Übersicht
Im Rahmen der API-Hub-Connector-Integration wird der Metadaten-Upload für API-Proxy- und Sharedflow-Bundles mit dem API-Hub synchronisiert. Diese Pakete können personenbezogene Daten oder andere vertrauliche Daten in Richtlinienkonfigurationen enthalten. Mit dieser Funktion können Sie erkannte PII-Felder maskieren, bevor die Bundles in den API-Hub hochgeladen werden. So werden Datenschutz und Compliance für Ihre Edge for Private Cloud-Umgebung gewährleistet.
Maskierungsansatz
Die Maskierung personenbezogener Daten erfolgt mithilfe von XPath-Ausdrücken, um bestimmte Elemente in den XML-formatierten Richtlinienkonfigurationen in den Bundles anzusprechen. Die Funktion ist in zwei Teile unterteilt.
Standardmasken
Apigee Edge for Private Cloud enthält eine vordefinierte, integrierte Liste von XPath-Ausdrücken (Standardmasken), die automatisch auf Felder ausgerichtet werden, die in verschiedenen Richtlinien als potenzielle PII-Quellen bekannt sind.
Mögliche Quellen für personenidentifizierbare Informationen und Standardmaskierungen
In der folgenden Tabelle sind die Richtlinien und Elemente aufgeführt, für die die Standardmaskierung angewendet wird:
| Richtlinienname | Sensibles Element | Standard-Maskierungs-XPath | Begründung |
|---|---|---|---|
BasicAuthentication |
Hartcodierter Nutzername | //BasicAuthentication/User |
Speichert die Nutzeridentität direkt im Klartext. |
BasicAuthentication |
Fest codiertes Passwort | //BasicAuthentication/Password |
Speichert das Klartextpasswort direkt. |
GenerateJWT |
Symmetrischer Schlüssel (Secret) | //GenerateJWT/SecretKey/Value |
Fest codierter symmetrischer Verschlüsselungs-/Signaturschlüssel. |
GenerateJWT |
Privater Schlüssel | //GenerateJWT/PrivateKey/Value |
PEM-codierter privater Schlüssel für die asymmetrische Signatur. |
GenerateJWT |
Passwort für den privaten Schlüssel | //GenerateJWT/PrivateKey/Password |
Passwort zum Entschlüsseln des privaten Schlüssels. |
GenerateJWS |
Symmetrischer Schlüssel (Secret) | //GenerateJWS/SecretKey/Value |
Fest codierter symmetrischer Verschlüsselungs-/Signaturschlüssel. |
GenerateJWS |
Privater Schlüssel | //GenerateJWS/PrivateKey/Value |
PEM-codierter privater Schlüssel für die asymmetrische Signatur. |
GenerateJWS |
Passwort für den privaten Schlüssel | //GenerateJWS/PrivateKey/Password |
Passwort zum Entschlüsseln des privaten Schlüssels. |
VerifyJWT |
Symmetrischer Schlüssel (Secret) | //VerifyJWT/SecretKey/Value |
Fest codierter symmetrischer Schlüssel für die Bestätigung. |
VerifyJWS |
Symmetrischer Schlüssel (Secret) | //VerifyJWS/SecretKey/Value |
Fest codierter symmetrischer Schlüssel für die Bestätigung. |
HMAC |
Gemeinsamer geheimer Schlüssel | //HMAC/SecretKey |
Fest codierter geheimer Schlüssel für die HMAC-Berechnung. |
KeyValueMapOperations |
Hartcodierter Wert (Put) | //KeyValueMapOperations/Put/Value |
Ein fest codiertes Secret wird in die KVM geschrieben. |
ServiceCallout |
Nutzername für die Basisauthentifizierung | //ServiceCallout//Authentication/BasicAuth/UserName |
Fest codierter Nutzername für die Backend-Authentifizierung. |
ServiceCallout |
Passwort für die Basisauthentifizierung** | //ServiceCallout//Authentication/BasicAuth/Password |
Fest codiertes Passwort für die Backend-Authentifizierung. |
SAMLAssertion |
Wert des privaten Schlüssels | //SAMLAssertion//PrivateKey/Value |
Privater Schlüssel für die Entschlüsselung/Signierung. |
SAMLAssertion |
Passwort für den privaten Schlüssel | //SAMLAssertion//PrivateKey/Password |
Passwort zum Entschlüsseln des privaten Schlüssels. |
Benutzerdefinierte Masken
Für Felder, die Sie als personenidentifizierbare Informationen identifizieren, die aber nicht von den Standardmasken abgedeckt werden (z. B. benutzerdefinierte Konfiguration in Richtlinien), können Sie eine eigene Liste von XPath-Ausdrücken (benutzerdefinierte Masken) angeben.
Benutzerdefinierte Masken werden verwaltet, indem Sie ein Konfigurationsattribut in der Datei uapim-connector.properties in Ihrem Edge for Private Cloud-System aktualisieren.
Benutzerdefinierte Masken konfigurieren
Wenn Sie benutzerdefinierte Maskierungspfade hinzufügen möchten, aktualisieren Sie das Attribut conf_uapim_connector.uapim.mask.xpaths in der Konfigurationsdatei des Connectors:
- Pfad zur Konfigurationsdatei:
/opt/apigee/customer/application/uapim-connector.properties - Attribut:
conf_uapim_connector.uapim.mask.xpaths
Das Attribut akzeptiert eine durch Kommas getrennte Liste von XPath-Ausdrücken, die auf die spezifischen Elemente abzielen, deren Werte Sie maskieren möchten.
Konfigurationsbeispiel
Wenn Sie den Wert einer benutzerdefinierten Variablen und eines Statistikfelds maskieren möchten, legen Sie die Property so fest:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| XPath-Ausdruck | Element maskiert | Zweck |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Statistikwert (mit name='caller') | Maskiert die vertrauliche Identität des Anrufers. |
//AssignMessage/AssignVariable[Name='password']/Value |
AssignVariable-Wert (wobei Name='password') | Maskiert hartcodierte Passwortwerte. |
Maskierte Richtlinien
Der Wert der Zielgruppe wird maskiert. Diese maskierten Inhalte werden in den API-Hub hochgeladen.
Beispielrichtlinie 1 (StatisticsCollector – maskiert):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>