Descripción general de Shadow API Discovery

Descripción general

Shadow API Discovery encuentra APIs shadow (también conocidas como APIs sin documentar) en tu infraestructura de nube existente. Las APIs shadow representan un riesgo de seguridad para tu sistema, ya que pueden estar sin protección, sin supervisión y sin mantenimiento. Shadow API Discovery es parte de la observación de APIs en Apigee.

Puedes configurar y ejecutar trabajos para observar la actividad de la API en proyectos Google Cloud individuales. En tu instancia centralizada del centro de APIs de Apigee, puedes adjuntar esos proyectos para ver los resultados de esos trabajos y compararlos automáticamente con las APIs "conocidas" documentadas en el centro de APIs. Para obtener información sobre cómo usar Shadow API Discovery en el centro de API de Apigee, consulta Observaciones de la API en el centro de API.

Para obtener información sobre la compatibilidad con la residencia de datos para el Descubrimiento de APIs Shadow, consulta Compatibilidad con la residencia de datos.

Habilita Shadow API Discovery

Shadow API Discovery es parte del complemento Advanced API Security y está disponible para proyectos Google Cloud con o sin aprovisionamiento de Apigee.

Si tu Google Cloud proyecto está aprovisionado para Apigee, haz lo siguiente:

• Para los clientes de suscripción, está disponible con la organización de Apigee. Consulta Administra Advanced API Security para las organizaciones de suscripción
• Los clientes de pago por uso deben habilitar el complemento para al menos un entorno. Consulta Administra Advanced API Security para las organizaciones de pago por uso
• Shadow API Discovery no está disponible para los entornos de evaluación de Apigee.

Si tu proyecto Google Cloud no está aprovisionado para Apigee, puedes agregar Shadow API Discovery a tu proyecto comunicándote con Ventas de Apigee.

Habilita Shadow API Discovery desde Apigee

Las instrucciones de esta sección para configurar y ver los resultados de las observaciones de API se basan en la IU de Apigee en la consola de Cloud. También puedes usar las APIs de administración de Apigee (APIM) para administrar Shadow API Discovery. Consulta las APIs de administración de Shadow API Discovery.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Habilita Shadow API Discovery desde el centro de APIs

Para habilitar Shadow API Discovery desde el concentrador de APIs, sigue las instrucciones que se indican en Cómo configurar API Observation en el concentrador de APIs.

Roles y permisos obligatorios para Shadow API Discovery

En la siguiente tabla, se muestran los roles necesarios para realizar tareas relacionadas con Shadow API DiscoveryI.

Tarea	Roles requeridos
Habilita o inhabilita Advanced API Security	Administrador de la organización de Apigee (roles/apigee.admin)
Crea fuentes y trabajos de observación	Administrador de administración de API (roles/apim.admin)
Cómo ver las observaciones	Visualizador de administración de API (roles/apim.viewer)

Accede a Shadow API Discovery en la IU de Apigee

En esta sección, se describe cómo acceder a Shadow API Discovery en la IU de Apigee.

Para acceder a Shadow API Discovery en la IU de Apigee, haz lo siguiente:

1. En la Google Cloud consola, ve a la página API Observation > Shadow API.

   Ir a Shadow API

2. En la página principal, se muestran las observaciones de la API que ya se generaron. Selecciona las pestañas Observaciones de APIs y Trabajos de observación para alternar entre visualizar resultados y crear trabajos de observación.

Crea trabajos de observación

Los trabajos de observación proporcionan las instrucciones que Shadow API Discovery necesita para buscar APIs shadow. Sigue estos pasos para crear un trabajo de observación. Ten en cuenta los comportamientos y las limitaciones que se aplican a la creación de trabajos de observación.

1. Selecciona la pestaña Trabajos de observación y, luego, haz clic en Crear trabajo de observación.
2. Selecciona una o más Fuentes de observación, o haz clic en Crear fuente de observación en la parte inferior de la lista Fuentes de observación para crear nuevas ubicaciones de origen si es necesario. Ten en cuenta que el proceso para crear la fuente de observación puede demorar varios minutos.
   
