Descripción general de las acciones de seguridad y la interfaz de usuario

Esta página se aplica a Apigee y Apigee hybrid.

Consulta la documentación de Apigee Edge.

Las acciones de seguridad de Seguridad avanzada de las APIs te permiten configurar acciones de seguridad que definen cómo gestiona Apigee el tráfico. Por ejemplo, puedes crear una acción de seguridad para denegar las solicitudes de una dirección IP que Detección de abusos haya identificado como abuso y bloquear su acceso a tus APIs.

Para usar esta función, debes habilitar el complemento. Si tienes una suscripción, puedes habilitar el complemento para tu organización. Consulta más información en el artículo Gestionar la seguridad avanzada de las APIs en organizaciones de suscripción. Si eres cliente de la modalidad de pago por uso, puedes habilitar el complemento en los entornos aptos. Para obtener más información, consulta Gestionar el complemento Seguridad avanzada de las APIs.

En esta página se ofrece una descripción general de la función de acción de seguridad y se explica cómo usarla desde la interfaz de usuario de Apigee en la consola de Cloud. También puedes gestionar las acciones de seguridad con la API Security Actions o a través de Terraform.

Consulta también los roles necesarios para realizar acciones de seguridad.

Cómo funcionan las acciones de seguridad

Con las acciones de seguridad, puede permitir, denegar o marcar solicitudes explícitamente en función de condiciones específicas. Apigee aplica estas acciones a las solicitudes antes de que tus proxies de API las procesen. Normalmente, se toman medidas porque las solicitudes se ajustan a patrones de comportamiento no deseado o (en el caso de la acción de permitir) porque se quiere anular una acción de denegar para un tráfico específico.

La acción de marcar permite que las solicitudes se envíen a tus APIs, pero añade hasta cinco encabezados a las solicitudes marcadas para que puedas hacer un seguimiento de ellas y observar su comportamiento.

Una forma de identificar las solicitudes en las que se deben tomar medidas es usar las vistas Detección de abusos, Tráfico detectado o Incidente, que muestran las direcciones IP y las claves de API que son fuentes de abusos.

Acciones de seguridad

Puedes llevar a cabo los siguientes tipos de acciones de seguridad.

Tipo de acción	Descripción	Orden de prioridad
Permitir	Permite determinadas solicitudes que, de lo contrario, se bloquearían con una acción de denegación. Por ejemplo, supongamos que ha creado una acción de seguridad para denegar el tráfico que se ha etiquetado con una regla de detección. Puedes crear una acción de permitir para anular la acción de denegar en las solicitudes que cumplan determinadas condiciones.	1
Denegar	Bloquea todas las solicitudes que cumplan las condiciones de la acción, por ejemplo, las que procedan de una dirección IP especificada. Cuando decides denegar solicitudes, Apigee responde al cliente con un código de respuesta que puedes elegir.	2
Bandera	Marca las solicitudes que cumplan la condición especificada para que tus servicios de backend puedan tomar medidas al respecto. Cuando marcas las solicitudes de un cliente, Apigee añade hasta cinco encabezados, que tú defines, a la solicitud. Tus servicios de backend pueden procesar las llamadas a la API según estas marcas. Por ejemplo, pueden redirigir las llamadas a otro flujo. La acción de marca proporciona una forma de indicar a tus servicios de backend que una llamada a la API es sospechosa.	3

Orden de prioridad

Cuando una solicitud cumple la condición de más de una acción de seguridad, el orden de prioridad de las acciones determina qué acción se lleva a cabo. Por ejemplo, supongamos que una solicitud cumple las condiciones de una acción de permitir y de una acción de denegar. Como el orden de precedencia de una acción de permitir es 1 y el de una acción de denegar es 2, la acción de permitir tiene prioridad, por lo que se permite el acceso a la API.

Por ejemplo, puede que quieras permitir las solicitudes de la dirección IP de un cliente interno o de confianza, aunque esas solicitudes coincidan con una acción de denegación independiente. El orden de precedencia asegura que una acción de permiso para la dirección IP de confianza anule cualquier acción de denegación.

