Esta página foi traduzida pela API Cloud Translation.

Descrição geral e IU das ações de segurança

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

As ações de segurança da segurança avançada da API permitem-lhe configurar ações de segurança que definem como o Apigee processa o tráfego. Por exemplo, pode criar uma ação de segurança para recusar pedidos de um endereço IP que foi identificado pela Deteção de abuso como abuso e impedir que acedam às suas APIs.

Para usar esta funcionalidade, tem de ativar o suplemento. Se for cliente de uma subscrição, pode ativar o suplemento para a sua organização. Consulte o artigo Faça a gestão da segurança avançada da API para organizações de subscrição para obter mais detalhes. Se for cliente de pagamento conforme o uso, pode ativar o suplemento nos seus ambientes elegíveis. Para mais informações, consulte o artigo Faça a gestão do suplemento de segurança avançada da API.

Esta página oferece uma vista geral da funcionalidade de ação de segurança e como usá-la a partir da IU do Apigee na Cloud Console. Também pode gerir ações de segurança através da API Security actions ou do Terraform.

Consulte também o artigo Funções necessárias para ações de segurança para saber as funções necessárias para realizar tarefas de ações de segurança.

Como funcionam as ações de segurança

Com as ações de segurança, pode permitir, recusar ou sinalizar pedidos explicitamente com base em condições específicas. O Apigee aplica estas ações aos pedidos antes de os seus proxies de API os processarem. Normalmente, toma medidas porque os pedidos estão em conformidade com padrões de comportamento indesejável ou (no caso da ação permitir) porque quer substituir uma ação negar para tráfego específico.

A ação de sinalização permite que os pedidos sejam transmitidos às suas APIs, mas adiciona até cinco cabeçalhos aos pedidos sinalizados, para que possa monitorizá-los e observar o respetivo comportamento.

Uma forma de identificar os pedidos sobre os quais deve tomar medidas é usar a Deteção de abuso Tráfego detetado ou Visualizações de incidentes, que mostram endereços IP e chaves de API que são fontes de abuso.

Ações de segurança

Pode realizar os seguintes tipos de ações de segurança.

Tipo de ação	Descrição	Ordem de precedência
Permitir	Permite determinados pedidos que, de outra forma, seriam bloqueados por uma ação de negação. Por exemplo, suponhamos que criou uma ação de segurança para recusar tráfego que tenha sido etiquetado com uma regra de deteção. Pode criar uma ação de permissão para substituir a ação de recusa para pedidos com algumas condições específicas.	1
Recusar	Bloqueia todos os pedidos que cumprem as condições da ação, por exemplo, originários de um endereço IP especificado. Quando opta por recusar pedidos, o Apigee responde ao cliente com um código de resposta que pode escolher.	2
Bandeira	Sinalizar pedidos que cumprem a condição especificada para que os seus serviços de back-end possam tomar medidas em relação aos mesmos. Quando marca os pedidos de um cliente, o Apigee adiciona até cinco cabeçalhos, que define, ao pedido. Os seus serviços de back-end podem processar as chamadas API de acordo com estas flags, por exemplo, redirecionando as chamadas para um fluxo diferente. A ação de sinalização oferece uma forma de sinalizar aos seus serviços de back-end que uma chamada API é suspeita.	3

Ordem de precedência

Quando um pedido cumpre a condição de mais do que uma ação de segurança, a ordem de precedência das ações determina que ação é realizada. Por exemplo, suponha que um pedido cumpre as condições de uma ação de permissão e de uma ação de recusa. Uma vez que a ordem de precedência de uma ação de permissão é 1 e a ordem de precedência de uma ação de recusa é 2, a ação de permissão tem precedência, pelo que o pedido tem acesso permitido à API.

Por exemplo, pode querer permitir pedidos do endereço IP de um cliente interno ou fidedigno, mesmo que esses pedidos correspondam a uma ação de recusa separada. A ordem de precedência garante que uma ação de permissão para o endereço IP fidedigno substitui qualquer ação de recusa.

Ações de segurança específicas do proxy

Uma ação de segurança pode aplicar-se a todos os proxies num ambiente ou apenas a um proxy específico ou a proxies no ambiente. Consulte as Limitações nas ações de segurança para ver as limitações nas ações de segurança específicas do proxy.

Estados das ações de segurança

Cada ação de segurança tem um estado:

Ativada: a ação de segurança está ativa e afeta os pedidos de API, desde que não tenha expirado.
Desativada: a ação de segurança está inativa e não afeta os pedidos de API.
Em pausa: a ação de segurança está inativa e não afeta os pedidos de API.

Limitações nas ações de segurança

As ações de segurança são aplicadas ao nível do ambiente do Apigee. Para cada ambiente, as ações de segurança têm as seguintes limitações:

São permitidas, no máximo, 1000 ações ativadas para um ambiente em qualquer altura. As ações ativadas que também expiraram são contabilizadas para este limite.
Pode adicionar, no máximo, 5 cabeçalhos de flags para cada ação.
As ações de segurança específicas do proxy suportam um máximo de 100 proxies.
De momento, as ações de segurança específicas do proxy não são suportadas no Apigee hybrid.
Não são suportadas várias ações de segurança com o mesmo nome. Pode ser possível criar várias ações com o mesmo nome se criar várias ações em rápida sucessão. Nesse caso, apenas a ação mais recente com esse nome é eficaz.

