Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית וממשק משתמש של פעולות אבטחה

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

פעולות אבטחה מתקדמות של API מאפשרות לכם להגדיר פעולות אבטחה שמגדירות איך Apigee מטפל בתעבורת נתונים. לדוגמה, אתם יכולים ליצור פעולת אבטחה כדי לדחות בקשות מכתובת IP שזוהתה על ידי התכונה 'זיהוי התנהלות פוגעת' כהתנהלות פוגעת, ולחסום את הגישה שלה לממשקי ה-API שלכם.

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

בדף הזה מוסבר על הפונקציונליות של פעולות אבטחה ואיך משתמשים בה בממשק המשתמש של Apigee במסוף Cloud. אפשר גם לנהל פעולות אבטחה באמצעות Security actions API או באמצעות Terraform.

בנוסף, במאמר תפקידים שנדרשים לביצוע פעולות אבטחה מפורטים התפקידים שנדרשים לביצוע משימות שקשורות לפעולות אבטחה.

איך פועלות פעולות אבטחה

באמצעות פעולות אבטחה, אתם יכולים לאשר, לדחות או לסמן בקשות באופן מפורש על סמך תנאים ספציפיים. מערכת Apigee מחילה את הפעולות האלה על בקשות לפני שהן מעובדות על ידי שרתי ה-proxy של ה-API. בדרך כלל, אתם מבצעים פעולה כי הבקשות תואמות לדפוסים של התנהגות לא רצויה, או (במקרה של פעולת ההרשאה) כי אתם רוצים לבטל פעולת דחייה לגבי תנועה ספציפית.

פעולת הסימון מאפשרת לבקשות לעבור אל ממשקי ה-API שלכם, אבל מוסיפה עד חמש כותרות לבקשות שסומנו, כדי שתוכלו לעקוב אחריהן ולבחון את ההתנהגות שלהן.

אחת הדרכים לזהות את הבקשות שצריך לטפל בהן היא באמצעות התצוגות זיהוי התנהלות פוגעת תנועה שזוהתה או אירוע, שבהן מוצגות כתובות IP ומפתחות API שהם מקורות להתנהלות פוגעת.

פעולות אבטחה

אפשר לבצע את סוגי פעולות האבטחה הבאים.

סוג הפעולה	תיאור	סדר העדיפות
אישור	מאפשרת בקשות מסוימות שנחסמות בדרך כלל על ידי פעולת דחייה. לדוגמה, נניח שיצרתם פעולת אבטחה לדחיית תנועה שתויגה באמצעות כלל זיהוי. אפשר ליצור פעולת אישור כדי לבטל את פעולת הדחייה עבור בקשות עם תנאים ספציפיים.	1
דחייה	חסימת כל הבקשות שעומדות בתנאים של הפעולה, למשל, בקשות שמקורן בכתובת IP ספציפית. כשבוחרים לדחות בקשות, Apigee מגיב ללקוח עם קוד תגובה שאפשר לבחור.	2
דגל	סימון בקשות שעומדות בתנאי שצוין, כדי ששירותי ה-Backend יוכלו לבצע בהן פעולה. כשמסמנים בקשות של לקוח, Apigee מוסיף לבקשה עד חמש כותרות שאתם מגדירים. שירותי ה-Backend יכולים לעבד את הקריאות ל-API בהתאם לסימון הזה, למשל על ידי הפניית הקריאות לזרימה אחרת. פעולת הסימון מאפשרת לשלוח לשירותים לקצה העורפי אות לכך שקריאה ל-API היא חשודה.	3

סדר העדיפות

כשבקשה עומדת בתנאי של יותר מפעולת אבטחה אחת, סדר העדיפות של הפעולות קובע איזו פעולה תתבצע. לדוגמה, נניח שבקשה עומדת בתנאים של פעולת אישור וגם של פעולת דחייה. מכיוון שסדר העדיפות של פעולת אישור הוא 1 וסדר העדיפות של פעולת דחייה הוא 2, פעולת האישור קודמת לפעולת הדחייה, ולכן הבקשה מקבלת גישה ל-API.

לדוגמה, יכול להיות שתרצו לאפשר בקשות מכתובת ה-IP של לקוח פנימי או מהימן, גם אם הבקשות האלה תואמות לפעולת דחייה נפרדת. סדר העדיפות מבטיח שפעולת הרשאה לכתובת ה-IP המהימנה תבטל כל פעולת דחייה.

