Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'
Apigee Edge.
Advanced API Security surveille en permanence vos API pour les protéger contre les menaces de sécurité, y compris les attaques de clients malveillants et les utilisations abusives. Advanced API Security analyse le trafic de vos API pour identifier les requêtes suspectes et fournit des outils permettant de les bloquer ou de les signaler si vous le souhaitez. En outre, Advanced API Security évalue vos configurations d'API pour s'assurer qu'elles répondent aux normes de sécurité et vous donne des recommandations pour les améliorer si nécessaire.
Advanced API Security n'affecte pas le trafic d'exécution.
Le schéma ci-dessous illustre le fonctionnement de Advanced API Security.
Advanced API Security utilise le processus suivant pour protéger vos API :
- Advanced API Security collecte des données sur le trafic récent qui transite par vos API.
- Advanced API Security analyse les données pour détecter des modèles de trafic inhabituels indiquant une menace pour vos API.
- Advanced API Security présente les résultats de l'analyse dans les pages suivantes de l'interface utilisateur d'Apigee :
- Après avoir examiné l'analyse, vous pouvez choisir de bloquer ou de signaler les requêtes provenant d'adresses IP spécifiques à l'aide de la page Actions de sécurité. Vous pouvez également créer des alertes de sécurité afin de recevoir des notifications sur les événements liés à Advanced API Security.
Notez qu'Advanced API Security n'est pas compatible avec les API exécutées sous Apigee Adapter for Envoy.
Utiliser Advanced API Security
Advanced API Security est disponible en tant que module complémentaire payant pour les types d'organisations suivants :
- Organisations Apigee avec abonnement et avec paiement à l'usage
- Organisations Apigee hybrid
- Organisations Apigee pour lesquelles la résidence des données est activée. Pour en savoir plus sur l'utilisation avec les organisations hybrides pour lesquelles la résidence des données est activée, consultez Résidence des données et Apigee hybrid.
Pour utiliser Advanced API Security, vous devez d'abord l'activer, comme décrit dans les sections suivantes :
- Gérer Advanced API Security pour les organisations avec paiement à l'usage
- Gérer Advanced API Security pour les organisations avec abonnement
Vous pouvez essayer Advanced API Security gratuitement dans n'importe quelle organisation d'essai. Contactez le service commercial d'Apigee pour en savoir plus.
Fonctionnalités de Advanced API Security
Les sections suivantes décrivent brièvement les fonctionnalités de Advanced API Security.
Détection des abus
La détection des abus affiche les incidents de sécurité impliquant vos API. Un incident de sécurité est un groupe d'événements de sécurité détectés qui sont liés les uns aux autres. Advanced API Security utilise des règles de détection, basées sur les algorithmes de machine learning de Google, pour identifier des modèles qui présentent des signes d'activité malveillante, y compris le scraping et les anomalies d'API. Vous pouvez ensuite prendre des mesures pour lutter contre ces menaces à l'aide des actions de sécurité.
Rapports relatifs à la sécurité
Les rapports de sécurité vous permettent d'analyser plus en détail les menaces de sécurité pesant sur vos API. Vous pouvez par exemple créer des rapports portant sur le nombre de requêtes malveillantes en fonction de différentes considérations, telles que le pays d'origine de la requête. Vous pouvez afficher ces rapports dans l'UI d'Apigee ou via l'API.
Évaluation des risques
L'évaluation des risques vous permet d'identifier les API non conformes aux normes de sécurité. L'évaluation des risques évalue régulièrement vos configurations d'API et calcule des scores pour déterminer leur niveau de sécurité. Lorsqu'un score faible indique un problème de configuration, Advanced API Security fournit des recommandations pour le résoudre.
Actions de sécurité
Les actions de sécurité vous permettent de définir la manière dont Apigee gère le trafic détecté, en fonction des informations de la page de détection des abus. Par exemple, vous pouvez créer une action de sécurité visant à refuser les requêtes provenant d'une adresse IP identifiée comme une source d'abus.
Alertes de sécurité
Vous pouvez configurer des alertes de sécurité pour recevoir des notifications lorsque Advanced API Security détecte des événements liés à Advanced API Security, tels que des modifications de vos scores de sécurité ou des incidents de sécurité.
Obscurcissement des données avec Advanced API Security
Advanced API Security fonctionne avec des données obscurcies pour remplacer les données sensibles par une valeur hachée. Pour en savoir plus sur la fonctionnalité d'obscurcissement des données, consultez Obscurcir les données utilisateur pour Apigee API Analytics.
Lorsque l'obscurcissement est configuré, les vérifications Advanced API Security, telles que celles de la détection des abus et des actions de sécurité, sont appliquées avant l'obscurcissement. Par exemple, il est possible de détecter les utilisations abusives provenant d'une adresse IP spécifique, même si celle-ci est masquée. Toutefois, les utilisateurs ne peuvent pas voir les valeurs masquées (telles que l'adresse IP du client) en texte clair (non haché) dans les interfaces utilisateur ou les API Advanced API Security. Les valeurs hachées sont affichées.
Dans certains cas, vous devez obtenir une valeur de données non obscurcie à utiliser avec Advanced API Security. Par exemple, vous pouvez avoir besoin d'une adresse IP client pour configurer une action de sécurité. Si la valeur est déjà masquée, vous ne pouvez pas récupérer l'adresse IP en texte clair. L'utilisation de la valeur obscurcie (hachée) dans la configuration de l'action de sécurité ne fonctionne pas, car l'obscurcissement des données utilise un hachage unidirectionnel et Advanced API Security ne peut pas reconvertir la valeur hachée en valeur en texte clair.