Descripción general de Shadow API Discovery

Descripción general

Shadow API Discovery encuentra APIs shadow (también conocidas como API sin documentar) en tu infraestructura de nube existente. Las APIs shadow representan un riesgo de seguridad para tu sistema, ya que pueden estar sin protección, sin supervisión y sin mantenimiento. Shadow API Discovery es parte de API Observation en Apigee.

Puedes configurar y ejecutar trabajos para observar la actividad de la API en proyectos individuales Google Cloud . Dentro de tu instancia centralizada del centro de APIs de Apigee, puedes conectar esos proyectos para ver los resultados de esos trabajos y compararlos automáticamente con las APIs "conocidas" documentadas en el centro de APIs. Para obtener información sobre el uso de Shadow API Discovery en el centro de APIs de Apigee, consulta Observaciones de APIs en el centro de APIs.

Para obtener información sobre la compatibilidad con la residencia de datos para Shadow API Discovery, consulta Compatibilidad con la residencia de datos.

Habilita Shadow API Discovery

Shadow API Discovery es parte del complemento Advanced API Security y está disponible para Google Cloud proyectos con o sin aprovisionamiento de Apigee.

Si tu Google Cloud proyecto está aprovisionado para Apigee, haz lo siguiente:

Para los clientes de suscripción, está disponible con la organización de Apigee. Consulta Administra Advanced API Security para las organizaciones de suscripción
Los clientes de pago por uso deben habilitar el complemento para al menos un entorno. Consulta Administra Advanced API Security para las organizaciones de pago por uso.
Shadow API Discovery no está disponible para los entornos de evaluación de Apigee.

Si tu Google Cloud proyecto no está aprovisionado para Apigee, puedes agregar Shadow API Discovery a tu proyecto comunicándote con Ventas de Apigee.

Habilita Shadow API Discovery desde Apigee

Las instrucciones de esta sección para configurar y ver los resultados de las observaciones de API se basan en la IU de Apigee en la consola de Cloud. También puedes usar las APIs de administración de Apigee (APIM) para administrar Shadow API Discovery. Consulta las APIs de administración de Shadow API Discovery.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Habilita Shadow API Discovery desde el centro de APIs

Para habilitar Shadow API Discovery desde el centro de APIs, sigue las instrucciones que se indican en Configura la observación de APIs en el centro de APIs.

Roles y permisos obligatorios para Shadow API Discovery

En la siguiente tabla, se muestran los roles necesarios para realizar tareas relacionadas con Shadow API DiscoveryI.

Tarea	Roles requeridos
Habilita o inhabilita Advanced API Security	Administrador de la organización de Apigee (roles/apigee.admin)
Crea fuentes y trabajos de observación	Administrador de administración de API (roles/apim.admin)
Visualiza observaciones	Visualizador de administración de API (roles/apim.viewer)

Accede a Shadow API Discovery en la IU de Apigee

En esta sección, se describe cómo acceder a Shadow API Discovery en la IU de Apigee.

Para acceder a Shadow API Discovery en la IU de Apigee, haz lo siguiente:

En la Google Cloud consola, ve a la página Apigee > API Observation > Shadow API.

Ir a Shadow API
En la página principal, se muestran las observaciones de API que ya se generaron. Selecciona las pestañas Observaciones de APIs y Trabajos de observación para alternar entre visualizar resultados y crear trabajos de observación.

Crea trabajos de observación

Los trabajos de observación proporcionan las instrucciones que Shadow API Discovery necesita para buscar APIs shadow. Sigue estos pasos para crear un trabajo de observación. Ten en cuenta los comportamientos y las limitaciones que se aplican a la creación de trabajos de observación.

Selecciona la pestaña Trabajos de observación y, luego, haz clic en Crear trabajo de observación.
Selecciona una o más Fuentes de observación, o haz clic en Crear fuente de observación en la parte inferior de la lista Fuentes de observación para crear nuevas ubicaciones de origen si es necesario. Ten en cuenta que el proceso para crear la fuente de observación puede demorar varios minutos.

