Shadow API Discovery – Übersicht

Übersicht

Shadow API Discovery findet Shadow APIs (auch als nicht dokumentierte APIs bezeichnet) in Ihrer vorhandenen Cloud-Infrastruktur. Shadow APIs stellen ein Sicherheitsrisiko für Ihr System dar, da sie möglicherweise nicht gesichert, nicht überwacht und nicht gewartet werden. Shadow API Discovery ist Teil von API Observation in Apigee.

Sie können Jobs konfigurieren und ausführen, um die API-Aktivität in einzelnen Projekten von Google Cloud zu beobachten. In Ihrer zentralisierten Apigee API-Hub-Instanz können Sie diese Projekte anhängen, um die Ergebnisse dieser Jobs aufzurufen und automatisch mit „bekannten“ APIs zu vergleichen, die im API-Hub dokumentiert sind. Informationen zur Verwendung von Shadow API Discovery im Apigee API-Hub finden Sie unter API-Beobachtungen im API-Hub.

Informationen zur Kompatibilität des Datenstandorts für Shadow API Discovery finden Sie unter Kompatibilität des Datenstandorts.

Shadow API Discovery aktivieren

Shadow API Discovery ist Teil des Add-ons für erweiterte API-Sicherheit und für Projekte von Google Cloud mit oder ohne Apigee-Bereitstellung verfügbar.

Wenn Ihr Projekt von Google Cloud für Apigee bereitgestellt ist:

Wenn Ihr Projekt von Google Cloud nicht für Apigee bereitgestellt ist, können Sie Shadow API Discovery für Ihr Projekt hinzufügen, indem Sie sich an den Apigee-Vertrieb wenden.

Shadow API-Erkennung über Apigee aktivieren

Die Anleitung in diesem Abschnitt zum Einrichten und Aufrufen der Ergebnisse von API-Beobachtungen basiert auf der Apigee-UI in der Cloud Console. Sie können auch die Apigee Management APIs (APIM) verwenden, um Shadow API Discovery zu verwalten. Siehe APIs zur Verwaltung von Shadow API Discovery.

Damit Sie diese Funktion nutzen können, müssen Sie das Add-on aktivieren. Wenn Sie ein Abo-Kunde sind, können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren berechtigten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on für erweiterte API-Sicherheit verwalten.

Shadow API Discovery über den API-Hub aktivieren

Wenn Sie Shadow API Discovery über den API-Hub aktivieren möchten, folgen Sie der Anleitung unter API-Beobachtung im API-Hub konfigurieren.

Erforderliche Rollen und Berechtigungen für Shadow API Discovery

In der folgenden Tabelle sind die erforderlichen Rollen für das Ausführen von Aufgaben im Zusammenhang mit Shadow API Discovery aufgeführt.

Aufgabe Erforderliche Rolle(n)
Erweiterte API-Sicherheit aktivieren oder deaktivieren Apigee Organization Admin (roles/apigee.admin)
Beobachtungsquellen und ‑jobs erstellen API Management Admin (roles/apim.admin)
Beobachtungen ansehen API Management Viewer (roles/apim.viewer)

Über die Apigee-UI auf Shadow API Discovery zugreifen

In diesem Abschnitt wird beschrieben, wie Sie in der Apigee-UI auf Shadow API Discovery zugreifen.

So greifen Sie in der Apigee-UI auf Shadow API Discovery zu:

  1. Rufen Sie in der Google Cloud Console die Seite API Observation > Shadow API auf.

    Zur Shadow API

  2. Auf der Hauptseite werden alle API-Beobachtungen angezeigt, die bereits generiert wurden. Wählen Sie die Tabs API-Beobachtungen und Beobachtungsjobs aus, um zwischen dem Ansehen von Ergebnissen und Erstellen von Beobachtungsjobs zu wechseln.

Beobachtungsjobs erstellen

Beobachtungsjobs bieten die Anleitung, die Shadow API Discovery für die Suche nach Shadow APIs benötigt. Führen Sie die folgenden Schritte aus, um einen Beobachtungsjob zu erstellen. Beachten Sie die Verhalten und Einschränkungen, die für die Erstellung von Beobachtungsjobs gelten.