פעולות אבטחה ספציפיות לשרת proxy

פעולת אבטחה יכולה לחול על כל השרתים הפרוקסי בסביבה או רק על שרת פרוקסי ספציפי או על שרתים פרוקסי ספציפיים בסביבה. במאמר מגבלות על פעולות אבטחה מפורטות מגבלות על פעולות אבטחה ספציפיות לפרוקסי.

סטטוסים של פעולות אבטחה

לכל פעולת אבטחה יש סטטוס:

מופעלת: פעולת האבטחה פעילה ומשפיעה על בקשות API כל עוד היא לא פגה.
מושבתת: פעולת האבטחה לא פעילה ולא משפיעה על בקשות API.
מושהית: פעולת האבטחה לא פעילה ולא משפיעה על בקשות ה-API.

הגבלות על פעולות אבטחה

פעולות האבטחה נאכפות ברמת סביבת Apigee. לכל סביבה, יש מגבלות על פעולות אבטחה:

בכל רגע נתון, אפשר להפעיל עד 1,000 פעולות בסביבה. הפעולות המופעלות שגם פג תוקפן נכללות במגבלה הזו.
אפשר להוסיף עד 5 כותרות של דגלים לכל פעולה.
פעולות אבטחה ספציפיות לפרוקסי תומכות ב-100 פרוקסי לכל היותר.
בשלב הזה, אין תמיכה בפעולות אבטחה ספציפיות ל-Proxy ב-Apigee hybrid.
המערכת לא תומכת בכמה פעולות אבטחה עם אותו שם. יכול להיות שאפשר ליצור כמה פעולות עם אותו שם אם יוצרים כמה פעולות ברצף מהיר. במקרה כזה, רק הפעולה האחרונה עם השם הזה תהיה בתוקף.

זמני האחזור

זמני האחזור של פעולות אבטחה הם:

כשיוצרים, עורכים או מוחקים פעולת אבטחה, יכולות לחלוף עד 10 דקות עד שהשינוי ייכנס לתוקף. אחרי שפעולה חדשה נכנסת לתוקף ומוחלת על חלק מהתנועה של API, אפשר לראות את ההשפעות של הפעולה בדף פרטי פעולת האבטחה. הערה: אי אפשר לדעת אם פעולה מסוימת נכנסה לתוקף בדף הפרטים של פעולת האבטחה, אלא אם הפעולה הוחלה על תנועת API מסוימת.
הפעלת פעולות אבטחה גורמת לעלייה קלה (פחות מ-2%) בזמן התגובה של proxy ל-API.

ניהול פעולות אבטחה בממשק המשתמש

בקטע הזה מוסבר איך להשתמש בדף פעולות אבטחה בממשק המשתמש של Apigee במסוף Cloud. אפשר גם לנהל פעולות אבטחה באמצעות Security actions API.

פתיחת הדף פעולות אבטחה

כדי לפתוח את הדף פעולות אבטחה:

במסוף Google Cloud , נכנסים לדף Apigee > Advanced API security > Security actions.

מעבר אל 'פעולות אבטחה'

ייפתח הדף הראשי פעולות אבטחה:

בדף פעולות אבטחה אפשר:

יצירת פעולת אבטחה חדשה
עריכה של פעולת אבטחה קיימת.
הפעלה או השבתה של פעולות אבטחה.
השהיה של כל פעולות האבטחה המופעלות או חלק מהן.
מחיקת פעולות אבטחה.

בדף פעולות אבטחה מוצגת רשימה של פעולות אבטחה, עם הפרטים הבאים:

שם: השם של פעולת האבטחה. כדי לראות את פרטי הפעולה, לוחצים על השם שלה.
סטטוס: הסטטוס של הפעולה. סטטוסים של פעולות אבטחה
פעולה: סוג פעולת האבטחה.
תפוגה (UTC): תאריך התפוגה של הפעולה.
העדכון האחרון (UTC): התאריך והשעה האחרונים שבהם הפעולה עודכנה.
תפריט שלוש נקודות שבו אפשר לערוך, להשבית, להפעיל או למחוק את הפעולה.

