Panoramica
Rilevamento API Shadow trova le API Shadow (note anche come API non documentate) nell'infrastruttura cloud esistente. Le API Shadow rappresentano un rischio per la sicurezza del sistema, in quanto potrebbero non essere protette, monitorate e gestite. Rilevamento API Shadow fa parte di API Observation in Apigee.
Puoi configurare ed eseguire job per osservare l'attività API nei singoli Google Cloud progetti. All'interno dell'istanza centralizzata di hub delle API Apigee, puoi collegare questi progetti per visualizzare i risultati di questi job e confrontarli automaticamente con le API "note" documentate nell'hub API. Per informazioni sull'utilizzo di Rilevamento API Shadow nell'hub delle API Apigee, consulta Osservazioni API nell'hub API.
Per informazioni sulla compatibilità della residenza dei dati per Rilevamento API Shadow, consulta Compatibilità della residenza dei dati.
Abilitare Rilevamento API Shadow
Rilevamento API Shadow fa parte del componente aggiuntivo Advanced API Security ed è disponibile per Google Cloud progetti con o senza provisioning di Apigee.
Se il Google Cloud progetto è stato sottoposto a provisioning per Apigee:
- Per i clienti con abbonamento, è disponibile con l'organizzazione Apigee. Consulta Gestire Advanced API Security per le organizzazioni con abbonamento
- I clienti con pagamento a consumo devono abilitare il componente aggiuntivo per almeno un ambiente. Consulta Gestire Advanced API Security per le organizzazioni con pagamento a consumo
- Rilevamento API Shadow non è disponibile per gli ambienti di valutazione di Apigee.
Se il Google Cloud progetto non è stato sottoposto a provisioning per Apigee, puoi aggiungere Rilevamento API Shadow al tuo progetto contattando il team di vendita di Apigee.
Abilitare Rilevamento API Shadow da Apigee
Le istruzioni riportate in questa sezione per configurare e visualizzare i risultati delle osservazioni API si basano sulla UI di Apigee nella console Google Cloud. Puoi anche utilizzare le API di gestione di Apigee (APIM) per gestire Rilevamento API Shadow. Consulta API di gestione di Rilevamento API Shadow.
Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se hai un abbonamento, puoi abilitare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire Advanced API Security per le organizzazioni con abbonamento. Se hai un account con pagamento a consumo, puoi abilitare il componente aggiuntivo negli ambienti idonei. Per ulteriori informazioni, consulta Gestire il componente aggiuntivo Advanced API Security.
Abilitare Rilevamento API Shadow dall'hub API
Per abilitare Rilevamento API Shadow dall'hub API, segui le istruzioni riportate in Configurare API Observation nell'hub API.
Ruoli e autorizzazioni richiesti per Rilevamento API Shadow
La tabella seguente mostra i ruoli richiesti per eseguire le attività correlate a Rilevamento API Shadow.
| Attività | Ruolo/i richiesto/i |
|---|---|
| Abilitare o disabilitare Advanced API Security | Apigee Organization Admin (roles/apigee.admin) |
| Creare origini e job di osservazione | API Management Admin (roles/apim.admin) |
| Visualizzare le osservazioni | API Management Viewer (roles/apim.viewer) |
Accedere a Rilevamento API Shadow nella UI di Apigee
Questa sezione descrive come accedere a Rilevamento API Shadow nella UI di Apigee.
Per accedere a Rilevamento API Shadow nella UI di Apigee:
-
Nella Google Cloud console, vai alla pagina Apigee > API Observation > API Shadow.
- La pagina principale mostra le osservazioni API già generate. Seleziona le Osservazioni API e Job di osservazione schede per passare tra visualizzazione dei risultati e creazione di job di osservazione.
Creare job di osservazione
I job di osservazione forniscono le istruzioni necessarie a Rilevamento API Shadow per cercare le API Shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente i comportamenti e le limitazioni che si applicano alla creazione di job di osservazione.
- Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
- Seleziona una o più origini di osservazione oppure fai clic su Crea origine di osservazione nella parte inferiore dell'elenco Origini di osservazione per creare nuove località di origine, se necessario. Tieni presente che il processo di creazione dell'origine di osservazione
process might take several minutes.