  1. Wählen Sie den Tab Beobachtungsjobs aus und klicken Sie auf Beobachtungsjob erstellen.
  2. Wählen Sie eine oder mehrere Beobachtungsquelle(n) aus oder klicken Sie unten unter Beobachtungsquelle(n) auf Beobachtungsquelle erstellen, um je nach Bedarf neue Quellspeicherorte zu erstellen. Der Erstellungsprozess der Beobachtungsquelle kann einige Minuten dauern.

    Zu den Beobachtungsquellen gehören:
    Quellname: Ein Name, den Sie zur Identifizierung der Quelle angeben.
    Standort: Ein Standort, in dem Sie beobachten möchten. Wenn Sie weitere Quellregionen einbeziehen, erhalten Sie einen umfassenderen Überblick über APIs in Ihrer gesamten Infrastruktur. Siehe Best Practices. An einem Standort kann nur eine Beobachtungsquelle erstellt werden.
    Netzwerk und Subnetzwerk: Das VPC-Netzwerk und Subnetzwerk. Das Netzwerk und das Subnetzwerk müssen sich im selben Projekt wie die Beobachtungsquelle befinden. Das Subnetzwerk muss sich auch in derselben Region wie der Standort der Beobachtungsquelle befinden.
  3. Beobachtungsjob erstellen Geben Sie einen Namen für den Beobachtungsjob an, der pro Standort eindeutig sein muss. Wählen Sie einen Standort aus, an dem die Daten zusammengefasst und verarbeitet werden sollen. Alle in den Quellregionen erhobenen Daten werden in dieser Region verarbeitet und abgerufen. Dies entspricht den Richtlinien von Google zum Datenstandort. Das Erstellen eines neuen Beobachtungsjobs kann einige Minuten dauern.
  4. Beobachtungsjob aktivieren (optional). Sie können den Job beim Erstellen aktivieren. In diesem Fall beginnt er sofort mit der Beobachtung. Wenn Sie den Job nicht sofort aktivieren, können Sie ihn später über die Beobachtungsjobliste aktivieren.

Beobachtungsjobs aktivieren, deaktivieren und löschen

Wenn Sie ändern möchten, ob ein vorhandener Beobachtungsjob aktiviert (aktiv) ist, wählen Sie auf der Seite Beobachtungsjobs in der Zeile für diesen Job im Menü Aktionen entweder Aktivieren oder Deaktivieren aus.

Wenn Sie einen vorhandenen Beobachtungsjob löschen möchten, wählen Sie im Menü Aktionen für diesen Job die Option Löschen aus. Wenn Sie einen Job löschen, werden auch die zugehörigen Beobachtungsergebnisse entfernt. Wenn Sie die Ergebnisse beibehalten, aber den Job nicht fortsetzen möchten, sollten Sie ihn deaktivieren, anstatt ihn zu löschen. Aktive Jobs können nicht gelöscht werden. Deaktivieren Sie sie zuerst, wenn Sie sie löschen möchten.

API-Beobachtungen ansehen

Wenn Sie API-Beobachtungen für aktivierte Beobachtungsjobs ansehen möchten, wählen Sie den Tab API-Beobachtungen und dann den Beobachtungsjob aus der Liste aus.

Seite „API-Beobachtungen“

In der Beobachtungsliste werden die folgenden Werte angezeigt:

  • Hostname: Der API-Hostname. Klicken Sie auf den Hostnamen, um die Beobachtungsdetails aufzurufen.
  • API-Vorgänge: Die Anzahl der beobachteten API-Vorgänge (z. B. GET- oder PUT-Anfragen).
  • Server-IPs: IPs von Servern, auf denen die gefundenen APIs gehostet werden.
  • Quellstandorte: Der Quellstandort bzw. die Quellstandorte, an denen Traffic beobachtet wurden.
  • Letztes Ereignis erkannt (UTC): Das Datum und die Uhrzeit, zu der die letzte Anfrage an die API erkannt wurde.
  • Tags: Eine Liste der Tags, die Sie oder eine andere Person erstellt haben, um diese Beobachtung mit Labels zu versehen. Weitere Informationen finden Sie unter Tags verwenden.
  • Aktionen: Zusätzliche Aktionen, die für jede Beobachtung verfügbar sind.