Latências

As ações de segurança têm as seguintes latências:

Quando cria, edita ou elimina uma ação de segurança, a alteração pode demorar até 10 minutos a entrar em vigor. Depois de uma nova ação entrar em vigor e ser aplicada a algum tráfego da API, pode ver os efeitos da ação na página Detalhes da ação de segurança. Nota: Não é possível determinar se uma ação teve efeito na página de detalhes da ação de segurança, a menos que a ação tenha sido aplicada a algum tráfego da API.
As ações de segurança ativadas implicam um pequeno aumento (inferior a 2%) no tempo de resposta do proxy da API.

Faça a gestão das ações de segurança na IU

Esta secção descreve como usar a página Ações de segurança na IU do Apigee na Cloud Console. Também pode gerir ações de segurança através da API Security actions.

Abra a página Ações de segurança

Para abrir a página Ações de segurança:

Na Google Cloud consola, aceda à página Segurança avançada da API > Ações de segurança.

Aceda às ações de segurança

É apresentada a página principal Ações de segurança:

Página principal das ações de segurança.

Na página Ações de segurança, pode:

Crie uma nova ação de segurança.
Edite uma ação de segurança existente.
Ative ou desative as ações de segurança.
Pause todas ou algumas ações de segurança ativadas.
Elimine ações de segurança.

A página Ações de segurança apresenta uma lista de ações de segurança com os seguintes detalhes:

Nome: o nome da ação de segurança. Clique no nome para ver os detalhes da ação.
Estado: o estado da ação. Consulte os estados das ações de segurança.
Ação: o tipo de ação de segurança.
Validade (UTC): a data de validade da ação.
Última atualização (UTC): a última data e hora em que a ação foi atualizada.
Um menu de três pontos onde pode editar, desativar, ativar ou eliminar a ação.

Crie ou edite uma ação de segurança

Esta secção explica como criar ou editar uma ação de segurança. Tenha em atenção que não pode alterar o nome nem o ambiente da ação de segurança depois de a criar.

Para criar ou editar uma ação de segurança:

Abra a página Ações de segurança.
Para criar uma nova ação de segurança, clique em Criar na parte superior da página. Para editar uma ação de segurança existente, clique em Editar no menu de três pontos dessa ação na lista de ações ou selecione a ação e selecione Editar na parte superior da página.
Em Definições gerais, introduza ou edite as seguintes definições:
- Nome: um nome para a ação de segurança.
- Descrição (opcional): uma breve descrição da ação.
- Ambiente: o ambiente no qual quer criar a ação de segurança.
- Proxies (opcional): os proxies aos quais quer aplicar a ação de segurança. Limite a lista de proxies por nome através do campo Filtrar.
  - Deixe o campo Proxies vazio para aplicar a ação de segurança a todos os proxies atuais e futuros no ambiente.
  - Selecione proxies individuais para aplicar a ação de segurança apenas a esses proxies, independentemente de quaisquer novos proxies adicionados ao ambiente posteriormente.
  - Use Selecionar tudo para selecionar todos os proxies atuais no ambiente. Todos os proxies adicionados posteriormente não são incluídos automaticamente na regra.
- Validade: a data e a hora em que a ação expira, se aplicável. Selecione Nunca ou Personalizado e, em seguida, introduza a data e a hora em que quer que a ação expire. Também pode modificar o fuso horário.
Clique em Seguinte para apresentar a secção Regra. Nesta secção, introduza ou edite:
- Tipo de ação: o tipo de ação de segurança:
  - Permitir: o pedido é permitido.
  - Recusar: o pedido é recusado. Se selecionar Recusar, também pode especificar o código de resposta devolvido quando um pedido é recusado. Pode ser:
    - Predefinido: selecione um código HTTP.
    - Personalizado: introduza um código de resposta.
  - Sinalização: o pedido é permitido, mas também sinalizado com um cabeçalho HTTP especial que um proxy procura para determinar se o pedido requer um processamento especial. Para definir o cabeçalho, em Cabeçalhos, se selecionar Sinalização, também pode criar o seguinte em Cabeçalhos:
    - Nome do cabeçalho
    - Valor do cabeçalho
- Condições: as condições em que a ação de segurança é realizada. Em Nova condição, introduza o seguinte:
  - Tipo de condição: pode ser Regras de deteção ou um dos seguintes atributos:
    - Endereços IP/intervalos CIDR, que podem incluir endereços IP e intervalos CIDR IPv4 em simultâneo.
    - Chaves da API, uma ou mais chaves da API.
    - Produtos de API, um ou mais produtos de API da Apigee.
    - Chaves de acesso, uma ou mais chaves de acesso.
    - Programadores, um ou mais endereços de email de programador do Apigee.
    - Apps de programador, uma ou mais apps de programador do Apigee.
    - Agentes do utilizador, um ou mais agentes do utilizador.
    - Métodos HTTP, Métodos HTTP como GET ou PUT.
    - Region codes, uma lista de códigos de regiões sobre os quais atuar. Consulte os códigos ISO 3166-1 alfa-2.
    - Números de sistemas autónomos (ASN), uma lista de números de ASN sobre os quais agir, como "23". Consulte Sistema autónomo (Internet).
    Notas:
    - Para os tipos de condições Regras de deteção e Endereços IP/intervalos CIDR, pode criar, no máximo, duas condições com esses tipos. Para qualquer outro tipo de condição, pode criar, no máximo, uma condição.
    - Para usar as condições chaves de API, produtos de API, tokens de acesso, programadores ou apps de programadores, também tem de usar a política Verificar chave de API ou a política OAuthV2. Consulte o artigo Como funcionam as chaves da API para mais informações.
    - Para o Apigee hybrid, estas condições estão disponíveis na versão 1.12 e posteriores: chaves de API, produtos de API, tokens de acesso, programadores, apps de programadores e agentes do utilizador. Estas condições estão disponíveis na versão 1.13 e posteriores: números de sistemas autónomos, intervalos CIDR, métodos HTTP e códigos de regiões.
  - Valores: introduza um dos seguintes:
    - Se o Tipo de condição for Regras de deteção, selecione um conjunto de regras de deteção que um pedido tem de ter acionado para que a ação de segurança lhe seja aplicada.
    - Se o Tipo de condição for um atributo, introduza os valores do atributo ao qual quer que a ação de segurança seja aplicada. Por exemplo, se o atributo for endereços IP/intervalos CIDR, introduza os endereços IP das fontes dos pedidos aos quais quer que a ação de segurança seja aplicada. Pode introduzir uma lista separada por vírgulas de endereços IPv4 e IPv6.
Clique em Criar para criar a ação de segurança.

