סקירה כללית על Shadow API Discovery

סקירה כללית

התכונה Shadow API Discovery (גילוי ממשקי API לא רשמיים) מוצאת ממשקי API לא רשמיים (שנקראים גם ממשקי API לא מתועדים) בתשתית הענן הקיימת שלכם. ממשקי API מסוג Shadow מהווים סיכון אבטחה למערכת, כי יכול להיות שהם לא מאובטחים, לא מנוטרים ולא מתוחזקים. התכונה Shadow API Discovery היא חלק מAPI Observation ב-Apigee.

אתם יכולים להגדיר ולהריץ משימות כדי לעקוב אחר פעילות של ממשקי API בפרויקטים Google Cloud נפרדים. במופע המרכזי של Apigee API hub, אפשר לצרף את הפרויקטים האלה כדי לראות את התוצאות של העבודות האלה ולהשוות אותן באופן אוטומטי לממשקי API 'מוכרים' שמתועדים ב-API hub. מידע על שימוש ב-Shadow API Discovery ב-Apigee API hub זמין במאמר API observations in API hub.

מידע על תאימות של מיקום נתונים ל-Shadow API Discovery זמין במאמר בנושא תאימות של מיקום נתונים.

הפעלת גילוי של Shadow API

התכונה 'גילוי ממשקי API לא רשמיים' היא חלק מהתוסף 'אבטחה מתקדמת של ממשקי API', והיא זמינה בפרויקטים של Google Cloud עם או בלי הקצאת משאבים של Apigee.

אם פרויקט Google Cloud הוקצה ל-Apigee:

אם הפרויקט שלכם לא הוקצה ל-Apigee, אתם יכולים להוסיף את Shadow API Discovery לפרויקט שלכם על ידי פנייה אל מחלקת המכירות של Apigee. Google Cloud

הפעלת גילוי של Shadow API מ-Apigee

ההוראות שבקטע הזה להגדרה ולצפייה בתוצאות של תצפיות על API מבוססות על ממשק המשתמש של Apigee במסוף Cloud. אפשר גם להשתמש בממשקי Apigee Management (APIM) API כדי לנהל את התכונה Shadow API Discovery. ממשקי API לניהול גילוי של ממשקי Shadow API

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

הפעלת גילוי של ממשקי API לא רשמיים מ-API Hub

כדי להפעיל את התכונה 'גילוי ממשקי API לא רשמיים' מ-API Hub, פועלים לפי ההוראות במאמר הגדרת מעקב אחרי ממשקי API ב-API Hub.

תפקידים והרשאות שנדרשים לזיהוי ממשקי API לא רשמיים

בטבלה הבאה מפורטים התפקידים הנדרשים לביצוע משימות שקשורות ל-Shadow API Discovery.

משימה תפקידים נדרשים
הפעלה או השבתה של Advanced API Security Apigee אדמין ארגוני (roles/apigee.admin)
יצירת מקורות ותהליכים של תצפיות API Management Admin (roles/apim.admin)
צפייה בתצפיות בעל הרשאת צפייה ב-API Management (roles/apim.viewer)

גישה ל-Shadow API Discovery בממשק המשתמש של Apigee

בקטע הזה מוסבר איך לגשת ל-Shadow API Discovery בממשק המשתמש של Apigee.

כדי לגשת ל-Shadow API Discovery בממשק המשתמש של Apigee:

  1. במסוף Google Cloud , נכנסים לדף Apigee > API Observation > Shadow API.

    מעבר אל Shadow API

  2. בדף הראשי מוצגות תצפיות API שכבר נוצרו. בוחרים בכרטיסיות API Observations ו-Observation Jobs כדי לעבור בין הצגת התוצאות לבין יצירת משימות תצפית.

יצירת משימות תצפית

משימות התצפית מספקות את ההוראות שנדרשות ל-Shadow API Discovery כדי לחפש ממשקי API של צללים. כדי ליצור משימת תצפית, פועלים לפי השלבים הבאים. חשוב להכיר את ההתנהגויות והמגבלות שחלות על יצירת משימות של תצפיות.

  1. לוחצים על הכרטיסייה Observation jobs (משימות תצפית) ואז על Create observation job (יצירת משימת תצפית).
  2. בוחרים מקורות תצפית אחד או יותר, או לוחצים על יצירת מקור תצפית בתחתית הרשימה מקורות תצפית כדי ליצור מיקומי מקור חדשים אם צריך. שימו לב: תהליך היצירה של מקור התצפיות עשוי להימשך כמה דקות.

