Présentation
La découverte d'API Shadow détecte les API Shadow (également appelées API non documentées) dans votre infrastructure cloud existante. Les API Shadow présentent un risque pour la sécurité de votre système, car elles peuvent ne pas être sécurisées, surveillées ni gérées. La détection de l'API Shadow fait partie de l'observation des API dans Apigee.
Vous pouvez configurer et exécuter des jobs pour observer l'activité des API dans des projets Google Cloud individuels. Dans votre instance centralisée du hub d'API Apigee, vous pouvez associer ces projets pour afficher les résultats de ces jobs et les comparer automatiquement aux API "connues" documentées dans le hub d'API. Pour savoir comment utiliser la détection de l'API Shadow dans le hub d'API Apigee, consultez Observations des API dans le hub d'API.
Pour en savoir plus sur la compatibilité de la résidence des données avec la découverte des API fantômes, consultez Compatibilité avec la résidence des données.
Activer la découverte des API fantômes
La détection de l'API Shadow fait partie du module complémentaire Advanced API Security et est disponible pour les projets Google Cloud , qu'ils soient provisionnés ou non avec Apigee.
Si votre projet Google Cloud est provisionné pour Apigee :
- Pour les clients disposant d'un abonnement, elle est disponible avec l'organisation Apigee. Consultez Gérer Advanced API Security pour les organisations avec abonnement.
- Les clients facturés à l'usage doivent activer le module complémentaire pour au moins un environnement. Consultez Gérer Advanced API Security pour les organisations avec paiement à l'usage.
- La détection de l'API Shadow n'est pas disponible pour les environnements d'évaluation Apigee.
Si votre projet Google Cloud n'est pas provisionné pour Apigee,vous pouvez ajouter la détection d'API Shadow à votre projet en contactant le service commercial d'Apigee.
Activer la détection des API Shadow depuis Apigee
Les instructions de cette section pour configurer et afficher les résultats des observations de l'API sont basées sur l'interface utilisateur d'Apigee dans la console Cloud. Vous pouvez également utiliser les API Apigee Management (APIM) pour gérer la détection d'API Shadow. Consultez API de gestion de la détection d'API Shadow.
Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.
Activer la découverte des API Shadow depuis API Hub
Pour activer la découverte d'API Shadow à partir du hub d'API, suivez les instructions de la section Configurer l'observation des API dans le hub d'API.
Rôles et autorisations requis pour la détection de l'API Shadow
Le tableau ci-dessous présente les rôles requis pour effectuer des tâches liées à la détection de l'API Shadow.
| Tâche | Rôles requis |
|---|---|
| Activer ou désactiver Advanced API Security | Administrateur de l'organisation Apigee (roles/apigee.admin) |
| Créer des sources et des jobs d'observation | Administrateur de gestion des API (roles/apim.admin) |
| Afficher les observations | Lecteur de gestion des API (roles/apim.viewer) |
Accéder à la détection de l'API Shadow dans l'UI Apigee
Cette section explique comment accéder à la détection de l'API Shadow dans l'interface utilisateur d'Apigee.
Pour accéder à la détection de l'API Shadow dans l'interface utilisateur Apigee :
-
Dans la console Google Cloud , accédez à la page Observation des API > API fantômes.
- La page principale affiche les observations d'API déjà générées. Sélectionnez les onglets Observations des API et Tâches d'observation pour passer de l'affichage des résultats à la Création de tâches d'observation.
Créer des jobs d'observation
Les jobs d'observation fournissent les instructions dont la détection de l'API Shadow a besoin pour rechercher les API non documentées. Pour créer un job d'observation, procédez comme suit. Tenez compte des comportements et des limites qui s'appliquent à la création de jobs d'observation.
- Sélectionnez l'onglet Jobs d'observation, puis cliquez sur Créer un job d'observation.
- Sélectionnez une ou plusieurs sources d'observation ou cliquez sur Créer une source d'observation en bas de la liste Sources d'observation pour créer de nouvelles sources d'emplacement si nécessaire. Notez que le processus de création de la source d'observation peut prendre plusieurs minutes.
Les sources d'observation incluent :
Nom de la source : nom que vous spécifiez pour identifier la source.
Emplacement : emplacement où observer. L'inclusion de davantage de régions sources permet d'obtenir une vue plus large des API dans votre infrastructure. Consultez les bonnes pratiques. Vous ne pouvez créer qu'une seule source d'observation dans un lieu.
