Actions de sécurité

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

La page Actions de sécurité vous permet de créer des actions de sécurité qui définissent la manière dont Apigee gère le trafic détecté, en fonction des informations de la page Détection d'abus. Par exemple, vous pouvez créer une action de sécurité visant à refuser les requêtes provenant d'une adresse IP identifiée comme une source d'abus. Lorsqu'une requête provenant de cette adresse est reçue, Apigee l'empêche d'accéder à vos API. Vous pouvez également créer une action de sécurité permettant de refuser les requêtes auxquelles des règles de détection ont été spécifiées.

Outre les actions de refus, vous pouvez également créer des actions de signalement, qui ajoutent des en-têtes aux requêtes détectées, ou des actions d'autorisation, qui remplacent une action de refus dans des cas spécifiques. Consultez la section Actions de sécurité.

Pour connaître les rôles nécessaires pour effectuer des tâches liées aux actions de sécurité, consultez la section Rôles requis pour les actions de sécurité.

Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.

Fonctionnement des actions de sécurité

Sur la page Actions de sécurité, vous pouvez prendre les mesures nécessaires pour autoriser, refuser ou signaler explicitement les requêtes de clients spécifiques. Apigee applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous devez intervenir soit parce que les requêtes sont conformes à des schémas de comportement indésirable, soit (dans le cas de l'action d'autorisation) parce que vous souhaitez ignorer une action de refus pour des adresses IP spécifiques.

L'action de signalement permet aux requêtes de transmettre à vos API, mais ajoute jusqu'à cinq en-têtes aux requêtes signalées afin que vous puissiez les suivre pour observer leur comportement.

Pour identifier les requêtes à traiter, vous pouvez utiliser les vues de détection d'abus, de trafic détecté ou d'incident, qui indiquent les adresses IP qui constituent une source d'abus. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.

Actions de sécurité

Vous pouvez effectuer les types d'actions de sécurité suivants.

Action	Description	Ordre de priorité
Autoriser	Autorise certaines requêtes qui seraient autrement bloquées par une action de refus. Par exemple, supposons que vous ayez créé une action de sécurité permettant de refuser le trafic signalées avec une règle de détection. Vous pouvez créer une action d'autorisation pour remplacer l'action de refus pour les requêtes provenant d'une adresse IP spécifique de confiance.	1
Refuser	Bloque toutes les requêtes qui répondent aux conditions de l'action, par exemple, provenant d'une adresse IP spécifiée. Lorsque vous choisissez de refuser les requêtes, Apigee répond au client avec un code de réponse que vous pouvez choisir.	2
Option	Signalez les requêtes qui répondent à la condition de l'action afin que vos services de backend puissent les prendre en compte. Lorsque vous signalez les requêtes d'un client, Apigee ajoute jusqu'à cinq en-têtes, que vous définissez, à la requête. Vos services de backend peuvent traiter les appels d'API conformément à ces signalements, par exemple en redirigeant les appels vers un autre flux. L'action de signalement permet de signaler à vos services de backend qu'un appel d'API est suspect.	3

Ordre de priorité

Lorsqu'une requête remplit la condition de plusieurs actions de sécurité, l'ordre de priorité des actions détermine quelle action est effectuée. Par exemple, supposons qu'une requête remplisse les conditions d'une action d'autorisation et d'une action de refus. Étant donné que l'ordre de priorité d'une action d'autorisation est de 1 et que l'ordre de priorité d'une action de refus est de 2, l'action d'autorisation est prioritaire, la requête est donc autorisée à accéder à l'API.

Par exemple, vous pouvez autoriser des requêtes provenant de l'adresse IP d'un client interne ou de confiance, même si ces requêtes correspondent à une action de refus distincte. L'ordre de priorité garantit qu'une action d'autorisation pour l'adresse IP de confiance remplace toute action de refus.

Limites des actions de sécurité

Les actions de sécurité sont appliquées au niveau de l'environnement Apigee. Pour chaque environnement, les actions de sécurité présentent les limites suivantes :

Vous pouvez utiliser au maximum 1 000 actions dans un environnement à tout moment.
Vous pouvez ajouter au maximum cinq en-têtes de signalement pour chaque action.