   Las fuentes de observación incluyen:
   Nombre de la fuente: Un nombre que especifiques para identificar la fuente.
   Ubicación: Una ubicación para observar. La inclusión de más regiones de origen permite una vista más amplia de las APIs en toda tu infraestructura. Consulta las prácticas recomendadas. Solo se puede crear una fuente de observación en una ubicación.
   Red y subred: La red y la subred de VPC. La red y la subred deben estar en el mismo proyecto que la fuente de observación. La subred también debe estar en la misma región que la ubicación de origen de la observación.
3. Crea un trabajo de observación. Proporciona un nombre para el trabajo de observación, que debe ser único por ubicación. Selecciona una ubicación, que especifica dónde se producirá la agregación y el procesamiento de datos. Todos los datos recopilados en las regiones de origen se procesan y se accede a ellos desde esta región, de conformidad con las políticas de residencia de datos de Google. La creación de un nuevo trabajo de observación puede tardar unos minutos en completarse.
4. Habilita el trabajo de observación (opcional). Puedes habilitar el trabajo cuando lo crees, en cuyo caso comenzará a observar de inmediato. Si no habilitas el trabajo de inmediato, puedes habilitarlo más adelante desde la lista de trabajos de observación.

Habilita, inhabilita y borra trabajos de observación

Para cambiar si un trabajo de observación existente está habilitado (activo), selecciona Habilitar o Inhabilitar en el menú Acciones de la fila de ese trabajo en la página Trabajos de observación.

Para borrar un trabajo de observación existente, selecciona Borrar en el menú Acciones de ese trabajo. Si borras un trabajo, también se quitarán los resultados de observación asociados a él. Por lo tanto, si quieres conservar los resultados y, al mismo tiempo, detener el trabajo, inhabilítalo en lugar de borrarlo. Los trabajos activos no se pueden borrar. Primero, inhabilita los trabajos activos si necesitas borrarlos.

Visualiza observaciones de APIs

Para ver observaciones de APIs para los trabajos de observación habilitados, elige la pestaña Observaciones de APIs y, luego, selecciona Trabajo de observación de la lista.

En la lista de observaciones, se muestran los siguientes valores:

• Nombre de host: Es el nombre de host de la API. Haz clic en el nombre de host para ver los detalles de la observación.
• Operaciones de API: La cantidad de operaciones de API (como solicitudes GET o PUT) que se observan.
• IP de servidor: IP de los servidores que alojan las APIs descubiertas.
• Ubicaciones de origen: Son las ubicaciones de origen en las que se observó tráfico.
• Último evento detectado (UTC): Es la fecha y hora en que se detectó la solicitud más reciente a la API.
• Etiquetas: Es una lista de las etiquetas que tú o alguien más crearon para etiquetar esta observación. Consulta Usa etiquetas para obtener más información.
• Acciones: Son acciones adicionales disponibles para cada observación.

Visualiza los detalles de la observación

Después de hacer clic en el nombre de host en la lista de observaciones, verás la página de detalles de la observación.

Esta página incluye la siguiente información sobre la observación.

• En el cuadro de resumen que se encuentra en la parte superior de la página, se muestra lo siguiente:
  • ID de observación de API: Este es un identificador específico de Apigee.
  • Operaciones de la API: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
  • Fecha de creación (UTC): Es la fecha y hora en que se creó el trabajo de observación.
  • Etiquetas: Usa etiquetas para organizar los resultados de los trabajos de observación.
  • Hora del último evento detectado: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
• Es una tabla de operaciones de API específicas detectadas en esta API descubierta. Para cada solicitud, se muestra la siguiente información:
  • Ruta: Es la ruta de la solicitud.
  • Método: Es el método de la solicitud (como GET, PUT, etcétera).
  • Recuento: Es la cantidad de solicitudes a esa ruta de acceso con ese método.
  • Solicitud de transacción: El cuerpo de la solicitud a partir de datos de tráfico. Incluye los encabezados de la solicitud y los recuentos de transacciones correspondientes para esta operación de la API.
  • Encabezados de respuesta de la transacción: Son los encabezados de respuesta de los datos de tráfico. Incluye los encabezados de respuesta y los recuentos de transacciones correspondientes para esta operación de la API.
  • Códigos de respuesta de la transacción: Son los códigos de respuesta y los recuentos correspondientes de las respuestas con ese código para esta operación de la API.
  • Visto por primera vez (UTC): La primera fecha y hora en que se observó la solicitud a esta operación de API.
  • Visto por última vez (UTC): La fecha y hora más reciente en que se observó la solicitud a esta operación de API.

