A segurança avançada da API ativada na sua instância da Apigee

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Esta página descreve os recursos e funcionalidades do Advanced API Security quando ativado na sua instância do Apigee.

O diagrama abaixo ilustra como funciona a Segurança avançada de API.

A Segurança avançada de API monitora continuamente suas APIs para protegê-las contra ameaças à segurança, incluindo ataques de clientes mal-intencionados e abusos. A Segurança avançada de API analisa o tráfego para identificar solicitações de API suspeitas e fornece ferramentas para bloquear ou sinalizar essas solicitações, caso você decida fazer isso. Além disso, a Segurança avançada de API avalia as configurações da API para garantir que elas atendam aos padrões de segurança e oferece recomendações para melhorá-las, se necessário.

A Segurança avançada de API usa o seguinte processo para proteger suas APIs:

1. O Advanced API Security coleta dados do tráfego recente transmitido pelas suas APIs.
2. O Advanced API Security analisa os dados para detectar padrões de tráfego fora do normal que indicam uma ameaça às APIs.
3. O Advanced API Security apresenta os resultados da análise nas seguintes páginas na UI da Apigee:
   • Detecção de abuso
   • Relatórios de segurança
   • Avaliação de riscos
4. Depois de conferir a análise, é possível bloquear ou sinalizar solicitações de endereços IP específicos usando a página de ações de segurança. Crie também alertas de segurança que notificam você sobre eventos relacionados ao Advanced API Security.

Observação: a Advanced API Security não é compatível com APIs em execução no Adaptador da Apigee para Envoy.

Usar a segurança avançada da API

A segurança avançada da API está disponível como um complemento pago para os seguintes tipos de organização:

• Organizações de assinatura e pagamento por uso da Apigee
• Organizações da Apigee híbrida
• Organizações da Apigee com residência de dados ativada. Consulte Residência de dados e Apigee híbrida para informações sobre o uso com organizações híbridas ativadas para DRZ.

Para usar a segurança avançada da API, primeiro você precisa ativá-la, conforme descrito nas seções a seguir:

• Gerenciar a segurança avançada de APIs para organizações com pagamento por uso
• Gerenciar a segurança avançada de APIs para organizações com assinaturas

É possível testar a segurança avançada da API sem custos financeiros em qualquer organização de teste. Entre em contato com a equipe de vendas da Apigee para saber mais.

Recursos da Segurança avançada de API

As seções a seguir descrevem brevemente os recursos da Segurança avançada de API.

Detecção de abuso

A detecção de abuso mostra incidentes de segurança envolvendo suas APIs. Um incidente de segurança é um grupo de ocorrências de segurança detectadas relacionadas entre si. A Segurança avançada de API usa regras de detecção baseadas nos algoritmos de machine learning do Google para identificar padrões que são sinais de atividade maliciosa, incluindo raspagem de dados de API e anomalias. É possível então adotar medidas contra essas ameaças com ações de segurança.

Relatórios de segurança

Os relatórios de segurança apresentam análises mais detalhadas das ameaças de segurança às APIs. Por exemplo, é possível criar relatórios sobre o número de solicitações maliciosas por várias dimensões, como o país de origem da solicitação. É possível ver esses relatórios na interface da Apigee ou pela API.

Avaliação de riscos

A avaliação de risco ajuda a identificar APIs que não estão em conformidade com os padrões de segurança. A avaliação de risco avalia regularmente as configurações da API e calcula pontuações para classificar o nível de segurança. Quando uma pontuação baixa indica um problema de configuração, a Segurança avançada de API fornece recomendações para resolvê-lo.

Ações de segurança

As ações de segurança permitem definir como a Apigee processa o tráfego detectado, com base nas informações da página "Detecção de abusos". Por exemplo, é possível criar uma ação de segurança para negar solicitações de um endereço IP identificado como uma fonte de abuso.

Alertas de segurança

É possível configurar alertas de segurança para enviar notificações quando o Advanced API Security detectar eventos relacionados a ele, como incidentes de segurança ou mudanças nas pontuações de segurança.

Ofuscação de dados com a Advanced API Security

O Advanced API Security trabalha com dados ofuscados para substituir dados sensíveis por um valor de hash. Consulte Ofuscar dados do usuário para o Apigee API Analytics para informações sobre a funcionalidade de ofuscação de dados.

Quando a ofuscação é configurada, as verificações da Advanced API Security, como Detecção de abuso e Ações de segurança, são aplicadas antes da ofuscação. Por exemplo, é possível detectar abuso de um endereço IP específico mesmo que ele esteja ofuscado. No entanto, os valores ofuscados (como o endereço IP do cliente) não ficam visíveis para os usuários em texto claro (sem hash) nas interfaces ou APIs do Advanced API Security. Os valores com hash são mostrados.

Em alguns casos, é necessário extrair um valor de dados não ofuscado para usar com o Advanced API Security. Por exemplo, talvez seja necessário um endereço IP do cliente para configurar uma ação de segurança. Se o valor já estiver ofuscado, não será possível recuperar o endereço IP em texto não criptografado. Usar o valor ofuscado (com hash) na configuração da ação de segurança não funciona porque a ofuscação de dados usa um hash unidirecional, e o Advanced API Security não pode converter o valor com hash de volta para o valor de texto não criptografado.