Latences

Les actions de sécurité présentent les latences suivantes :

Lorsque vous créez une action de sécurité, la prise en compte de celle-ci peut prendre jusqu'à 10 minutes. Une fois qu'une action a pris effet et a été appliquée à un certain trafic d'API, vous pouvez consulter les effets de l'action sur la page Détails des actions de sécurité. Remarque : Même si l'action a pris effet, vous ne pouvez pas déterminer à partir de la page des détails de l'action de sécurité, sauf si l'action a été appliquée à un certain trafic d'API.
Les actions de sécurité activées entraînent une légère augmentation (moins de 2 %) du temps de réponse du proxy d'API.

Ouvrir la page Actions de sécurité

Pour ouvrir la page Actions de sécurité, procédez comme suit :

Ouvrez la page https://console.cloud.google.com/apigee.
Sélectionnez Advanced API Security > Actions de sécurité.

La page principale Actions de sécurité s'ouvre, comme illustré ci-dessous :

Sur la page Actions de sécurité, vous pouvez effectuer les actions suivantes :

Créer une action de sécurité
Suspendre toutes les actions de sécurité activées
Pour activer ou désactiver une action de sécurité individuelle, utilisez le menu à trois points de la ligne correspondante.

La page Actions de sécurité affiche la liste des actions de sécurité, avec les détails suivants :

Nom : nom de l'action
État : état de l'action, qui peut être Activé, Suspendu ou Désactivé
Action : action de sécurité
Expiration (UTC) : date d'expiration de l'action
Dernière mise à jour (UTC) : date et heure de la dernière mise à jour de l'action
Un menu à trois points dans lequel vous pouvez activer ou désactiver une action de sécurité. Pour ce faire, cliquez sur le menu se trouvant sur la ligne de l'action, puis sélectionnez Activer ou Désactiver. Les actions de sécurité désactivées n'affectent pas les requêtes API.

Créer une action de sécurité

Cette section explique comment créer une action de sécurité. Notez qu'une fois que vous avez créé une action de sécurité, elle ne peut plus être supprimée. Vous pouvez désactiver l'action (pour empêcher son application forcée), mais elle apparaîtra dans l'UI Apigee.

Pour créer une action de sécurité :

En haut de la page Actions de sécurité, cliquez sur Créer pour ouvrir la boîte de dialogue Créer une action de sécurité, comme illustré ci-dessous.
Sous Paramètres généraux, saisissez les paramètres suivants :
- Nom : nom de l'action de sécurité
- Description (facultatif) : brève description de l'action
- Environnement : environnement dans lequel vous souhaitez créer l'action de sécurité
- Expiration : date et heure d'expiration de l'action, le cas échéant Sélectionnez Jamais ou Personnalisée, puis saisissez la date et l'heure d'expiration de l'action. Vous pouvez également modifier le fuseau horaire.
Cliquez sur Suivant pour afficher la section Rule (Règle), comme illustré ci-dessous :