Acciones de seguridad específicas del proxy

Una acción de seguridad se puede aplicar a todos los proxies de un entorno o solo a un proxy o proxies específicos del entorno. Consulta las limitaciones de las acciones de seguridad para ver las limitaciones de las acciones de seguridad específicas del proxy.

Estados de las acciones de seguridad

Cada acción de seguridad tiene un estado:

Habilitada: la acción de seguridad está activa y afecta a las solicitudes de la API mientras no haya caducado.
Inhabilitado: la acción de seguridad está inactiva y no afecta a las solicitudes de la API.
En pausa: la acción de seguridad está inactiva y no afecta a las solicitudes a la API.

Limitaciones de las acciones de seguridad

Las acciones de seguridad se aplican a nivel de entorno de Apigee. En cada entorno, las acciones de seguridad tienen las siguientes limitaciones:

En cualquier momento,se pueden habilitar como máximo 1000 acciones por entorno. Las acciones habilitadas que también hayan caducado se tienen en cuenta para este límite.
Puedes añadir un máximo de 5 encabezados de marca por cada acción.
Las acciones de seguridad específicas de proxy admiten un máximo de 100 proxies.
Por el momento, las acciones de seguridad específicas de proxy no se admiten en Apigee hybrid.
No se admiten varias acciones de seguridad con el mismo nombre. Es posible que puedas crear varias acciones con el mismo nombre si las creas rápidamente de forma sucesiva. En ese caso, solo se tendrá en cuenta la acción más reciente con ese nombre.

Latencias

Las acciones de seguridad tienen las siguientes latencias:

Cuando creas, editas o eliminas una acción de seguridad, el cambio puede tardar hasta 10 minutos en aplicarse. Una vez que se haya aplicado una nueva acción y a parte del tráfico de la API, podrás ver sus efectos en la página Detalles de la acción de seguridad. Nota: No se puede determinar si una acción ha surtido efecto en la página de detalles de la acción de seguridad, a menos que se haya aplicado a parte del tráfico de la API.
Las acciones de seguridad habilitadas suponen un pequeño aumento (menos del 2 %) en el tiempo de respuesta del proxy de la API.

Gestionar acciones de seguridad en la interfaz de usuario

En esta sección se describe cómo usar la página Acciones de seguridad de la interfaz de Apigee en la consola de Cloud. También puedes gestionar las acciones de seguridad con la API Security actions.

Abre la página Acciones de seguridad.

Para abrir la página Acciones de seguridad, sigue estos pasos:

En la Google Cloud consola, ve a la página Seguridad avanzada de APIs > Acciones de seguridad.

Ir a Acciones de seguridad

Se abrirá la página principal Acciones de seguridad:

Página principal de acciones de seguridad.

En la página Acciones de seguridad, puedes hacer lo siguiente:

Crea una acción de seguridad.
Edita una acción de seguridad.
Habilitar o inhabilitar acciones de seguridad
Pausar todas o algunas de las acciones de seguridad habilitadas.
Eliminar acciones de seguridad.

En la página Acciones de seguridad se muestra una lista de acciones de seguridad con los siguientes detalles:

Nombre: el nombre de la acción de seguridad. Haga clic en el nombre para ver los detalles de la acción.
Estado: el estado de la acción. Consulta los estados de las acciones de seguridad.
Acción: el tipo de acción de seguridad.
Vencimiento (UTC): fecha de vencimiento de la acción.
Última actualización (UTC): la fecha y la hora en las que se actualizó la acción por última vez.
Un menú de tres puntos en el que puedes editar, inhabilitar, habilitar o eliminar la acción.

Crear o editar una acción de seguridad

En esta sección se explica cómo crear o editar una acción de seguridad. Ten en cuenta que no puedes cambiar el nombre de la acción de seguridad ni el entorno una vez que los hayas creado.