Réseau et Sous-réseau : réseau et sous-réseau VPC. Le réseau et le sous-réseau doivent se trouver dans le même projet que la source d'observation. Le sous-réseau doit également se trouver dans la même région que l'emplacement de la source d'observation. - Créez un job d'observation. Indiquez un nom de job d'observation, qui doit être unique par emplacement. Sélectionnez un emplacement, qui spécifie l'emplacement où auront lieu l'agrégation et le traitement des données. Toutes les données collectées dans les régions sources sont traitées dans cette région et accessibles depuis celle-ci, conformément aux Règles de Google concernant la résidence des données. La création d'un job d'observation peut prendre quelques minutes.
- Activez le job d'observation (facultatif). Vous pouvez activer le job lorsque vous le créez. Dans ce cas, il commence immédiatement à observer. Si vous n'activez pas le job immédiatement, vous pourrez l'activer ultérieurement à partir de la liste des jobs d'observation.
Activer, désactiver et supprimer des jobs d'observation
Pour activer (rendre actif) ou désactiver un job d'observation existant, sélectionnez Activer ou Désactiver dans le menu Actions de la ligne correspondant à ce job sur la page Jobs d'observation.
Pour supprimer un job d'observation existant, sélectionnez Supprimer dans le menu Actions de ce job. La suppression d'un job entraîne également la suppression des résultats d'observation qui y sont associés. Par conséquent, si vous souhaitez conserver les résultats tout en empêchant le job de se poursuivre, désactivez-le plutôt que de le supprimer. Vous ne pouvez pas supprimer les jobs actifs. Vous devez d'abord les désactiver.
Afficher les observations d'API
Pour afficher les observations des API pour les jobs d'observation activés, sélectionnez l'onglet Observations des API, puis Job d'observation dans la liste.
![Page "Observations d'API"](https://docs.cloud.google.com/static/apigee/docs/api-observation/images/shadow_api_observations_list1.png?hl=fr "Page "Observations d'API"")
La liste des observations affiche les valeurs suivantes :
- Nom d'hôte : nom d'hôte de l'API. Cliquez sur le nom d'hôte pour afficher les détails de l'observation.
- Opérations d'API : nombre d'opérations d'API observées (par exemple, requêtes GET ou PUT).
- Adresses IP de serveurs : adresses IP des serveurs hébergeant les API détectées.
- Emplacements sources : zones sources dans lesquelles le trafic a été observé.
- Dernier événement détecté (UTC) : date et heure de détection de la requête la plus récente envoyée à l'API.
- Tags : liste des tags que vous ou une autre personne avez créés pour étiqueter cette observation. Pour en savoir plus, consultez la section Utiliser des tags.
- Actions : actions supplémentaires disponibles pour chaque observation.
Afficher les détails de l'observation
Une fois que vous avez cliqué sur le nom d'hôte dans la liste des observations, la page des détails de l'observation s'affiche.
Cette page contient les informations suivantes sur l'observation.
- La zone récapitulative en haut de la page affiche les éléments suivants :
- ID d'observation de l'API : il s'agit d'un identifiant spécifique à Apigee.
- Opérations d'API : consultez la section Afficher les observations d'API pour obtenir une description de ce champ.
- Heure de création (UTC) : date et heure de création du job d'observation.
- Tags : utilisez des tags pour organiser les résultats des jobs d'observation.
- Heure du dernier événement détecté : consultez la section Afficher les observations de l'API pour obtenir une description de ce champ.
- Tableau des opérations d'API spécifiques détectées sur cette API découverte. Pour chaque demande, les informations suivantes sont affichées :
- Chemin d'accès : chemin d'accès de la requête.
- Méthode : méthode de la requête (par exemple GET, PUT, etc.).
- Nombre : le nombre de requêtes adressées à ce chemin avec cette méthode.
- Requête de transaction : corps de la requête des données de trafic. Inclut les en-têtes de requête et le nombre de transactions correspondant pour cette opération d'API.
- En-têtes de réponse de transaction : en-têtes de réponse des données de trafic. Inclut les en-têtes de réponse et le nombre de transactions correspondant pour cette opération d'API.
- Codes de réponse de transaction : codes de réponse et nombre correspondant de réponses avec ce code pour cette opération d'API.
- Première occurrence (UTC) : date et heure auxquelles la requête adressée à cette opération d'API a été observée pour la première fois.
- Dernière occurrence (UTC) : date et heure les plus récentes auxquelles la requête adressée à cette opération d'API a été observée.