Las fuentes de observación incluyen:
Nombre de la fuente: Un nombre que especifiques para identificar la fuente.
Ubicación: Una ubicación para observar. La inclusión de más regiones de origen permite una vista más amplia de las APIs en toda tu infraestructura. Consulta Prácticas recomendadas. Solo se puede crear una fuente de observación fuente en una ubicación.
Red y subred: La red y la subred de VPC. La red y subred deben estar en el mismo proyecto que la fuente de observación. La subred también debe estar en la misma región que la ubicación de la fuente de observación.
Crear trabajo de observación. Proporciona un nombre de trabajo de observación, que debe ser único por ubicación. Selecciona una ubicación, que especifica dónde se producirá la agregación y el procesamiento de datos. Todos los datos recopilados en las regiones de origen se procesan y se accede a ellos desde esta región, de acuerdo con las políticas de residencia de datos de Google. La creación de un nuevo trabajo de observación puede tardar unos minutos en completarse.
Habilitar trabajo de observación (opcional). Puedes habilitar el trabajo cuando lo creas, en cuyo caso comienza a observar de inmediato. Si no habilitas el trabajo de inmediato, puedes habilitar el trabajo de observación más adelante desde la lista de trabajos de observación.

Habilita, inhabilita y borra trabajos de observación

Para cambiar si un trabajo de observación existente está habilitado (activo), selecciona Habilitar o Inhabilitar en el menú Acciones de la fila de ese trabajo en la página Trabajos de observación.

Para borrar un trabajo de observación existente, selecciona Borrar en el menú Acciones de ese trabajo. Si borras un trabajo, también se quitan los resultados de observación asociados a él, por lo que, si deseas conservar los resultados mientras detienes el trabajo, inhabilítalo en lugar de borrarlo. No se pueden borrar los trabajos activos. Primero, inhabilita los trabajos activos si necesitas borrar los.

Visualiza observaciones de APIs

Para ver observaciones de APIs para los trabajos de observación habilitados, elige la pestaña Observaciones de APIs y, luego, selecciona Trabajo de observación de la lista.

En la lista de observaciones, se muestran los siguientes valores:

Nombre de host: El nombre de host de la API. Haz clic en el nombre de host para ver los detalles de la observación.
Operaciones de API: La cantidad de operaciones de API (como solicitudes GET o PUT) que se observan.
IP de servidor: IP de los servidores que alojan las APIs descubiertas.
Ubicaciones de origen: Las ubicaciones de origen en las que se observó el tráfico.
Último evento detectado (UTC): La fecha y hora en que se detectó la solicitud más reciente a la API fue detectada.
Etiquetas: Una lista de las etiquetas que tú o alguien más crearon para etiquetar esta observación. Consulta Usa etiquetas para obtener más información.
Acciones: Acciones adicionales disponibles para cada observación.

Visualiza los detalles de la observación

Después de hacer clic en el nombre de host en la lista de observaciones, verás la página de detalles de la observación.

Detalles del trabajo de observación de Shadow API Discovery

Esta página incluye la siguiente información sobre la observación.

En el cuadro de resumen en la parte superior de la página, se muestra lo siguiente:
- ID de observación de API: Este es un identificador específico de Apigee.
- Operaciones de la API: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
- Fecha de creación (UTC): Es la fecha y hora en que se creó el trabajo de observación.
- Etiquetas: Usa etiquetas para organizar los resultados del trabajo de observación.
- Hora del último evento detectado: Consulta Visualiza observaciones de APIs para obtener una descripción de este campo.
Una tabla de operaciones de API específicas detectadas en esta API descubierta. Para cada solicitud, se muestra la siguiente información:
- Ruta de acceso: La ruta de acceso de la solicitud.
- Método: El método de solicitud (como GET, PUT, etc.).
- Recuento: La cantidad de solicitudes a esa ruta de acceso con ese método.
- Solicitud de transacción: El cuerpo de la solicitud a partir de datos de tráfico. Incluye los encabezados de solicitud y los recuentos de transacciones correspondientes para esta operación de API.
- Encabezados de respuesta de la transacción: Los encabezados de respuesta de los datos de tráfico. Incluye los encabezados de respuesta y los recuentos de transacciones correspondientes para esta operación de API.
- Códigos de respuesta de la transacción: Los códigos de respuesta y los recuentos correspondientes de respuestas con ese código para esta operación de API.
- Visto por primera vez (UTC): La primera fecha y hora en que se observó la solicitud a esta operación de API.
- Visto por última vez (UTC): La fecha y hora más reciente en que se observó la solicitud a esta operación de API.