Details zur Beobachtung ansehen

Nachdem Sie in der Beobachtungsliste auf den Hostnamen geklickt haben, wird die Seite mit den Beobachtungsdetails angezeigt.

Details zum Beobachtungsjob von Shadow API Discovery

Diese Seite enthält die folgenden Informationen zur Beobachtung.

  • Im Zusammenfassungsfeld oben auf der Seite sehen Sie Folgendes:
    • API-Beobachtungs-ID: Dies ist eine Apigee-spezifische Kennung.
    • API-Vorgänge: Eine Beschreibung dieses Felds finden Sie unter API-Beobachtungen ansehen.
    • Erstellungszeit (UTC): Das Datum und die Uhrzeit, zu der der Beobachtungsjob erstellt wurde.
    • Tags: Mit Tags können Sie die Ergebnisse von Beobachtungsjobs organisieren.
    • Zeitpunkt des letzten erkannten Ereignisses: Eine Beschreibung dieses Felds finden Sie unter API-Beobachtungen ansehen.
  • Eine Tabelle mit spezifischen API-Vorgängen, die in dieser gefundenen API erkannt wurden. Für jede Anfrage werden die folgenden Informationen angezeigt:
    • Pfad: Der Anfragepfad.
    • Methode: Die Anfragemethode (z. B. GET, PUT usw.).
    • Anzahl: Die Anzahl der Anfragen an diesen Pfad mit dieser Methode.
    • Transaktionsanfrage: Der Anfragetext aus Trafficdaten. Enthält die Anfrageheader und die entsprechende Anzahl an Transaktionen für diesen API-Vorgang.
    • Antwortheader der Transaktion: Die Antwortheader aus Trafficdaten. Enthält die Antwortheader und die entsprechende Anzahl an Transaktionen für diesen API-Vorgang.
    • Antwortcodes der Transaktion: Die Antwortcodes und die entsprechende Anzahl der Antworten mit diesem Code für diesen API-Vorgang.
    • Zuerst erfasst (UTC): Das erste Datum und die erste Uhrzeit, zu der die Anfrage an diesen API-Vorgang beobachtet wurde.
    • Zuletzt erfasst (UTC): Das letzte Datum und die letzte Uhrzeit, zu der die Anfrage an diesen API-Vorgang beobachtet wurde.

Tags verwenden

Mit Tags können Sie Beobachtungsergebnisse kategorisieren. Tags sind Metadaten und dienen nur zu Ihrer Nachverfolgung. Sie ändern nichts an den Beobachtungsergebnissen und lösen keine Aktionen aus. Wenn Sie beispielsweise das Tag „Maßnahme erforderlich“ hinzufügen, werden keine Hinweise oder Benachrichtigungen erstellt. Neue Beobachtungsergebnisse haben keine Tags.

Tags haben folgende Eigenschaften:

  • Sie können dasselbe Tag mehreren Beobachtungsergebnissen hinzufügen.
  • Tag-Namen können Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, einschließlich Leerzeichen, enthalten.
  • Nachdem ein Tag erstellt wurde, kann der Name nicht mehr geändert werden. Entfernen Sie das Tag und erstellen Sie es neu, um es umzubenennen.
  • Wenn Sie ein Tag aus allen Beobachtungsergebnissen entfernen, wird es aus dem System gelöscht.

Sie können Tags entweder über die Beobachtungsliste oder über die Seite mit den Beobachtungsdetails verwalten.

So verwalten Sie Tags über die API-Beobachtungsliste:

  • Sehen Sie sich die vorhandenen Tags in der Spalte Tags in der Beobachtungsliste an.
  • Wenn Sie Tags für ein Ergebnis verwalten möchten, wählen Sie in der Zeile für dieses Ergebnis im Menü Aktionen die Option Tags verwalten aus.
  • Wenn Sie Tags für ein oder mehrere Ergebnisse gleichzeitig verwalten möchten, wählen Sie mehrere Ergebnisse aus der Liste aus und klicken Sie dann oben in der Liste auf Tags verwalten.

