10 minuti. Quando un'azione è diventata effettiva ed applicata ad alcune API, potrai visualizzare gli effetti dell'azione nella Pagina dei dettagli dell'azione di sicurezza. Nota: anche se l'azione è stata applicata, non potrai stabilirlo dalla pagina dettagli dell'azione di sicurezza, a meno che l'azione non sia stata applicata ad alcuni traffico API.
- Le azioni di sicurezza abilitate comportano un piccolo aumento (meno del 2%) del tempo di risposta del proxy API.
Apri la pagina Azioni di sicurezza
Per aprire la pagina Azioni di sicurezza:
- Apri l'UI di Apigee nella console Cloud.
- Seleziona Advanced API Security > (Sicurezza avanzata delle API) > Azioni di sicurezza.
Si aprirà la pagina principale Azioni di sicurezza, come mostrato di seguito:
Nella pagina Azioni di sicurezza puoi:
- Crea una nuova azione di sicurezza.
- Metti in pausa tutte le azioni di sicurezza attivate.
- Attiva o disattiva una singola azione di sicurezza utilizzando il menu con tre puntini nella riga corrispondente all'azione.
Nella pagina Azioni di sicurezza viene visualizzato un elenco di azioni di sicurezza, con le seguenti dettagli:
- Nome: il nome dell'azione.
- Stato: lo stato dell'azione, che può essere Attivata, In pausa o Disattivato.
- Azione: l'azione di sicurezza.
- Scadenza (UTC): la data di scadenza dell'azione.
- Ultimo aggiornamento (UTC): la data e l'ora dell'ultimo aggiornamento dell'azione.
- Un menu con tre puntini in cui puoi attivare o disattivare un'azione di sicurezza. A tale scopo, fai clic sul menu nella riga dell'azione e seleziona Attiva o Disattiva. Azioni di sicurezza disattivate non influiscono sulle richieste API.
Creare un'azione di sicurezza
Questa sezione spiega come creare un'azione di sicurezza. Tieni presente che al momento, una volta creata un'azione di sicurezza, non è possibile eliminarla né modificare le impostazioni. Puoi disattivare l'azione (per ne impedisce l'applicazione forzata), ma continuerà a essere visualizzato nella UI di Apigee.
Per creare una nuova azione di sicurezza:
- Nella parte superiore della pagina Azioni di sicurezza, fai clic su Crea per aprire la finestra di dialogo Crea azione di sicurezza, come mostrato di seguito.
- In Impostazioni generali, inserisci le seguenti impostazioni:
- Nome:un nome per l'azione di sicurezza.
- Descrizione (facoltativa): una breve descrizione dell'azione.
- Ambiente: l'ambiente in cui vuoi creare l'azione di sicurezza.
- Proxy (facoltativo): i proxy a cui vuoi applicare l'azione di sicurezza.
Limita l'elenco dei proxy per nome utilizzando il campo Filtra.
- Lascia vuoto il campo Proxy per applicare l'azione di sicurezza a tutti i proxy attuali e futuri nell'ambiente.
- Seleziona singoli proxy per applicare l'azione di sicurezza solo a questi proxy a prescindere da eventuali nuovi proxy aggiunti all'ambiente in un secondo momento.
- Utilizza Seleziona tutto per selezionare tutti i proxy attuali nell'ambiente. Qualsiasi i proxy aggiunti in un secondo momento non verranno inclusi automaticamente nella regola.
- Scadenza: la data e l'ora di scadenza dell'azione, se esistente. Seleziona Mai o Personalizzata, quindi inserisci la data e l'ora di scadenza dell'azione. Puoi modificherà anche il fuso orario.
- Fai clic su Avanti per visualizzare la sezione Regola, come mostrato di seguito:
In questa sezione creerai la regola per l'azione di sicurezza. Inserisci quanto segue:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
- Consenti: la richiesta è consentita.
- Nega: la richiesta viene rifiutata. Se selezioni Rifiuta, puoi anche specificare
Il codice di risposta che viene restituito quando la richiesta viene rifiutata. Può essere:
- Predefinito:seleziona un codice HTTP.
- Personalizzato:inserisci un codice di risposta.
- Segnalare: la richiesta è consentita, ma viene anche segnalata con un'intestazione HTTP speciale
che un proxy cerca per determinare se la richiesta richiede una gestione speciale. A
definisci l'intestazione, sotto Intestazioni Se
selezioni Segnala, puoi anche creare quanto segue in Intestazioni:
- Nome intestazione
- Valore intestazione
- Condizioni: le condizioni in base alle quali viene eseguita l'azione di sicurezza.