יצירה או עריכה של פעולת אבטחה

בקטע הזה מוסבר איך ליצור או לערוך פעולת אבטחה. חשוב לדעת שאי אפשר לשנות את השם או את הסביבה של פעולת האבטחה אחרי שיוצרים אותה.

כדי ליצור או לערוך פעולת אבטחה:

פותחים את הדף פעולות אבטחה.
כדי ליצור פעולת אבטחה חדשה, לוחצים על יצירה בחלק העליון של הדף. כדי לערוך פעולת אבטחה קיימת, לוחצים על סמל העריכה בתפריט שלוש הנקודות של הפעולה ברשימת הפעולות, או בוחרים את הפעולה ולוחצים על עריכה בחלק העליון של הדף.
בקטע הגדרות כלליות, מזינים או עורכים את ההגדרות הבאות:
- שם: שם לפעולת האבטחה.
- תיאור (אופציונלי): תיאור קצר של הפעולה.
- סביבה: הסביבה שבה רוצים ליצור את פעולת האבטחה.
- שרתי Proxy (אופציונלי): שרתי ה-Proxy שרוצים להחיל עליהם את פעולת האבטחה. כדי להגביל את רשימת השרתים הפרוקסי לפי שם, משתמשים בשדה Filter.
  - כדי להחיל את פעולת האבטחה על כל השרתים הפרוקסי הנוכחיים והעתידיים בסביבה, משאירים את השדה Proxies (שרתי פרוקסי) ריק.
  - בוחרים שרתי proxy ספציפיים כדי להחיל את פעולת האבטחה רק על השרתים האלה, בלי קשר לשרתי proxy חדשים שיתווספו לסביבה בהמשך.
  - משתמשים באפשרות בחירת הכול כדי לבחור את כל ה-proxies הנוכחיים בסביבה. פרוקסי שיתווספו מאוחר יותר לא ייכללו בכלל באופן אוטומטי.
- תפוגה: התאריך והשעה שבהם יפוג תוקף הפעולה, אם יש כאלה. בוחרים באפשרות אף פעם או באפשרות מותאם אישית, ואז מזינים את התאריך והשעה שבהם רוצים שתוקף הפעולה יפוג. אפשר גם לשנות את אזור הזמן.
לוחצים על הבא כדי להציג את הקטע כלל. בקטע הזה, מזינים או עורכים את הפרטים הבאים:
- סוג הפעולה: הסוג של פעולת האבטחה:
  - אפשרות הגישה: הגישה לבקשה מותרת.
  - דחייה: הבקשה נדחית. אם בוחרים באפשרות דחייה, אפשר גם לציין את קוד התגובה שמוחזר כשבקשה נדחית. הערך יכול להיות:
    - מוגדר מראש: בוחרים קוד HTTP.
    - בהתאמה אישית: מזינים קוד תגובה.
  - סימון: הבקשה מותרת, אבל היא גם מסומנת בכותרת HTTP מיוחדת ששרת proxy מחפש כדי לקבוע אם הבקשה דורשת טיפול מיוחד. כדי להגדיר את הכותרת, בקטע כותרות, אם בוחרים באפשרות דגל, אפשר גם ליצור את האפשרויות הבאות בקטע כותרות:
    - שם הכותרת
    - ערך הכותרת
- תנאים: התנאים שבהם מתבצעת פעולת האבטחה. בקטע תנאי חדש, מזינים את הפרטים הבאים:
  - סוג התנאי: יכול להיות כללי זיהוי או אחת מהתכונות הבאות:
    - כתובות IP/טווחים של CIDR, שיכולים לכלול כתובות IP וטווחים של CIDR IPv4 בו-זמנית.
    - מפתחות API, מפתח API אחד או יותר.
    - מוצרי API, מוצר API אחד או יותר של Apigee.
    - אסימוני גישה, אסימון גישה אחד או יותר.
    - מפתחים, כתובת אימייל אחת או יותר של מפתחים ב-Apigee.
    - אפליקציות למפתחים, אפליקציה אחת או יותר למפתחים ב-Apigee.
    - סוכני משתמש, סוכן משתמש אחד או יותר.
    - שיטות HTTP, שיטות HTTP כמו GET או PUT.
    - קודים של אזורים, רשימה של קודים של אזורים שבהם רוצים לבצע פעולה. אפשר לעיין בקודי ISO 3166-1 alpha-2.
    - מספרי מערכת אוטונומית (ASN), רשימה של מספרי ASN לפעולה, לדוגמה '23'. מערכת אוטונומית (אינטרנט)
    הערות:
    - עבור סוגי התנאים כללי זיהוי וכתובות IP/טווחים של CIDR, אפשר ליצור לכל היותר שני תנאים מהסוגים האלה. לכל סוג אחר של תנאי, אפשר ליצור לכל היותר תנאי אחד.
    - כדי להשתמש בתנאים API keys,‏ API products,‏ access tokens,‏ developers או developer apps, צריך להשתמש גם במדיניות Verify API Key או במדיניות OAuthV2. מידע נוסף זמין במאמר בנושא איך מפתחות API פועלים.
    - ב-Apigee hybrid, התנאים האלה זמינים בגרסה 1.12 ואילך: מפתחות API, מוצרי API, אסימוני גישה, מפתחים, אפליקציות למפתחים וסוכני משתמש. התנאים האלה זמינים בגרסה 1.13 ואילך: מספרי מערכות אוטונומיות, טווחי CIDR, שיטות HTTP וקודי אזורים.
  - ערכים: מזינים אחד מהערכים הבאים:
    - אם סוג התנאי הוא כללי זיהוי, צריך לבחור קבוצה של כללי זיהוי שהבקשה צריכה להפעיל כדי שפעולת האבטחה תחול עליה.
    - אם סוג התנאי הוא מאפיין, מזינים את ערכי המאפיין שרוצים להחיל עליו את פעולת האבטחה. לדוגמה, אם המאפיין הוא כתובות IP/טווחים של CIDR, מזינים את כתובות ה-IP של מקורות הבקשות שרוצים להחיל עליהן את פעולת האבטחה. אפשר להזין רשימה מופרדת בפסיקים של כתובות IPv4 ו-IPv6.
לוחצים על יצירה כדי ליצור את פעולת האבטחה.

