Descripción general
Como parte de la integración del conector del Centro de APIs, la carga de metadatos para los paquetes de proxy de API y de flujo compartido se sincroniza con el Centro de APIs. Estos paquetes pueden contener información de identificación personal (PII) o algún otro dato sensible dentro de las configuraciones de políticas. Esta función te permite enmascarar los campos de IIP identificados antes de que se suban los paquetes al concentrador de APIs, lo que garantiza la privacidad y el cumplimiento de los datos para tu entorno de Edge para Private Cloud.
Enfoque de enmascaramiento
El enmascaramiento de PII se aplica con expresiones XPath para segmentar elementos específicos dentro de las configuraciones de políticas con formato XML dentro de los paquetes. La función se divide en dos partes.
Máscaras predeterminadas
Apigee Edge para Private Cloud incluye una lista integrada y predefinida de expresiones XPath (llamadas máscaras predeterminadas) que automáticamente segmentan los campos que se sabe que son posibles fuentes de PII en varias políticas.
Posibles fuentes de IPP y máscaras predeterminadas
En la siguiente tabla, se enumeran las políticas y los elementos para los que se aplica el enmascaramiento predeterminado:
| Nombre de la política | Elemento sensible | XPath de máscara predeterminado | Razones |
|---|---|---|---|
BasicAuthentication |
Nombre de usuario codificado | //BasicAuthentication/User |
Almacena directamente la identidad del usuario en texto no cifrado. |
BasicAuthentication |
Contraseña codificada | //BasicAuthentication/Password |
Almacena directamente la contraseña en texto sin formato. |
GenerateJWT |
Clave simétrica (secreta) | //GenerateJWT/SecretKey/Value |
Clave de firma o encriptación simétrica codificada. |
GenerateJWT |
Clave privada | //GenerateJWT/PrivateKey/Value |
Clave privada con codificación PEM para la firma asimétrica. |
GenerateJWT |
Contraseña de clave privada | //GenerateJWT/PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
GenerateJWS |
Clave simétrica (secreta) | //GenerateJWS/SecretKey/Value |
Clave de firma o encriptación simétrica codificada. |
GenerateJWS |
Clave privada | //GenerateJWS/PrivateKey/Value |
Clave privada con codificación PEM para la firma asimétrica. |
GenerateJWS |
Contraseña de clave privada | //GenerateJWS/PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
VerifyJWT |
Clave simétrica (secreta) | //VerifyJWT/SecretKey/Value |
Es la clave simétrica codificada para la verificación. |
VerifyJWS |
Clave simétrica (secreta) | //VerifyJWS/SecretKey/Value |
Es la clave simétrica codificada para la verificación. |
HMAC |
Clave secreta compartida | //HMAC/SecretKey |
Clave secreta codificada de forma rígida para el cálculo de HMAC. |
KeyValueMapOperations |
Valor codificado (PUT) | //KeyValueMapOperations/Put/Value |
Es el secreto codificado que se escribe en el KVM. |
ServiceCallout |
Nombre de usuario de la autenticación básica | //ServiceCallout//Authentication/BasicAuth/UserName |
Nombre de usuario codificado para la autenticación de backend. |
ServiceCallout |
Contraseña de autenticación básica** | //ServiceCallout//Authentication/BasicAuth/Password |
Contraseña codificada para la autenticación de backend. |
SAMLAssertion |
Valor de la clave privada | //SAMLAssertion//PrivateKey/Value |
Clave privada para la desencriptación o la firma. |
SAMLAssertion |
Contraseña de clave privada | //SAMLAssertion//PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
Máscaras personalizadas
En el caso de los campos que identificas como IIP, pero que no están cubiertos por las máscaras predeterminadas (como la configuración personalizada en las políticas), puedes proporcionar tu propia lista de expresiones XPath (máscaras personalizadas).
Las máscaras personalizadas se administran actualizando una propiedad de configuración en el archivo uapim-connector.properties de tu sistema de Edge para Private Cloud.
Cómo configurar máscaras personalizadas
Para agregar rutas de enmascaramiento personalizadas, actualiza la propiedad conf_uapim_connector.uapim.mask.xpaths en el archivo de configuración del conector:
- Ruta de acceso al archivo de configuración:
/opt/apigee/customer/application/uapim-connector.properties - Propiedad:
conf_uapim_connector.uapim.mask.xpaths
La propiedad acepta una lista separada por comas de expresiones XPath que segmentan los elementos específicos cuyos valores deseas enmascarar.
Configuración de ejemplo
Para enmascarar el valor de una variable personalizada y un campo de estadísticas, debes establecer la propiedad de la siguiente manera:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Expresión XPath | Elemento enmascarado | Objetivo |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Valor de la estadística (donde name="caller") | Enmascara la identidad sensible de la persona que llama. |
//AssignMessage/AssignVariable[Name='password']/Value |
Valor de AssignVariable (donde Name='password') | Enmascara los valores de contraseñas codificados. |
Políticas enmascaradas
Se enmascarará el valor de los elementos segmentados. Este contenido enmascarado se sube al centro de APIs.
Ejemplo de política 1 (StatisticsCollector - Enmascarada):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>