Ative, desative, pause ou elimine ações de segurança

Esta secção descreve como alterar o estado de uma ação de segurança na página Ações de segurança. Consulte os estados das ações de segurança para ver informações sobre cada tipo de estado e como afeta as ações nos pedidos da API.

Seguem-se as ações que pode realizar para alterar os estados:

Para desativar uma ação de segurança ativa, clique no menu de três pontos na linha da ação e selecione Desativar ou clique no nome da ação de segurança e clique em Desativar na parte superior da página.
Para ativar uma ação de segurança, clique no menu de três pontos na linha da ação e selecione Ativar ou clique no nome da ação de segurança e clique em Ativar na parte superior da página.
Para pausar todas as ações de segurança ativas para as desativar temporariamente, clique em Pausar ações ativadas na parte superior da lista de ações de segurança da página. Para retomar todas as ações pausadas, clique em Retomar ações pausadas na parte superior da página.
Nota: quando retoma todas as ações ativadas, as ações desativadas permanecem desativadas.

Também pode eliminar uma ação de segurança. A eliminação remove-o permanentemente da sua configuração. Para eliminar uma ação de segurança, clique no menu de três pontos na linha da ação e selecione Eliminar ou clique no nome da ação de segurança e clique em Eliminar na parte superior da página.

Veja os detalhes das ações de segurança

Para ver dados de tráfego da API recentes relacionados com uma ação de segurança, clique no nome da ação de segurança na página principal Ações de segurança. É apresentada a página de detalhes da ação de segurança, que tem dois separadores: Vista geral e Atributos.

Vista geral

Selecione o separador Vista geral para apresentar a página Vista geral:

Página de detalhes das ações de segurança.

A página Vista geral apresenta informações sobre o tráfego recente da API durante o período selecionado na parte superior da página: 12 horas, 1 dia, 1 semana ou 2 semanas.

A página apresenta os seguintes dados de tráfego:

Tipo de ação: recusar, permitir ou denunciar. Consulte Ações de segurança para obter informações sobre os tipos de ações.
Tráfego total do ambiente: o número total de pedidos no ambiente.
Total de tráfego de eventos detetado: o número de pedidos que foram "detetados" (acionaram uma regra de abuso) no ambiente.
Tráfego total afetado pela ação:
- Para uma ação de recusa, o número de pedidos recusados.
- Para uma ação de sinalização, o número de pedidos sinalizados.
- Para uma ação de permissão, o número de pedidos permitidos.

A página também apresenta os seguintes gráficos:

Tendências de tráfego do ambiente: gráficos do tráfego detetado, do tráfego sinalizado e do tráfego total do ambiente. Este gráfico está restrito a um intervalo de tempo recente que contém todo o tráfego observado. Este intervalo pode ser mais curto do que o intervalo que selecionar.
Principais regras
Principais países
Detalhes da ação

Atributos

Selecione o separador Atributos para apresentar a página Atributos.

A página Atributos apresenta dados da ação de segurança por atributos, também conhecidos como dimensões>, que são agrupamentos dos dados que lhe permitem ver a ação de segurança de diferentes formas. Por exemplo, o atributo de produtos da API permite-lhe ver a ação de segurança por produto da API.

As informações apresentadas na página Atributos são semelhantes à vista Atributos para a deteção de abuso Atributos de detalhes do incidente.