הפעלה, השבתה, השהיה או מחיקה של פעולות אבטחה

בקטע הזה מוסבר איך לשנות את הסטטוס של פעולת אבטחה בדף פעולות אבטחה. בקטע סטטוסים של פעולות אבטחה מופיע מידע על כל סוג סטטוס ואיך הוא משפיע על פעולות בבקשות API.

אלה הפעולות שאפשר לבצע כדי לשנות את הסטטוסים:

כדי להשבית פעולת אבטחה פעילה, לוחצים על סמל האפשרויות הנוספות (שלוש נקודות) בשורה של הפעולה ובוחרים באפשרות השבתה, או לוחצים על שם פעולת האבטחה ואז על השבתה בחלק העליון של הדף.
כדי להפעיל פעולת אבטחה, לוחצים על סמל האפשרויות הנוספות (שלוש נקודות) בשורה של הפעולה ובוחרים באפשרות הפעלה, או לוחצים על השם של פעולת האבטחה ואז על הפעלה בחלק העליון של הדף.
כדי להשהות את כל פעולות האבטחה הפעילות ולהשבית אותן באופן זמני, לוחצים על השהיית פעולות מופעלות בראש רשימת פעולות האבטחה בדף. כדי להפעיל מחדש את כל הפעולות המושהות, לוחצים על הפעלה מחדש של פעולות מושהות בראש הדף.
הערה: כשמפעילים מחדש את כל הפעולות המופעלות, כל הפעולות המושבתות נשארות מושבתות.

אפשר גם למחוק פעולת אבטחה. מחיקה שלו תסיר אותו לצמיתות מההגדרה. כדי למחוק פעולת אבטחה, לוחצים על סמל האפשרויות הנוספות (שלוש נקודות) בשורה של הפעולה ובוחרים באפשרות מחיקה, או לוחצים על השם של פעולת האבטחה ואז על מחיקה בחלק העליון של הדף.

הצגת פרטים של פעולות אבטחה

כדי לראות נתונים של תנועת API מהזמן האחרון שקשורים לפעולת אבטחה, לוחצים על השם של פעולת האבטחה בדף הראשי של פעולות האבטחה. יוצג הדף 'פרטי פעולת אבטחה', שכולל שתי כרטיסיות: סקירה כללית ומאפיינים.