Le origini di osservazione includono:
Nome origine: un nome che specifichi per identificare l'origine.
Località: Una località da osservare. L'inclusione di più regioni di origine consente una visione più ampia delle API nell'infrastruttura. Consulta le best practice. In una località è possibile creare una sola origine di osservazione.
Rete e subnet: la rete VPC e la subnet. La rete e la subnet devono trovarsi nello stesso progetto dell'origine di osservazione. La subnet deve trovarsi anche nella stessa regione della località dell'origine di osservazione. - Crea job di osservazione. Fornisci un nome per il job di osservazione, che deve essere univoco per località. Seleziona una località, che specifica dove avverrà l'aggregazione e l'elaborazione dei dati. Tutti i dati raccolti nelle regioni di origine vengono elaborati e accessibili da questa regione, in conformità con le norme sulla residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
- (Facoltativo) Abilita job di osservazione. Puoi abilitare il job quando lo crei, nel qual caso inizia a osservare immediatamente. Se non abiliti il job immediatamente, puoi abilitare il job di osservazione in un secondo momento dall'elenco dei job di osservazione.
Abilitare, disabilitare ed eliminare i job di osservazione
Per modificare lo stato di un job di osservazione esistente (abilitato/attivo), seleziona Abilita o Disabilita dal menu Azioni nella riga del job nella pagina Job di osservazione.
Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per il job. L'eliminazione di un job comporta anche la rimozione dei risultati di osservazione associati al job. Pertanto, se vuoi conservare i risultati interrompendo l'esecuzione del job, disabilitalo anziché eliminarlo. I job attivi non possono essere eliminati. Se devi eliminarli, disattivali prima
Visualizzare le osservazioni API
Per visualizzare le osservazioni API per i job di osservazione abilitati, scegli la scheda Osservazioni API e poi seleziona il Job di osservazione dall'elenco.
L'elenco delle osservazioni mostra i seguenti valori:
- Nome host: il nome host dell'API. Fai clic sul nome host per visualizzare i dettagli dell'osservazione.
- Operazioni API: il numero di operazioni API (ad es. richieste GET o PUT) osservate.
- IP server: gli IP dei server che ospitano le API rilevate.
- Località di origine: le località di origine in cui è stato osservato il traffico.
- Ultimo evento rilevato (UTC): la data e l'ora in cui è stata rilevata la richiesta più recente all'API è stata rilevata.
- Tag: un elenco dei tag creati da te o da altri per etichettare questa osservazione. Per maggiori informazioni, consulta Utilizzare i tag.
- Azioni: azioni aggiuntive disponibili per ogni osservazione.
Visualizzare i dettagli dell'osservazione
Dopo aver fatto clic sul nome host nell'
elenco delle osservazioni, vedrai la pagina dei dettagli dell'osservazione.
Questa pagina include le seguenti informazioni sull'osservazione.
- La casella di riepilogo nella parte superiore della pagina mostra:
- ID osservazione API: un identificatore specifico di Apigee.
- Operazioni API: per una descrizione di questo campo, consulta Visualizzare le osservazioni API.
- Ora di creazione (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Tag: utilizza i tag per organizzare i risultati dei job di osservazione.
- Ora ultimo evento rilevato: per una descrizione di questo campo, consulta Visualizzare le osservazioni API.
- Una tabella delle operazioni API specifiche rilevate in questa API. Per ogni richiesta vengono mostrate le seguenti informazioni:
- Percorso: il percorso della richiesta.
- Metodo: il metodo della richiesta (ad es. GET, PUT e così via).
- Conteggio: il numero di richieste a quel percorso con quel metodo.
- Richiesta di transazione: il corpo della richiesta dai dati sul traffico. Include le intestazioni della richiesta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Intestazioni della risposta della transazione: le intestazioni della risposta dai dati sul traffico. Include le intestazioni della risposta e i conteggi delle transazioni corrispondenti per questa operazione API.
- Codici di risposta della transazione: i codici di risposta e i conteggi corrispondenti delle risposte con quel codice per questa operazione API.
- Prima volta (UTC): la prima data e ora in cui è stata osservata la richiesta a questa operazione API
- Ultima volta (UTC): la data e l'ora più recenti in cui è stata osservata la richiesta a questa operazione API.