Usa etiquetas

Las etiquetas te permiten categorizar los resultados de observación. Las etiquetas son metadatos y son solo para tu seguimiento. Las etiquetas no cambian nada en los resultados de observación ni activan ninguna acción. Por ejemplo, agregar una etiqueta "Necesita atención" no crea ningún aviso ni alerta. Los resultados de observación nuevos no tienen etiquetas.

Las etiquetas tienen las siguientes características:

Puedes agregar la misma etiqueta a varios resultados de observación.
Los nombres de las etiquetas pueden incluir caracteres en mayúsculas y minúsculas, números y caracteres especiales, incluidos espacios.
Una vez que se crea una etiqueta, no se puede cambiar el nombre. Quita y vuelve a crear la etiqueta para cambiarle el nombre .
Si quitas una etiqueta de todos los resultados de observación, se borrará del sistema.

Puedes administrar etiquetas desde la lista de observaciones o la página de detalles de la observación.

Para administrar etiquetas desde la lista de observaciones de API, haz lo siguiente:

Consulta las etiquetas existentes en la columna Etiquetas de la lista de observaciones.
Para administrar etiquetas para un resultado, selecciona Administrar etiquetas en el menú Acciones de la fila de ese resultado.
Para administrar etiquetas para uno o más resultados al mismo tiempo, selecciona varios resultados de la lista y, luego, Administrar etiquetas en la parte superior de la lista.

Para administrar etiquetas desde los detalles de la observación de API, haz lo siguiente:

Consulta las etiquetas existentes en la sección Etiquetas.
Para agregar o administrar etiquetas, elige Administrar etiquetas en la parte superior de la página.

En el panel lateral Administrar etiquetas, para agregar etiquetas, selecciona las etiquetas existentes o agrega etiquetas nuevas. Para quitar etiquetas, anula la selección. Haz clic en Guardar para guardar las etiquetas nuevas.

Accede a Shadow API Discovery desde el centro de APIs

Para obtener información sobre cómo acceder a Shadow API Discovery desde el centro de APIs, consulta Administra la observación de APIs en el centro de APIs.

Prácticas recomendadas

Recomendamos estas prácticas cuando trabajas con Shadow API Discovery:

Sigue las reglas de residencia de datos de tu organización para garantizar el cumplimiento de las leyes y reglamentaciones aplicables.
Agrega desde tantas regiones de origen como sea posible para obtener la mejor correlación entre regiones. La inclusión de más regiones de origen en tus trabajos de observación da como resultado una vista más amplia de las APIs en toda tu infraestructura.

Comportamientos y limitaciones

En esta sección, se enumeran los comportamientos y las limitaciones que se aplican a Shadow API Discovery:

El uso de Shadow API Discovery no garantiza la observación del 100% del tráfico o el descubrimiento de todas las APIs shadow.
Shadow API Discovery encuentra las APIs shadow solo en tu Google Cloud infraestructura.
Los trabajos y las fuentes de observación deben configurarse en el mismo proyecto en el que se configuran la red y la subred de VPC.
Por el momento, Shadow API Discovery solo admite balanceadores de cargas de aplicaciones externos e internos . No se admiten los balanceadores de cargas de red.
Shadow API Discovery encuentra APIs del protocolo HTTP, no gRPC.
La ejecución de trabajos de observación de APIs en balanceadores de cargas no tiene ningún impacto de latencia en tráfico de la API.
Advertencia: Shadow API Discovery admite balanceadores de cargas en una red por proyecto. Si habilitas Shadow API Discovery en un proyecto con varias redes, es posible que veas comportamientos inesperados.
Debe haber tráfico que fluya a través de los balanceadores de cargas en los proyectos observados en orden para detectar APIs shadow.
Un trabajo de observación recién habilitado puede tardar hasta 30 minutos en detectar tráfico, dependiendo del volumen de tráfico. El tráfico disperso requiere tiempos de observación más largos antes de que los resultados estén disponibles.
Por región, hay un límite de una sola fuente de observación y un máximo de tres trabajos de observación. Si necesitas más de tres trabajos de observación, comunícate con Atención al cliente de GoogleCloud para analizar el caso de uso.
Los trabajos de observación se pueden crear e inhabilitar o borrar, pero no se pueden editar. Si necesitas para cambiar un trabajo de observación, bórralo y vuelve a crearlo.
Actualmente, se admiten las siguientes regiones para la observación de APIs y las APIs shadow:
- australia-southeast1
- europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1

Descripción general de Shadow API Discovery Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.