Dans cette section, vous allez créer la règle pour l'action de sécurité. Saisissez ce qui suit :
- Type d'action : type de l'action de sécurité, parmi les suivants :
  - Autoriser : la requête est autorisée.
  - Refuser : la requête est refusée. Si vous sélectionnez Refuser, vous pouvez également spécifier le code de réponse renvoyé lorsqu'une requête est refusée. Il peut s'agir de l'un des éléments suivants :
    - Prédéfini : sélectionnez un code HTTP
    - Personnalisé : saisissez un code de réponse
  - Signalement : la requête est autorisée, mais également signalée avec un en-tête HTTP spécial qu'un proxy recherche pour déterminer si la requête nécessite un traitement spécial. Pour définir l'en-tête, sous En-têtes, sélectionnez Signalement, vous pouvez également créer les éléments suivants sous En-têtes :
    - Nom de l'en-tête
    - Valeur d’en-tête
- Conditions : conditions dans lesquelles l'action de sécurité est effectuée. Sous Nouvelle condition, saisissez les informations suivantes :
  - Type de condition : il peut s'agir de Règles de détection ou de l'un des attributs suivants :
    - Adresses IP
    - Clés API
    - Produits d'API
    - Jetons d'accès
    - Développeurs
    - Applications développeur
    - User-agents
    Remarques :
    - Pour les types de conditions Règles de détection et Adresses IP, vous pouvez créer au maximum deux conditions possédant ces types. Pour tout autre type de condition, vous pouvez créer au maximum une condition.
    - Pour utiliser l'un des attributs listés ci-dessus, hormis les Règles de détection ou les Adresses IP, vous devez ajouter la règle de Vérification des clés API ou la règle OAuthV2. Pour en savoir plus, consultez la section Fonctionnement des clés API.
    - Ces conditions ne sont pas disponibles dans Apigee hybrid pour le moment : clés API, produits d'API, jetons d'accès, développeurs, applications de développeur, user-agents.
  - Valeurs : saisissez l'une des valeurs suivantes :
    - Si Type de condition est défini sur Règles de détection, sélectionnez un ensemble de règles de détection qu'une requête doit déclencher pour que l'action de sécurité s'applique.
    - Si Type de condition est un attribut, saisissez les valeurs de l'attribut auquel vous souhaitez appliquer l'action de sécurité. Par exemple, si l'attribut est Adresses IP, saisissez les adresses IP des sources des requêtes auxquelles vous souhaitez appliquer l'action de sécurité. Vous pouvez saisir une liste d'adresses IPv4 ou IPv6 séparées par une virgule.
Cliquez sur Créer pour créer l'action de sécurité.

Suspendre toutes les actions activées

Pour suspendre toutes les actions de sécurité activées, cliquez sur Suspendre les actions activées en haut de la page Actions de sécurité. Lorsque des actions de sécurité sont suspendues, elles n'affectent pas les requêtes API. Utilisez cette fonctionnalité lorsque vous devez diagnostiquer un problème lié à toutes les actions de sécurité. Pour désactiver une action de sécurité individuelle, utilisez le menu à trois points de la ligne correspondante.

Pour reprendre toutes les actions de sécurité activées, cliquez sur Reprendre les actions suspendues.

Afficher les détails des actions de sécurité

Pour afficher les données de trafic récentes des API liées à une action de sécurité, sélectionnez la ligne de l'action de sécurité sur la page principale "Actions de sécurité". La page "Informations sur l'action de sécurité" s'affiche. Elle comporte deux onglets :

Présentation

Sélectionnez l'onglet Présentation pour afficher la page Présentation :

Page d'informations sur les actions de sécurité

La page Présentation affiche des informations sur le trafic récent des API au cours de la période sélectionnée en haut de la page : 12 heures, 1 jour, 1 semaine ou 2 semaines.

La page affiche les données de trafic suivantes :

Type d'action : type d'action, qui peut être refuser, autoriser ou signaler.
Trafic total de l'environnement : nombre total de requêtes dans l'environnement
Trafic total détecté pour l'événement : nombre de requêtes associées à l'événement
Trafic total affecté par l'action :
- Nombre de requêtes refusées pour une action de refus.
- Nombre de requêtes signalées pour une action de signalement.
- Nombre de requêtes autorisées pour une action d'autorisation.

La page affiche également les graphiques suivants :

Tendances de trafic de l'environnement : graphiques représentant le trafic détecté, le trafic signalé et le trafic total dans l'environnement. Voir la remarque ci-dessus.
Top des règles
Top des pays
Détails des actions

Attributs

Sélectionnez l'onglet Attributs pour afficher la page Attributs :

La page Attributs affiche les données de l'action de sécurité par attributs, également appelés dimensions, qui sont des regroupements des données, ce qui vous permet d'afficher l'action de sécurité de différentes manières. Par exemple, l'attribut "Produits d'API" vous permet d'afficher l'action de sécurité par produit d'API.

Les informations affichées dans la page Attributs sont semblables à la vue Attributs de la page Détails de l'incident de la détection des abus.