Usa etiquetas

Las etiquetas te permiten categorizar los resultados de observación. Las etiquetas son metadatos y solo sirven para tu seguimiento; no cambian nada en los resultados de la observación ni activan ninguna acción. Por ejemplo, agregar una etiqueta "Requiere atención" no crea avisos ni alertas. Los resultados de observación nuevos no tienen etiquetas.

Las etiquetas tienen las siguientes características:

• Puedes agregar la misma etiqueta a varios resultados de observación.
• Los nombres de las etiquetas pueden incluir caracteres en mayúsculas y minúsculas, números y caracteres especiales, incluidos los espacios.
• Una vez que se crea una etiqueta, no se puede cambiar su nombre. Para cambiarle el nombre, quítala y vuelve a crearla.
• Si quitas una etiqueta de todos los resultados de observación, se borrará del sistema.

Puedes administrar las etiquetas desde la lista de observaciones o la página de detalles de la observación.

Para administrar etiquetas desde la lista de observaciones de APIs, sigue estos pasos:

• Consulta las etiquetas existentes en la columna Etiquetas de la lista de observaciones.
• Para administrar las etiquetas de un resultado, selecciona Administrar etiquetas en el menú Acciones de la fila correspondiente.
• Para administrar las etiquetas de uno o más resultados al mismo tiempo, selecciona varios resultados de la lista y, luego, Administrar etiquetas en la parte superior de la lista.

Para administrar etiquetas desde los detalles de la observación de la API, sigue estos pasos:

• Consulta las etiquetas existentes en la sección Etiquetas.
• Para agregar o administrar etiquetas, elige Administrar etiquetas en la parte superior de la página.

En el panel lateral Administrar etiquetas, para agregar etiquetas, selecciona las existentes o agrega nuevas. Para quitar etiquetas, anula su selección. Haz clic en Guardar para guardar las etiquetas nuevas.

Accede a Shadow API Discovery desde el centro de APIs

Para obtener información sobre cómo acceder a Shadow API Discovery desde el centro de APIs, consulta Administra la observación de APIs en el centro de APIs.

Prácticas recomendadas

Recomendamos estas prácticas cuando trabajas con Shadow API Discovery:

• Sigue las reglas de residencia de datos de tu organización para garantizar el cumplimiento de las reglamentaciones y leyes aplicables.
• Agrega datos de la mayor cantidad posible de regiones de origen para obtener la mejor correlación entre regiones. La inclusión de más regiones de origen en tus trabajos de observación da como resultado una vista más amplia de las APIs en toda tu infraestructura.

Comportamientos y limitaciones

En esta sección, se enumeran los comportamientos y las limitaciones que se aplican a Shadow API Discovery:

• El uso de Shadow API Discovery no garantiza la observación del 100% del tráfico o el descubrimiento de todas las APIs shadow.
• Shadow API Discovery encuentra las APIs shadow solo en tu infraestructura de Google Cloud .
• Los trabajos y las fuentes de observación se deben configurar en el mismo proyecto en el que se configuran la red de VPC y la subred.
• Por el momento, Shadow API Discovery solo admite balanceadores de cargas de aplicaciones externos e internos. No se admiten los balanceadores de cargas de red.
• Shadow API Discovery encuentra APIs del protocolo HTTP, no gRPC.
• La ejecución de trabajos de observación de APIs en balanceadores de cargas no tiene ningún impacto en la latencia del tráfico de APIs.
• Advertencia: Shadow API Discovery admite balanceadores de cargas en una red por proyecto. Si habilitas Shadow API Discovery en un proyecto con varias redes, es posible que veas comportamientos inesperados.
• Debe haber tráfico que fluya a través de los balanceadores de cargas en los proyectos observados para detectar APIs shadow.
• Un trabajo de observación recién habilitado puede tardar hasta 30 minutos en detectar tráfico, según el volumen de tráfico. El tráfico disperso requiere períodos de observación más largos antes de que los resultados estén disponibles.
• Por región, hay un límite de una sola fuente de observación y un máximo de tres trabajos de observación. Si necesitas más de tres trabajos de observación, comunícate con Atención al cliente de Google​Cloud para analizar el caso de uso.
• Los trabajos de observación se pueden crear e inhabilitar o borrar, pero no se pueden editar. Si necesitas cambiar un trabajo de observación, bórralo y vuelve a crearlo.
• Actualmente, se admiten las siguientes regiones para la observación de APIs y las APIs de Shadow:
  • australia-southeast1
  • europe-west2
  • europe-west9
  • us-central1
  • us-east1
  • us-west1