Para crear o editar una acción de seguridad, sigue estos pasos:

Abre la página Acciones de seguridad.
Para crear una acción de seguridad, haz clic en Crear en la parte superior de la página. Para editar una acción de seguridad, haz clic en Editar en el menú de tres puntos de esa acción en la lista de acciones o selecciona la acción y, en la parte superior de la página, selecciona Editar.
En Configuración general, introduce o edita los siguientes ajustes:
- Nombre: nombre de la acción de seguridad.
- Descripción (opcional): una breve descripción de la acción.
- Entorno: el entorno en el que quieres crear la acción de seguridad.
- Proxies (opcional): los proxies a los que quieres que se aplique la acción de seguridad. Limita la lista de proxies por nombre mediante el campo Filtro.
  - Deja el campo Proxies vacío para aplicar la acción de seguridad a todos los proxies actuales y futuros del entorno.
  - Seleccione proxies concretos para aplicar la acción de seguridad solo a esos proxies, independientemente de los nuevos proxies que se añadan al entorno más adelante.
  - Usa Seleccionar todo para seleccionar todos los proxies actuales del entorno. Los proxies que se añadan más adelante no se incluirán automáticamente en la regla.
- Vencimiento: fecha y hora en las que vence la acción, si procede. Selecciona una de las siguientes opciones: Nunca Personalizar y, a continuación, introduce la fecha y la hora en las que quieres que caduque la acción. También puedes modificar la zona horaria.
Haz clic en Siguiente para que se muestre la sección Regla. En esta sección, introduce o edita lo siguiente:
- Tipo de acción: el tipo de acción de seguridad:
  - Permitir: se permite la solicitud.
  - Denegar: se deniega la solicitud. Si seleccionas Denegar, también puedes especificar el código de respuesta que se devuelve cuando se deniega una solicitud. Puede ser:
    - Predefinido: selecciona un código HTTP.
    - Personalizado: introduce un código de respuesta.
  - Marca: la solicitud se permite, pero también se marca con un encabezado HTTP especial que un proxy busca para determinar si la solicitud requiere un tratamiento especial. Para definir el encabezado, en Encabezados, si seleccionas Marca, también puedes crear lo siguiente en Encabezados:
    - Nombre del encabezado
    - Valor de encabezado
- Condiciones: las condiciones en las que se lleva a cabo la acción de seguridad. En Nueva condición, introduce lo siguiente:
  - Tipo de condición: puede ser Reglas de detección o uno de los siguientes atributos:
    - Direcciones IP o intervalos CIDR, que pueden incluir direcciones IP e intervalos CIDR IPv4 al mismo tiempo.
    - Claves de API: una o varias claves de API.
    - Productos de API: uno o varios productos de API de Apigee.
    - Tokens de acceso: uno o varios tokens de acceso.
    - Desarrolladores: una o varias direcciones de correo de desarrolladores de Apigee.
    - Aplicaciones de desarrollador: una o varias aplicaciones de desarrollador de Apigee.
    - User-agents: uno o varios user-agents.
    - Métodos HTTP Métodos HTTP como GET o PUT.
    - Códigos de región: lista de códigos de región en los que se va a actuar. Consulta los códigos ISO 3166-1 alfa-2.
    - Números de sistemas autónomos (ASN): lista de números de ASN sobre los que se va a actuar, como "23". Consulta Sistema autónomo (Internet).
    Notas:
    - En el caso de los tipos de condición Reglas de detección y Direcciones IP o intervalos CIDR, puedes crear como máximo dos condiciones que tengan esos tipos. En el caso de cualquier otro tipo de condición, puedes crear como máximo una condición.
    - Para usar las condiciones de claves de API, productos de API, tokens de acceso, desarrolladores o aplicaciones de desarrolladores, también debe usar la política Verify API Key o la política OAuthV2. Consulta Cómo funcionan las claves de API para obtener más información.
    - En Apigee hybrid, estas condiciones están disponibles en la versión 1.12 y posteriores: claves de API, productos de API, tokens de acceso, desarrolladores, aplicaciones para desarrolladores y agentes de usuario. Estas condiciones están disponibles en la versión 1.13 y posteriores: números de sistema autónomos, intervalos CIDR, métodos HTTP y códigos de región.
  - Valores: introduce uno de los siguientes:
    - Si el Tipo de condición es Reglas de detección, selecciona un conjunto de reglas de detección que una solicitud debe haber activado para que se le aplique la acción de seguridad.
    - Si Tipo de condición es un atributo, introduzca los valores del atributo al que quiera aplicar la acción de seguridad. Por ejemplo, si el atributo es Direcciones IP o intervalos de CIDR, introduce las direcciones IP de las fuentes de las solicitudes a las que quieras aplicar la acción de seguridad. Puedes introducir una lista separada por comas de direcciones IPv4 o IPv6.
Haz clic en Crear para crear la acción de seguridad.