Utilizzare i tag
I tag ti consentono di classificare i risultati dell'osservazione. I tag sono metadati e sono solo a scopo di monitoraggio ; non modificano i risultati dell'osservazione né attivano alcuna azione. Ad esempio, l'aggiunta di un tag "Richiede attenzione" non crea avvisi o notifiche. I nuovi risultati dell'osservazione non hanno tag.
I tag hanno le seguenti caratteristiche:
- Puoi aggiungere lo stesso tag a più risultati dell'osservazione.
- I nomi dei tag possono includere caratteri maiuscoli e minuscoli, numeri e caratteri speciali, inclusi gli spazi.
- Una volta creato, il nome di un tag non può essere modificato. Rimuovi e ricrea il tag per rinominarlo .
- Se rimuovi un tag da tutti i risultati dell'osservazione, questo viene eliminato dal sistema.
Puoi gestire i tag dall'elenco delle osservazioni o dalla pagina dei dettagli dell'osservazione.
Per gestire i tag dall' elenco delle osservazioni API:
- Visualizza i tag esistenti nella colonna Tag dell'elenco delle osservazioni.
- Per gestire i tag per un risultato, seleziona Gestisci tag dal menu Azioni nella riga del risultato.
- Per gestire i tag per uno o più risultati contemporaneamente, seleziona più risultati dall'elenco e poi Gestisci tag nella parte superiore dell'elenco.
Per gestire i tag dai dettagli dell'osservazione API:
- Visualizza i tag esistenti nella sezione Tag.
- Per aggiungere o gestire i tag, scegli Gestisci tag nella parte superiore della pagina.
Nel riquadro laterale Gestisci tag, per aggiungere tag, seleziona i tag esistenti o aggiungine di nuovi. Per rimuovere i tag, deselezionali. Fai clic su Salva per salvare i nuovi tag.
Accedere a Rilevamento API Shadow dall'hub API
Per informazioni su come accedere a Rilevamento API Shadow dall'hub API, consulta Gestire API Observation nell'hub API.
Best practice
Ti consigliamo di seguire queste best practice quando utilizzi Rilevamento API Shadow:
- Rispetta le norme sulla residenza dei dati della tua organizzazione per garantire la conformità a tutte le leggi e i regolamenti vigenti.
- Aggrega i dati dal maggior numero possibile di regioni di origine per ottenere la migliore correlazione tra regioni. L'inclusione di più regioni di origine nei job di osservazione consente una visione più ampia delle API nell'infrastruttura.
Comportamenti e limitazioni
Questa sezione elenca i comportamenti e le limitazioni che si applicano a Rilevamento API Shadow:
- L'utilizzo di Rilevamento API Shadow non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API Shadow.
- Rilevamento API Shadow trova le API Shadow solo nella tua Google Cloud infrastruttura.
- Le origini e i job di osservazione devono essere configurati nello stesso progetto in cui sono configurate la rete VPC e la subnet.
- Al momento, Rilevamento API Shadow supporta solo i bilanciatori del carico delle applicazioni esterni e interni . I bilanciatori del carico di rete non sono supportati.
- Rilevamento API Shadow trova le API del protocollo HTTP, non gRPC.
- L'esecuzione di job di osservazione API sui bilanciatori del carico non ha alcun impatto sulla latenza del traffico API.
- Avviso: Rilevamento API Shadow supporta i bilanciatori del carico su una rete per progetto. Se abiliti Rilevamento API Shadow in un progetto con più reti, potresti riscontrare un comportamento imprevisto.
- Per rilevare le API Shadow, è necessario che il traffico passi attraverso i bilanciatori del carico nei progetti osservati in ordine.
- A seconda del volume di traffico, un job di osservazione appena abilitato potrebbe impiegare fino a 30 minuti per rilevare il traffico, a seconda del volume di traffico. Il traffico sporadico richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
- Per regione, è previsto un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta l'assistenza clienti Google Cloud per discutere del caso d'uso.
- I job di osservazione possono essere creati, disabilitati o eliminati, ma non modificati. Se devi modificare un job di osservazione, eliminalo e ricrealo.
- Le seguenti regioni sono attualmente supportate per l'osservazione API e le API Shadow:
- australia-southeast1
- europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1