Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Shadow API Discovery

Panoramica

Il rilevamento dell'API Shadow di Apigee trova le API shadow (note anche come API non documentate) nel cloud esistente dell'infrastruttura. Le API shadow rappresentano un rischio per la sicurezza del sistema poiché potrebbero essere non protetti, non monitorati e non gestiti.

L'utilizzo di Shadow API Discovery non influisce in modo significativo o lento sul traffico di runtime. mentre in coda le latenze del traffico attraverso i bilanciatori del carico osservati possono essere influenzate in modo significativo.

Le istruzioni in questa pagina per configurare e visualizzare i risultati delle osservazioni dell'API si basano sulla UI di Apigee nella console Cloud. Puoi anche utilizzare le API Apigee Management (APIM) per gestire Scoperta API Shadow. Consulta: API di gestione del rilevamento dell'API Shadow.

Abilita rilevamento API Shadow

Shadow API Discovery fa parte del componente aggiuntivo Apigee Advanced API Security. Per Shadow API Discovery, il componente aggiuntivo è applicabile per ogni organizzazione. Per i clienti in abbonamento, è disponibile presso l'organizzazione Apigee. Tuttavia, i clienti con pagamento a consumo devono attivare il componente aggiuntivo per alle almeno un ambiente. Shadow API Discovery non è disponibile per gli ambienti di valutazione Apigee.

Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se sei un cliente Subscription, puoi attivare per la tua organizzazione. Vedi Per maggiori dettagli, gestisci la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.

Ruoli e autorizzazioni obbligatori per il rilevamento dell'API Shadow

La tabella seguente mostra i ruoli richiesti per eseguire attività relative al rilevamento dell'API Shadow.

Attività	Ruoli obbligatori
Attiva o disattiva Advanced API Security	Apigee Amministratore dell'organizzazione (roles/apigee.admin)
Crea origini e job di osservazione	Amministratore gestione API (roles/apim.admin)
Visualizza osservazioni	Visualizzatore gestione API (roles/apim.viewer)

Accedi a Shadow API Discovery nella console Apigee

Per accedere a Shadow API Discovery nella console Apigee:

Accedi alla UI di Apigee nella console Cloud.
Vai a Osservazione API > API Shadow.
La pagina principale mostra le eventuali osservazioni dell'API già generate. Seleziona il Schede Osservazioni API e Job di osservazione per passare da una all'altra visualizzazione dei risultati e la creazione di job di osservazione.

Crea job di osservazione

I job di osservazione forniscono le istruzioni che il rilevamento dell'API shadow deve cercare per le API shadow. Segui questi passaggi per creare un job di osservazione. Tieni presente Comportamenti e limitazioni che si applicano all'osservazione la creazione di posti di lavoro.

Seleziona la scheda Job di osservazione e poi fai clic su Crea job di osservazione.
Seleziona una o più origini di osservazione o fai clic su Crea osservazione. Fonte nella parte inferiore della sezione Fonti di osservazione. elenco per creare nuove località di origine, se necessario. Tieni presente che la creazione dell'origine di osservazione potrebbe richiedere diversi minuti.

Le fonti di osservazione includono:
Nome della fonte: un nome specificato per identificare la fonte.
Località: una località a cui osservare. L'inclusione di più regioni di origine consente una visione più ampia delle API in tutto il tuo dell'infrastruttura. Consulta le best practice. Solo un'osservazione l'origine può essere creata in una posizione.
Rete e Subnet:la rete VPC e la subnet. La la subnet deve trovarsi nella stessa regione della località dell'origine dell'osservazione.
Crea un job di osservazione. Fornisci un nome job di osservazione, che deve essere univoco per in ogni località. Seleziona una località che specifichi dove verranno eseguite l'aggregazione e l'elaborazione dei dati che si verificano. Tutti i dati raccolti nelle regioni di origine vengono elaborati e consultati da questo regione, in linea con Norme sulla residenza dei dati di Google. La creazione di un nuovo job di osservazione potrebbe richiedere alcuni minuti.
(Facoltativo) Attiva il job di osservazione. Puoi abilitare il job quando lo crei, in in questo caso inizia subito a osservare. Se non abiliti immediatamente il job, puoi abilitare il job di osservazione in un secondo momento dall'elenco dei job di osservazione.

Abilita, disabilita ed elimina i job di osservazione

Per modificare se un job di osservazione esistente è abilitato (attivo), seleziona Abilita oppure Disattiva dal menu Azioni nella riga del job in Job di osservazione .

Per eliminare un job di osservazione esistente, seleziona Elimina dal menu Azioni per quel lavoro. L'eliminazione di un job rimuove anche i risultati di osservazione associati al job, quindi se vuoi conservare i risultati interrompendo il job, disabilitalo che eliminarlo. I job attivi non possono essere eliminati. disabilita prima i job attivi se devi le elimina.