Habilitar, inhabilitar, pausar o eliminar acciones de seguridad

En esta sección se describe cómo cambiar el estado de una acción de seguridad desde la página Acciones de seguridad. Consulta los estados de las acciones de seguridad para obtener información sobre cada tipo de estado y cómo afecta a las acciones de las solicitudes de API.

Estas son las acciones que puedes llevar a cabo para cambiar los estados:

Para inhabilitar una acción de seguridad activa, haga clic en el menú de tres puntos de la fila de la acción y seleccione Inhabilitar o haga clic en el nombre de la acción de seguridad y, a continuación, en Inhabilitar en la parte superior de la página.
Para habilitar una acción de seguridad, haz clic en el menú de tres puntos de la fila de la acción y selecciona Habilitar o haz clic en el nombre de la acción de seguridad y, en la parte superior de la página, haz clic en Habilitar.
Para pausar todas las acciones de seguridad activas y desactivarlas temporalmente, haz clic en Pausar acciones habilitadas en la parte superior de la lista de acciones de seguridad de la página. Para reanudar todas las acciones pausadas, haz clic en Reanudar acciones pausadas en la parte superior de la página.
Nota: Cuando reanudas todas las acciones habilitadas, las acciones inhabilitadas permanecen inhabilitadas.

También puedes eliminar una acción de seguridad. Si lo eliminas, se quitará de tu configuración de forma permanente. Para eliminar una acción de seguridad, haz clic en el menú de tres puntos de la fila correspondiente y selecciona Eliminar. También puedes hacer clic en el nombre de la acción de seguridad y, en la parte superior de la página, seleccionar Eliminar.

Ver los detalles de las acciones de seguridad

Para ver los datos de tráfico de API recientes relacionados con una acción de seguridad, haz clic en el nombre de la acción de seguridad en la página principal Acciones de seguridad. Se muestra la página de detalles de la acción de seguridad, que tiene dos pestañas: Resumen y Atributos.

Información general

Seleccione la pestaña Resumen para mostrar la página Resumen:

Página de detalles de las acciones de seguridad.

La página Resumen muestra información sobre el tráfico reciente de las APIs durante el periodo que selecciones en la parte superior de la página: 12 horas, 1 día, 1 semana o 2 semanas.

En la página se muestran los siguientes datos de tráfico:

Tipo de acción: denegar, permitir o marcar. Consulta Acciones de seguridad para obtener información sobre los tipos de acciones.
Tráfico total del entorno: número total de solicitudes del entorno.
Tráfico de eventos detectado total: número de solicitudes que se han "detectado" (se ha activado una regla de abuso) en el entorno.
Tráfico total afectado por la acción:
- En el caso de una acción de denegación, el número de solicitudes denegadas.
- En el caso de una acción de denuncia, el número de solicitudes denunciadas.
- En el caso de una acción de permiso, el número de solicitudes permitidas.

En la página también se muestran los siguientes gráficos:

Tendencias del tráfico del entorno: gráficos del tráfico detectado, el tráfico marcado y el tráfico total del entorno. Este gráfico se limita a un intervalo de tiempo reciente que contiene todo el tráfico observado. Este intervalo puede ser más corto que el que selecciones.
Reglas principales
Países principales
Detalles de la acción

Atributos

Seleccione la pestaña Atributos para mostrar la página Atributos.

La página Atributos muestra los datos de la acción de seguridad por atributos, también conocidos como dimensiones, que son agrupaciones de datos que te permiten ver la acción de seguridad de diferentes formas. Por ejemplo, el atributo de productos de API le permite ver la acción de seguridad por producto de API.

La información que se muestra en la página Atributos es similar a la vista Atributos de los atributos de detalles de incidentes de Detección de abusos.