In Nuova condizione, inserisci quanto segue:
- Tipo di condizione:può essere Regole di rilevamento o uno dei seguenti
attributi:
- Indirizzi IP/intervalli CIDR, che possono includere indirizzi IP e CIDR IPv4 contemporaneamente.
- Chiavi API: una o più chiavi API.
- Prodotti API, uno o più prodotti API Apigee.
- Token di accesso, uno o più token di accesso.
- Sviluppatori, uno o più indirizzi email di sviluppatori Apigee.
- App per sviluppatori, una o più app per sviluppatori Apigee.
- User agent, uno o più user agent.
- Metodi HTTP, metodi HTTP come GET o PUT.
- Codici regione, un elenco di codici regione su cui intervenire. Consulta i codici ISO 3166-1 alpha-2.
- Numero di sistema autonomo (ASN), un elenco di numeri ASN su cui agire ad esempio "23". Consulta Autonomous system (Internet).
- Valori:inserisci uno dei seguenti valori:
- Se Tipo di condizione è Regole di rilevamento, seleziona un insieme di regole di rilevamento che una richiesta deve aver attivato affinché l'azione di sicurezza venga applicata.
- Se Tipo di condizione è un attributo, inserisci i valori dell'attributo a cui vuoi applicare l'azione di sicurezza. Ad esempio, se l'attributo è Indirizzi IP/intervalli CIDR, inserisci gli indirizzi IP del delle richieste a cui vuoi applicare l'azione di sicurezza. Puoi inserire un elenco separato da virgole di indirizzi IPv4 e IPv6.
- Tipo di condizione:può essere Regole di rilevamento o uno dei seguenti
attributi:
- Tipo di azione: il tipo di azione di sicurezza, che può essere uno dei seguenti:
- Fai clic su Crea per creare l'azione di sicurezza.
Metti in pausa tutte le azioni abilitate
Per mettere in pausa tutte le azioni di sicurezza attivate, fai clic su Metti in pausa le azioni abilitate nella nella parte superiore della pagina Azioni di sicurezza. Quando le azioni di sicurezza sono in pausa, non influiscono sulle richieste API. Usa questa quando devi diagnosticare un problema con tutte le azioni di sicurezza. Per disattivare un singolo utente usa il menu con tre puntini nella riga per l'azione di sicurezza.
Per riprendere tutte le azioni di sicurezza abilitate, fai clic su Riprendi azioni in pausa.
Visualizza i dettagli dell'azione di sicurezza
Per visualizzare i dati recenti sul traffico dell'API relativi a un'azione di sicurezza, seleziona la riga relativa al token di sicurezza nella schermata principale pagina delle azioni. Viene visualizzata la pagina dei dettagli dell'azione di sicurezza, che contiene due schede:
Panoramica
Seleziona la scheda Panoramica per visualizzare la pagina Panoramica:
La pagina Panoramica mostra informazioni sul traffico recente dell'API. durante il periodo di tempo selezionato in alto nella pagina: 12 ore, 1 giorno, 1 settimana o 2 settimane.
La pagina mostra i seguenti dati sul traffico:
- Tipo di azione: il tipo di azione: negazione, autorizzazione o flag.
- Traffico totale dell'ambiente: il numero totale di richieste nell'ambiente.
- Traffico totale di eventi rilevati:il numero di richieste correlate all'evento.
- Traffico totale interessato dall'azione:
- Per un'azione di negazione, il numero di richieste rifiutate.
- Per un'azione di segnalazione, il numero di richieste segnalate.
- Per un'azione di autorizzazione, il numero di richieste consentite.
La pagina mostra anche i seguenti grafici:
- Tendenze del traffico ambientale: grafici del traffico rilevato, del traffico segnalato e del traffico totale dell'ambiente. Vedi la nota riportata sopra.
- Regole principali
- Paesi principali
- Dettagli dell'azione
Attributi
Seleziona la scheda Attributi per visualizzare la pagina Attributi:
Nella pagina Attributi vengono visualizzati i dati relativi all'azione di sicurezza per attributes, noti anche come dimensioni: ovvero raggruppamenti di dati che ti consentono di visualizzare misure di sicurezza in vari modi. Ad esempio, l'attributo Prodotti API ti consente di visualizzare l'azione di sicurezza per prodotto API.
Le informazioni visualizzate nella pagina Attributi sono simili alla visualizzazione Attributi per il rilevamento delle violazioni nella pagina Dettagli incidenti.