Visão geral sobre segurança avançada de API

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

A Segurança avançada de API monitora continuamente suas APIs para protegê-las contra ameaças à segurança, incluindo ataques de clientes mal-intencionados e abusos. A Segurança avançada de API analisa o tráfego para identificar solicitações de API suspeitas e fornece ferramentas para bloquear ou sinalizar essas solicitações, caso você decida fazer isso. Além disso, a Segurança avançada de API avalia as configurações da API para garantir que elas atendam aos padrões de segurança e oferece recomendações para melhorá-las, se necessário.

A Segurança avançada da API não afeta o tráfego do ambiente de execução.

O diagrama abaixo ilustra como funciona a Segurança avançada de API.

A Segurança avançada de API usa o seguinte processo para proteger suas APIs:

1. A Segurança avançada de API coleta dados do tráfego recente transmitido pelas suas APIs.
2. A Segurança avançada da API analisa os dados para detectar padrões de tráfego fora do normal que indicam uma ameaça às APIs.
3. A Segurança avançada de API apresenta os resultados da análise nas seguintes páginas na UI da Apigee:
   • Detecção de abuso
   • Relatórios de segurança
   • Avaliação de riscos
4. Depois de conferir a análise, é possível bloquear ou sinalizar solicitações de endereços IP específicos usando a página de ações de segurança. Crie também alertas de segurança que notificam você sobre eventos relacionados à Segurança avançada de API.

A Segurança avançada de API não é compatível com APIs em execução no Adaptador da Apigee para Envoy.

Usar a segurança avançada da API

A segurança avançada da API está disponível como um complemento pago para os seguintes tipos de organização:

• Organizações de assinatura e pagamento por uso da Apigee
• Organizações da Apigee híbrida
• Organizações da Apigee com residência de dados ativada. Consulte Residência de dados e Apigee híbrida para informações sobre o uso com organizações híbridas ativadas para DRZ.

Para usar a segurança avançada da API, primeiro você precisa ativá-la, conforme descrito nas seções a seguir:

• Gerenciar a segurança avançada de APIs para organizações com pagamento por uso
• Gerenciar a segurança avançada de APIs para organizações com assinaturas

É possível testar a segurança avançada da API sem custos financeiros em qualquer organização de teste. Entre em contato com a equipe de vendas da Apigee para saber mais.

Recursos da Segurança avançada de API

As seções a seguir descrevem brevemente os recursos da Segurança avançada de API.

Detecção de abuso

A detecção de abuso mostra incidentes de segurança envolvendo suas APIs. Um incidente de segurança é um grupo de ocorrências de segurança detectadas relacionadas entre si. A Segurança avançada de API usa regras de detecção baseadas nos algoritmos de machine learning do Google para identificar padrões que são sinais de atividade maliciosa, incluindo raspagem de dados de API e anomalias. É possível então adotar medidas contra essas ameaças com ações de segurança.

Relatórios de segurança

Os relatórios de segurança apresentam análises mais detalhadas das ameaças de segurança às APIs. Por exemplo, é possível criar relatórios sobre o número de solicitações maliciosas por várias dimensões, como o país de origem da solicitação. É possível ver esses relatórios na interface da Apigee ou pela API.

Avaliação de riscos

A avaliação de risco ajuda a identificar APIs que não estão em conformidade com os padrões de segurança. A avaliação de risco avalia regularmente as configurações da API e calcula pontuações para classificar o nível de segurança. Quando uma pontuação baixa indica um problema de configuração, a Segurança avançada de API fornece recomendações para resolvê-lo.

Ações de segurança

As ações de segurança permitem definir como a Apigee processa o tráfego detectado, com base nas informações da página "Detecção de abusos". Por exemplo, é possível criar uma ação de segurança para negar solicitações de um endereço IP identificado como uma fonte de abuso.

Alertas de segurança

É possível configurar alertas de segurança para enviar notificações quando a Segurança avançada de API detectar eventos relacionados a ela, como incidentes de segurança ou mudanças nas pontuações de segurança.

Ofuscação de dados com a Segurança avançada de API

A API Advanced Security trabalha com dados ofuscados para substituir dados sensíveis por um valor com hash. Consulte Ofuscar dados do usuário para a análise da API Apigee para informações sobre a funcionalidade de ofuscação de dados.

Quando a ofuscação é configurada, as verificações da segurança avançada da API, como em Detecção de abuso e Ações de segurança, são aplicadas antes da ofuscação. Por exemplo, é possível detectar abuso de um endereço IP específico mesmo que ele esteja ofuscado. No entanto, os valores ofuscados (como o endereço IP do cliente) não ficam visíveis para os usuários em texto claro (sem hash) nas interfaces ou APIs da Segurança avançada de API. Os valores hash são mostrados.

Em alguns casos, é necessário extrair um valor de dados não ofuscado para usar com a segurança avançada de APIs. Por exemplo, talvez seja necessário um endereço IP do cliente para configurar uma ação de segurança. Se o valor já estiver ofuscado, não será possível recuperar o endereço IP em texto não criptografado. Usar o valor ofuscado (com hash) na configuração da ação de segurança não funciona porque a ofuscação de dados usa um hash unidirecional, e a Segurança avançada de API não pode converter o valor com hash de volta para o valor de texto sem formatação.