Przegląd
W ramach integracji z łącznikiem centrum interfejsów API przesyłanie metadanych pakietów serwerów proxy interfejsu API i współdzielonych przepływów jest synchronizowane z centrum interfejsów API. Te pakiety mogą zawierać informacje umożliwiające identyfikację osób lub inne dane wrażliwe w konfiguracjach zasad. Ta funkcja umożliwia maskowanie zidentyfikowanych pól informacji umożliwiających identyfikację, zanim pakiety zostaną przesłane do centrum interfejsów API, co zapewnia prywatność danych i zgodność z przepisami w środowisku Edge for Private Cloud.
Podejście do maskowania
Maskowanie informacji umożliwiających identyfikację jest stosowane za pomocą wyrażeń XPath, które umożliwiają wybieranie konkretnych elementów w konfiguracjach zasad w formacie XML w pakietach. Funkcja jest podzielona na 2 części.
Domyślne maski
Apigee Edge Private Cloud zawiera wstępnie zdefiniowaną, wbudowaną listę wyrażeń XPath (tzw. domyślne maski), które automatycznie kierują na pola znane jako potencjalne źródła informacji umożliwiających identyfikację osoby w różnych zasadach.
Potencjalne źródła informacji umożliwiających identyfikację i domyślne maski
W tabeli poniżej znajdziesz zasady i elementy, w przypadku których stosowane jest domyślne maskowanie:
| Nazwa zasady | Element wrażliwy | Domyślny XPath maski | Uzasadnienie |
|---|---|---|---|
BasicAuthentication |
Nazwa użytkownika zakodowana na stałe | //BasicAuthentication/User |
Bezpośrednio przechowuje tożsamość użytkownika w postaci zwykłego tekstu. |
BasicAuthentication |
Hasło zakodowane na stałe | //BasicAuthentication/Password |
bezpośrednio przechowuje hasło w postaci zwykłego tekstu; |
GenerateJWT |
Klucz symetryczny (tajny) | //GenerateJWT/SecretKey/Value |
Zakodowany na stałe klucz szyfrowania/podpisywania symetrycznego. |
GenerateJWT |
Klucz prywatny | //GenerateJWT/PrivateKey/Value |
Klucz prywatny w formacie PEM do podpisywania asymetrycznego. |
GenerateJWT |
Hasło klucza prywatnego | //GenerateJWT/PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
GenerateJWS |
Klucz symetryczny (tajny) | //GenerateJWS/SecretKey/Value |
Zakodowany na stałe klucz szyfrowania/podpisywania symetrycznego. |
GenerateJWS |
Klucz prywatny | //GenerateJWS/PrivateKey/Value |
Klucz prywatny w formacie PEM do podpisywania asymetrycznego. |
GenerateJWS |
Hasło klucza prywatnego | //GenerateJWS/PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
VerifyJWT |
Klucz symetryczny (tajny) | //VerifyJWT/SecretKey/Value |
Zakodowany na stałe klucz symetryczny do weryfikacji. |
VerifyJWS |
Klucz symetryczny (tajny) | //VerifyJWS/SecretKey/Value |
Zakodowany na stałe klucz symetryczny do weryfikacji. |
HMAC |
Udostępniony klucz tajny | //HMAC/SecretKey |
Zakodowany na stałe klucz tajny do obliczania HMAC. |
KeyValueMapOperations |
Wartość zakodowana na stałe (umieszczona) | //KeyValueMapOperations/Put/Value |
Obiekt tajny zakodowany na stałe jest zapisywany w KVM. |
ServiceCallout |
Nazwa użytkownika uwierzytelniania podstawowego | //ServiceCallout//Authentication/BasicAuth/UserName |
Zakodowana na stałe nazwa użytkownika do uwierzytelniania backendu. |
ServiceCallout |
Hasło uwierzytelniania podstawowego** | //ServiceCallout//Authentication/BasicAuth/Password |
Hasło zakodowane na stałe na potrzeby uwierzytelniania backendu. |
SAMLAssertion |
Wartość klucza prywatnego | //SAMLAssertion//PrivateKey/Value |
Klucz prywatny do odszyfrowywania lub podpisywania. |
SAMLAssertion |
Hasło klucza prywatnego | //SAMLAssertion//PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
Maski niestandardowe
W przypadku pól, które uznasz za informacje umożliwiające identyfikację, ale które nie są objęte domyślnymi maskami (np. w konfiguracji niestandardowej w zasadach), możesz podać własną listę wyrażeń XPath (maski niestandardowe).
Maskami niestandardowymi zarządza się, aktualizując właściwość konfiguracji w pliku uapim-connector.properties w systemie Edge for Private Cloud.
Konfigurowanie masek niestandardowych
Aby dodać niestandardowe ścieżki maskowania, zaktualizuj właściwość conf_uapim_connector.uapim.mask.xpaths w pliku konfiguracyjnym łącznika:
- Ścieżka pliku konfiguracji:
/opt/apigee/customer/application/uapim-connector.properties - Usługa:
conf_uapim_connector.uapim.mask.xpaths
Właściwość przyjmuje listę wyrażeń XPath rozdzieloną przecinkami, które są kierowane na konkretne elementy, których wartości chcesz zamaskować.
Przykładowa konfiguracja
Aby zamaskować wartość zmiennej niestandardowej i pole statystyki, ustaw właściwość w ten sposób:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Wyrażenie XPath | Element zamaskowany | Cel |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Wartość statystyki (gdzie name='caller') | Maskuje poufne dane rozmówcy. |
//AssignMessage/AssignVariable[Name='password']/Value |
Przypisz wartość zmiennej (gdzie Name='password') | Maskuje zakodowane na stałe wartości haseł. |
Zamaskowane zasady
Wartość elementów docelowych zostanie zamaskowana. Zamaskowane treści są przesyłane do centrum interfejsów API.
Przykładowe zasady 1 (StatisticsCollector – zamaskowane):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>