    מקורות התצפית כוללים:
    שם המקור: שם שאתם מציינים כדי לזהות את המקור.
    מיקום: מיקום למעקב. הוספה של עוד אזורים של מקורות מאפשרת תצוגה רחבה יותר של ממשקי API בתשתית שלכם. שיטות מומלצות אפשר ליצור רק מקור תצפית אחד במיקום.
    רשת ותת-רשת: רשת ה-VPC ותת-הרשת. הרשת ותת-הרשת צריכות להיות באותו פרויקט כמו מקור התצפית. גם רשת המשנה צריכה להיות באותו אזור שבו נמצא המיקום של מקור התצפית.
  3. יצירת משימת תצפית. מזינים שם ייחודי למשימת התצפית לכל מיקום. בוחרים מיקום שבו יתבצעו צבירה ועיבוד של הנתונים. כל הנתונים שנאספים באזורי המקור מעובדים באזור הזה ומתבצעת אליהם גישה ממנו, בהתאם למדיניות של Google בנושא מיקום הנתונים. יצירת משימת תצפית חדשה עשויה להימשך כמה דקות.
  4. הפעלת משימת תצפית (אופציונלי). אפשר להפעיל את העבודה כשיוצרים אותה, ואז היא מתחילה לפעול באופן מיידי. אם לא מפעילים את העבודה באופן מיידי, אפשר להפעיל את עבודת התצפית מאוחר יותר מרשימת עבודות התצפית.

הפעלה, השבתה ומחיקה של משימות תצפית

כדי לשנות את הסטטוס של משימת תצפית קיימת ל'מופעלת' (פעילה) או ל'מושבתת', בוחרים באפשרות הפעלה או השבתה בתפריט פעולות בשורה של המשימה בדף משימות תצפית.

כדי למחוק משימת תצפית קיימת, בוחרים באפשרות מחיקה בתפריט פעולות של המשימה. כשמוחקים משימה, נמחקים גם תוצאות התצפית שמשויכות למשימה. לכן, אם רוצים לשמור את התוצאות אבל להפסיק את המשך המשימה, כדאי להשבית אותה ולא למחוק אותה. אי אפשר למחוק משרות פעילות. אם רוצים למחוק משרות פעילות, צריך להשבית אותן קודם.

צפייה בתצפיות של API

כדי לראות את התצפיות של ממשקי ה-API עבור משימות תצפית שהופעלו, בוחרים בכרטיסייה API Observations ואז בוחרים את Observation job מהרשימה.

הדף API Observations

ברשימת התצפיות מוצגים הערכים הבאים:

  • שם המארח: שם המארח של ה-API. לוחצים על שם המארח כדי לראות את פרטי התצפית.
  • פעולות API: מספר פעולות ה-API שנצפו (למשל, בקשות GET או PUT).
  • כתובות IP של השרתים: כתובות ה-IP של השרתים שמארחים את ממשקי ה-API שזוהו.
  • מיקומי מקור: המיקומים שבהם נצפתה התנועה.
  • האירוע האחרון שזוהה (UTC): התאריך והשעה שבהם זוהתה הבקשה האחרונה ל-API.
  • תגים: רשימה של התגים שאתם או מישהו אחר יצרתם כדי לתייג את התצפית הזו. מידע נוסף זמין במאמר בנושא שימוש בתגים.
  • פעולות: פעולות נוספות שזמינות לכל תצפית.

הצגת פרטי התצפית

אחרי שלוחצים על שם המארח ברשימת התצפיות, מופיע דף הפרטים של התצפית.

פרטים על משימת תצפית של Shadow API Discovery

בדף הזה מופיע המידע הבא על התצפית.

  • בתיבת הסיכום בחלק העליון של הדף מוצגים הנתונים הבאים:
    • מזהה התצפית של ה-API: זהו מזהה ספציפי ל-Apigee.
    • פעולות API: תיאור השדה הזה מופיע במאמר בנושא הצגת תצפיות של API.
    • שעת היצירה (UTC): התאריך והשעה שבהם נוצרה משימת התצפית.
    • תגים: שימוש בתגים לארגון התוצאות של משימת התצפית.
    • השעה שבה אותר האירוע האחרון: תיאור של השדה הזה מופיע במאמר הצגת תצפיות של API.
  • טבלה של פעולות ספציפיות של API שזוהו ב-API הזה. לכל בקשה מוצגים הפרטים הבאים:
    • נתיב: נתיב הבקשה.
    • שיטה: שיטת הבקשה (למשל GET,‏ PUT וכו').
    • ספירה: מספר הבקשות לנתיב הזה עם השיטה הזו.
    • בקשה לעסקה: גוף הבקשה מנתוני התנועה. כולל את כותרות הבקשה ואת מספר העסקאות התואם לפעולת ה-API הזו.
    • כותרות תגובה של טרנזקציות: כותרות התגובה מנתוני התנועה. כולל את כותרות התגובה ואת מספר העסקאות התואם לפעולת ה-API הזו.
    • קודי תגובה לעסקאות: קודי התגובה והמספרים התואמים של התגובות עם הקוד הזה לפעולת ה-API הזו.
    • הפעם הראשונה שנצפה (UTC): התאריך והשעה הראשונים שבהם נצפתה הבקשה לפעולת ה-API הזו.
    • התאריך והשעה האחרונים שבהם נצפתה הבקשה לפעולת ה-API הזו (UTC):

שימוש בתגים

תגים מאפשרים לכם לסווג את תוצאות התצפית. תגים הם מטא-נתונים והם מיועדים למעקב בלבד. התגים לא משנים שום דבר בתוצאות התצפית ולא מפעילים שום פעולה. לדוגמה, הוספת התג Needs attention (נדרשת התייחסות) לא יוצרת הודעות או התראות. לתוצאות חדשות של תצפיות אין תגים.