So verwalten Sie Tags über die API-Beobachtungsdetails:

  • Sehen Sie sich die vorhandenen Tags im Abschnitt Tags an.
  • Wenn Sie Tags hinzufügen oder verwalten möchten, wählen Sie oben auf der Seite Tags verwalten aus.

Um Tags hinzuzufügen, wählen Sie in der Seitenleiste Tags verwalten entweder vorhandene Tags aus oder fügen Sie neue hinzu. Wenn Sie Tags entfernen möchten, heben Sie die Auswahl auf. Klicken Sie auf Speichern, um die neuen Tags zu speichern.

Über den API-Hub auf Shadow API Discovery zugreifen

Informationen zum Zugriff auf Shadow API Discovery über den API-Hub finden Sie unter API-Beobachtung im API-Hub verwalten.

Best Practices

Wir empfehlen die folgenden Vorgehensweisen für die Arbeit mit Shadow API Discovery:

  • Beachten Sie die Regeln zum Datenstandort Ihrer Organisation, um alle anwendbaren Bestimmungen und Gesetze einzuhalten.
  • Führen Sie Daten aus möglichst vielen Quellregionen zusammen, um die bestmögliche regionsübergreifende Korrelation zu erzielen. Wenn Sie mehr Quellregionen in Ihre Beobachtungsjobs einbeziehen, erhalten Sie einen umfassenderen Überblick über APIs in Ihrer kompletten Infrastruktur.

Verhalten und Einschränkungen

In diesem Abschnitt werden Verhaltensweisen und Einschränkungen für Shadow API Observation aufgeführt:

  • Die Verwendung von Shadow API Discovery garantiert nicht, dass 100 % des Traffics beobachtet oder alle Shadow APIs erkannt werden.
  • Shadow API Discovery findet Shadow APIs nur in Ihrer Infrastruktur von Google Cloud .
  • Beobachtungsjobs und ‑quellen müssen im selben Projekt konfiguriert werden, in dem das VPC-Netzwerk und das Subnetz eingerichtet sind.
  • Shadow API Discovery unterstützt derzeit nur externe und interne Application Load Balancer. Network Load Balancer werden nicht unterstützt.
  • Shadow API Discovery findet APIs mit HTTP-Protokoll, nicht gRPC.
  • Die Ausführung von API-Beobachtungsjobs auf Load-Balancern hat keine Auswirkungen auf die Latenz des API-Traffics.
  • Warnung: Shadow API Discovery unterstützt Load Balancer in einem Netzwerk pro Projekt. Wenn Sie Shadow API Discovery für ein Projekt mit mehreren Netzwerken aktivieren, kann es zu unerwartetem Verhalten kommen.
  • In Ihren beobachteten Projekten muss Traffic durch die Load-Balancer fließen, um Shadow APIs zu erkennen.
  • Es kann bis zu 30 Minuten dauern, bis ein neu aktivierter Beobachtungsjob Traffic erkennt. Das hängt vom Trafficvolumen ab. Bei geringem Traffic sind längere Beobachtungszeiträume erforderlich, bevor Ergebnisse verfügbar sind.
  • Pro Region kann nur eine einzelne Beobachtungsquelle verwendet werden. Maximal sind drei Beobachtungsjobs möglich. Wenn Sie mehr als drei Beobachtungsjobs benötigen, wenden Sie sich an Googles Cloud Customer Care, um den Anwendungsfall zu besprechen.
  • Beobachtungsjobs können erstellt und deaktiviert oder gelöscht, aber nicht bearbeitet werden. Wenn Sie einen Beobachtungsjob ändern müssen, löschen Sie ihn und erstellen Sie ihn neu.
  • Die folgenden Regionen werden derzeit für die API-Beobachtung und Shadow APIs unterstützt:
    • australia-southeast1
    • europe-west2
    • europe-west9
    • us-central1
    • us-east1
    • us-west1