개요
API 허브 커넥터 통합의 일부로 API 프록시 및 공유 흐름 번들의 메타데이터 업로드가 API 허브와 동기화됩니다. 이러한 번들에는 정책 구성 내에 개인 식별 정보 (PII) 또는 기타 민감한 정보가 포함될 수 있습니다. 이 기능을 사용하면 번들이 API 허브에 업로드되기 전에 식별된 PII 필드를 마스킹하여 프라이빗 클라우드 환경의 Edge에 대한 데이터 개인 정보 보호 및 규정 준수를 보장할 수 있습니다.
마스킹 접근 방식
PII 마스킹은 XPath 표현식을 사용하여 번들 내 XML 형식 정책 구성의 특정 요소를 타겟팅하여 적용됩니다. 이 기능은 두 부분으로 나뉩니다.
기본 마스크
Apigee Edge for Private Cloud에는 다양한 정책에서 잠재적인 PII 소스로 알려진 필드를 자동으로 타겟팅하는 사전 정의된 기본 제공 XPath 표현식 목록 (기본 마스크라고 함)이 포함되어 있습니다.
잠재적 PII 소스 및 기본 마스크
다음 표에는 기본 마스킹이 적용되는 정책과 요소가 나와 있습니다.
| 정책 이름 | 민감한 요소 | 기본 마스크 XPath | 근거 |
|---|---|---|---|
BasicAuthentication |
하드코딩된 사용자 이름 | //BasicAuthentication/User |
일반 텍스트 사용자 ID를 직접 저장합니다. |
BasicAuthentication |
하드코딩된 비밀번호 | //BasicAuthentication/Password |
일반 텍스트 비밀번호를 직접 저장합니다. |
GenerateJWT |
대칭 키 (보안 비밀) | //GenerateJWT/SecretKey/Value |
하드코딩된 대칭 암호화/서명 키입니다. |
GenerateJWT |
비공개 키 | //GenerateJWT/PrivateKey/Value |
비대칭 서명을 위한 PEM 인코딩 비공개 키입니다. |
GenerateJWT |
비공개 키 비밀번호 | //GenerateJWT/PrivateKey/Password |
비공개 키를 복호화하는 데 사용되는 비밀번호입니다. |
GenerateJWS |
대칭 키 (보안 비밀) | //GenerateJWS/SecretKey/Value |
하드코딩된 대칭 암호화/서명 키입니다. |
GenerateJWS |
비공개 키 | //GenerateJWS/PrivateKey/Value |
비대칭 서명을 위한 PEM 인코딩 비공개 키입니다. |
GenerateJWS |
비공개 키 비밀번호 | //GenerateJWS/PrivateKey/Password |
비공개 키를 복호화하는 데 사용되는 비밀번호입니다. |
VerifyJWT |
대칭 키 (보안 비밀) | //VerifyJWT/SecretKey/Value |
확인을 위해 하드코딩된 대칭 키입니다. |
VerifyJWS |
대칭 키 (보안 비밀) | //VerifyJWS/SecretKey/Value |
확인을 위해 하드코딩된 대칭 키입니다. |
HMAC |
공유 보안 비밀 키 | //HMAC/SecretKey |
HMAC 계산을 위해 하드코딩된 보안 비밀 키입니다. |
KeyValueMapOperations |
하드코딩된 값 (Put) | //KeyValueMapOperations/Put/Value |
KVM에 기록되는 하드코딩된 보안 비밀 |
ServiceCallout |
기본 인증 사용자 이름 | //ServiceCallout//Authentication/BasicAuth/UserName |
백엔드 인증을 위해 하드코딩된 사용자 이름입니다. |
ServiceCallout |
기본 인증 비밀번호** | //ServiceCallout//Authentication/BasicAuth/Password |
백엔드 인증을 위해 하드코딩된 비밀번호입니다. |
SAMLAssertion |
비공개 키 값 | //SAMLAssertion//PrivateKey/Value |
복호화/서명을 위한 비공개 키입니다. |
SAMLAssertion |
비공개 키 비밀번호 | //SAMLAssertion//PrivateKey/Password |
비공개 키를 복호화하는 데 사용되는 비밀번호입니다. |
맞춤 마스크
개인 식별 정보로 식별되지만 기본 마스크로 처리되지 않는 필드 (예: 정책의 맞춤 구성)의 경우 XPath 표현식 목록 (맞춤 마스크)을 직접 제공할 수 있습니다.
맞춤 마스크는 Edge for Private Cloud 시스템의 uapim-connector.properties 파일에서 구성 속성을 업데이트하여 관리합니다.
맞춤 마스크 구성
맞춤 마스킹 경로를 추가하려면 커넥터 구성 파일에서 conf_uapim_connector.uapim.mask.xpaths 속성을 업데이트합니다.
- 구성 파일 경로:
/opt/apigee/customer/application/uapim-connector.properties - 속성:
conf_uapim_connector.uapim.mask.xpaths
이 속성은 값을 마스킹하려는 특정 요소를 타겟팅하는 XPath 표현식의 쉼표로 구분된 목록을 허용합니다.
구성 예시
맞춤 변수 값과 통계 필드를 마스킹하려면 다음과 같이 속성을 설정합니다.
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| XPath 표현식 | 요소가 마스크됨 | 목적 |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
통계 값 (이름이'caller'인 경우) | 민감한 호출자 ID를 마스크합니다. |
//AssignMessage/AssignVariable[Name='password']/Value |
AssignVariable 값 (여기서 Name='password') | 하드코딩된 비밀번호 값을 마스크합니다. |
마스크 처리된 정책
타겟팅된 요소의 값이 마스킹됩니다. 마스킹된 콘텐츠는 API 허브에 업로드됩니다.
정책 예 1 (StatisticsCollector - 마스크 처리됨):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>