Utiliser les tags
Les tags vous permettent de classer les résultats des observations. Les tags sont des métadonnées et ne servent qu'à votre suivi. Ils ne modifient rien aux résultats d'observation ni ne déclenchent aucune action. Par exemple, l'ajout d'un tag "Nécessite votre attention" ne crée aucune notification ni alerte. Les nouveaux résultats d'observation ne comportent pas de tags.
Les tags présentent les caractéristiques suivantes :
- Vous pouvez ajouter le même tag à plusieurs résultats d'observation.
- Les noms de tags peuvent inclure des caractères en minuscule et en majuscule, des chiffres et des caractères spéciaux, y compris des espaces.
- Une fois qu'un tag est créé, son nom ne peut plus être modifié. Pour le renommer, supprimez-le, puis recréez-le.
- Supprimer un tag de tous les résultats d'observation le supprime du système.
Vous pouvez gérer les tags depuis la liste d'observation ou la page des détails de l'observation.
Pour gérer les tags à partir de la liste des observations sur les API :
- Consultez les tags existants dans la colonne Tags de la liste des observations.
- Pour gérer les tags d'un résultat, sélectionnez Gérer les tags dans le menu Actions de la ligne correspondant à ce résultat.
- Pour gérer les tags d'un ou de plusieurs résultats simultanément, sélectionnez plusieurs résultats dans la liste, puis Gérer les tags en haut de la liste.
Pour gérer les tags à partir des détails de l'observation de l'API :
- Consultez les tags existants dans la section Tags.
- Pour ajouter ou gérer des tags, sélectionnez Gérer les tags en haut de la page.
Dans le panneau latéral Gérer les tags, sélectionnez des tags existants ou ajoutez-en de nouveaux pour ajouter des tags. Pour supprimer des tags, désélectionnez-les. Cliquez sur Enregistrer pour enregistrer les nouveaux tags.
Accéder à la détection des API Shadow depuis l'API Hub
Pour savoir comment accéder à la détection d'API Shadow depuis le hub d'API, consultez Gérer l'observation des API dans le hub d'API.
Bonnes pratiques
Nous vous recommandons de suivre ces pratiques lorsque vous utilisez la détection de l'API Shadow :
- Respectez les règles de résidence des données de votre organisation pour vous assurer de la conformité avec les lois et réglementations applicables.
- Agrégez les données du plus grand nombre possible de régions sources pour obtenir la meilleure corrélation entre les régions. Si vous incluez davantage de régions sources dans vos jobs d'observation, vous obtiendrez une vue plus large des API dans votre infrastructure.
Comportements et limites
Cette section répertorie les comportements et les limites qui s'appliquent à la détection de l'API Shadow :
- L'utilisation de la détection d'API Shadow ne garantit pas l'observation de 100% du trafic, ni la découverte de toutes les API Shadow.
- La détection des API Shadow ne trouve les API Shadow que sur votre infrastructure Google Cloud .
- Les jobs et les sources d'observation doivent être configurés dans le même projet que le réseau et le sous-réseau VPC.
- La détection de l'API Shadow n'est compatible qu'avec les équilibreurs de charge d'application externes et internes pour le moment. Les équilibreurs de charge réseau ne sont pas acceptés.
- La découverte d'API non documentées détecte les API utilisant le protocole HTTP, et non gRPC.
- L'exécution de jobs d'observation des API sur les équilibreurs de charge n'a aucune incidence sur la latence du trafic des API.
- Avertissement : La détection d'API Shadow est compatible avec les équilibreurs de charge sur un réseau par projet. Si vous activez la détection d'API Shadow sur un projet comportant plusieurs réseaux, vous risquez de constater un comportement inattendu.
- Pour détecter les API fantômes, le trafic doit transiter par les équilibreurs de charge dans vos projets observés.
- Il peut s'écouler jusqu'à 30 minutes avant qu'un job d'observation nouvellement activé ne détecte le trafic, en fonction du volume de trafic. Un trafic clairsemé nécessite des périodes d'observation plus longues avant que les résultats ne soient disponibles.
- Par région, il existe une limite d'une source d'observation et un maximum de trois jobs d'observation. Si vous avez besoin de plus de trois jobs d'observation, veuillez contacter Google Cloud Customer Care pour discuter du cas d'utilisation.
- Les tâches d'observation peuvent être créées, désactivées ou supprimées, mais pas modifiées. Si vous avez besoin de modifier un job d'observation, supprimez-le et recréez-le.
- Les régions suivantes sont actuellement compatibles avec l'observation des API et les API Shadow :
- australia-southeast1
- europe-west2
- europe-west9
- us-central1
- us-east1
- us-west1