המאפיינים של התגים:

  • אפשר להוסיף את אותו תג לכמה תוצאות של תצפיות.
  • שמות התגים יכולים לכלול אותיות רישיות וקטנות, מספרים ותווים מיוחדים, כולל רווחים.
  • אחרי שיוצרים תג, אי אפשר לשנות את השם שלו. כדי לשנות את השם, צריך להסיר את התג וליצור אותו מחדש.
  • הסרת תג מכל תוצאות התצפיות מוחקת אותו מהמערכת.

אפשר לנהל תגים מרשימת התצפיות או מדף פרטי התצפית.

כדי לנהל תגים מתוך רשימת התצפיות של ה-API:

  • התגים הקיימים מופיעים בעמודה Tags (תגים) ברשימת התצפיות.
  • כדי לנהל תגים של תוצאה אחת, בוחרים באפשרות ניהול תגים בתפריט פעולות בשורה של אותה תוצאה.
  • כדי לנהל תגים של תוצאה אחת או יותר בו-זמנית, בוחרים כמה תוצאות מהרשימה ואז לוחצים על ניהול תגים בחלק העליון של הרשימה.

כדי לנהל תגים מתוך פרטי התצפית של ה-API:

  • התגים הקיימים מופיעים בקטע Tags (תגים).
  • כדי להוסיף תגים או לנהל אותם, בוחרים באפשרות ניהול תגים בחלק העליון של הדף.

בחלונית הצדדית ניהול תגים, כדי להוסיף תגים, בוחרים תגים קיימים או מוסיפים תגים חדשים. כדי להסיר תגים, מבטלים את הבחירה שלהם. לוחצים על שמירה כדי לשמור את התגים החדשים.

גישה ל-Shadow API Discovery ממרכז ה-API

מידע על גישה ל-Shadow API Discovery מ-API hub זמין במאמר בנושא ניהול תצפית על ממשקי API ב-API hub.

שיטות מומלצות

אלה השיטות המומלצות לשימוש בתכונה 'גילוי API בצל':

  • כדי לוודא שאתם עומדים בכל התקנות והחוקים הרלוונטיים, אתם צריכים לפעול בהתאם לכללי מיקום הנתונים של הארגון.
  • כדי לקבל את המתאם הטוב ביותר בין אזורים, כדאי לצבור נתונים מכמה שיותר אזורי מקור. הכללת אזורי מקור נוספים במשימות התצפית מאפשרת לקבל תמונה רחבה יותר של ממשקי ה-API בתשתית שלכם.

התנהגויות ומגבלות

בקטע הזה מפורטים התנהגויות ומגבלות שחלות על Shadow API Discovery:

  • השימוש ב-Shadow API Discovery לא מבטיח מעקב אחר 100% מהתנועה או גילוי של כל ממשקי ה-API הלא רשמיים.
  • התכונה Shadow API Discovery מוצאת ממשקי API לא רשמיים רק בתשתית שלכם Google Cloud .
  • צריך להגדיר את משימות התצפית ואת המקורות באותו פרויקט שבו מוגדרים רשת ה-VPC ותת-הרשת.
  • נכון לעכשיו, התכונה Shadow API Discovery תומכת רק ב מאזני עומסים חיצוניים ופנימיים של אפליקציות. אין תמיכה במאזני עומס ברשת.
  • התכונה Shadow API Discovery מוצאת ממשקי API של פרוטוקול HTTP, ולא gRPC.
  • להרצת משימות של תצפית על API במאזני עומסים אין השפעה על זמן האחזור של תעבורת הנתונים של ה-API.
  • אזהרה: התכונה 'גילוי API של צללים' תומכת במאזני עומסים ברשת אחת לכל פרויקט. אם מפעילים את Shadow API Discovery בפרויקט עם כמה רשתות, יכול להיות שתראו התנהגות לא צפויה.
  • כדי לזהות ממשקי API נסתרים, צריך להיות תעבורת נתונים דרך מאזני העומסים בפרויקטים שנצפו.
  • יכול להיות שיעברו עד 30 דקות עד שמשימת תצפית שהופעלה לאחרונה תזהה תנועה, בהתאם לנפח התנועה. כשיש תנועה דלילה, צריך להמתין זמן רב יותר עד שהתוצאות יהיו זמינות.
  • בכל אזור יש מגבלה של מקור תצפית אחד ומקסימום שלושה ג'ובים של תצפיות. אם אתם צריכים יותר משלוש משימות תצפית, אתם יכולים לפנות אל Cloud Customer Care של Google כדי לדון בתרחיש השימוש.
  • אפשר ליצור משימות של תצפיות ולהשבית או למחוק אותן, אבל אי אפשר לערוך אותן. אם אתם צריכים לשנות משימת תצפית, תצטרכו למחוק אותה וליצור אותה מחדש.
  • נכון לעכשיו, האזורים הבאים תומכים ב-API observation וב-Shadow APIs:
    • ‫australia-southeast1
    • ‫europe-west2
    • europe-west9
    • us-central1
    • us-east1
    • us-west1