Visualizza le osservazioni dell'API

Per visualizzare le osservazioni dell'API per i job di osservazione abilitati, scegli il Scheda Osservazioni API, quindi seleziona il job di osservazione dall'elenco.

L'elenco delle osservazioni mostra questi valori:

Nome host: il nome host dell'API. Fai clic sul nome host per visualizza i dettagli dell'osservazione.
Operazioni API: il numero di operazioni API (ad esempio richieste GET o PUT) osservate.
IP server: IP dei server che ospitano le API rilevate.
Località della sorgente: le località della sorgente in cui è stato osservato il traffico.
Ultimo evento rilevato (UTC): la data e l'ora in cui è stata inviata la richiesta più recente all'API. è stato rilevato.

Visualizza dettagli osservazione

Dopo aver fatto clic sul nome host nella elenco di osservazioni, vedrai l'elenco pagina dei dettagli.

Dettagli di osservazione dell'API

Questa pagina include le seguenti informazioni sull'osservazione.

La casella di riepilogo nella parte superiore della pagina mostra:
- ID di osservazione API: si tratta di un identificatore specifico di Apigee.
- Operazioni API: consulta Visualizza le osservazioni dell'API per un descrizione di questo campo.
- Create time (UTC): la data e l'ora in cui è stato creato il job di osservazione.
- Ora dell'ultimo evento rilevato: vedi Visualizza le osservazioni dell'API per un descrizione di questo campo.
Una tabella di specifiche operazioni API rilevate sull'API rilevata. Per ogni richiesta, vengono visualizzate le seguenti informazioni:
- Percorso:il percorso della richiesta.
- Metodo: il metodo di richiesta, ad esempio GET, PUT e così via.
- Conteggio:il numero di richieste al percorso con quel metodo.
- Richiesta di transazione:il corpo della richiesta dai dati sul traffico. Include la richiesta e il conteggio delle transazioni corrispondenti per questa operazione API.
- Intestazioni della risposta delle transazioni: le intestazioni delle risposte dai dati sul traffico. Include le intestazioni della risposta e il numero di transazioni corrispondente per questa operazione API.
- Codici di risposta delle transazioni: i codici di risposta e i conteggi corrispondenti di risposte con quel codice per questa operazione API.
- Prima visualizzazione (UTC): la prima data e ora in cui la richiesta a questa operazione API è stato osservato.
- Ultimo rilevamento (UTC): la data e l'ora più recenti in cui la richiesta a questa API È stata osservata l'operazione.

Best practice

Quando lavori con il rilevamento dell'API Shadow, consigliamo queste pratiche:

Segui le regole sulla residenza dei dati della tua organizzazione per garantire la conformità a tutte regolamenti e leggi.
Esegui l'aggregazione dal maggior numero possibile di regioni di origine per ottenere il miglior punteggio tra regioni una correlazione. L'inclusione di più regioni di origine nei job di osservazione si traduce in una delle API nella tua infrastruttura.

Comportamenti e limitazioni

Questa sezione elenca i comportamenti e le limitazioni che si applicano al rilevamento dell'API Shadow:

L'uso del rilevamento dell'API Shadow non garantisce l'osservazione del 100% del traffico o il rilevamento di tutte le API shadow.
Shadow API Discovery rileva le API Shadow solo nella tua infrastruttura Google Cloud.
Shadow API Discovery supporta solo bilanciatori del carico delle applicazioni a livello di regione in questo momento.
Il rilevamento dell'API Shadow trova le API del protocollo HTTP, non gRPC.
Avviso:Shadow API Discovery supporta i bilanciatori del carico su una rete per progetto. Se abilitare Shadow API Discovery su un progetto con più reti, potresti vedere messaggi imprevisti comportamento degli utenti.
Avviso: l'abilitazione del rilevamento dell'API Shadow potrebbe causare un aumento della latenza per il carico al bilanciatore del carico di rete in tutte le reti del progetto.
Il rilevamento del job di osservazione appena abilitato potrebbe richiedere fino a 60 minuti per via del traffico.
Deve esserci traffico che passa attraverso i bilanciatori del carico nei progetti osservati in per rilevare le API shadow. Come minimo, Shadow API Discovery richiede tra minuti o alcune ore di rilevamento del traffico, a seconda del volume di traffico. Sparsa il traffico richiede tempi di osservazione più lunghi prima che i risultati siano disponibili.
Per regione, c'è un limite di una singola origine di osservazione e un massimo di tre job di osservazione. Se hai bisogno di più di tre job di osservazione, contatta Assistenza clienti Google Cloud per discutere del caso d'uso.
I job di osservazione possono essere creati, disabilitati o eliminati, ma non modificati. Se hai bisogno per modificare un job di osservazione, eliminarlo e ricrearlo.
Al momento sono supportate solo alcune regioni per i job di rilevamento dell'API Shadow. Consulta le delle regioni supportate con questa richiesta:
```
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
https://apim.googleapis.com/v1alpha/projects/{PROJECT}/locations
```