Visão geral
Como parte da integração do conector do hub de APIs, o upload de metadados para pacotes de proxy de API e sharedflow é sincronizado com o hub de APIs. Esses pacotes podem conter informações de identificação pessoal (PII) ou outros dados sensíveis nas configurações de política. Com esse recurso, é possível mascarar os campos de PII identificados antes que os pacotes sejam enviados ao Hub de API, garantindo a privacidade de dados e a conformidade no ambiente do Edge para nuvem privada.
Abordagem de mascaramento
A máscara de PII é aplicada usando expressões XPath para segmentar elementos específicos nas configurações de política formatadas em XML dentro dos pacotes. O recurso é dividido em duas partes.
Máscaras padrão
O Apigee Edge para nuvem privada inclui uma lista predefinida e integrada de expressões XPath (chamadas de máscaras padrão) que segmentam automaticamente campos conhecidos como possíveis fontes de PII em várias políticas.
Possíveis fontes de PII e máscaras padrão
A tabela a seguir lista as políticas e os elementos em que o mascaramento padrão é aplicado:
| Nome da política | Elemento sensível | XPath da máscara padrão | Justificativa |
|---|---|---|---|
BasicAuthentication |
Nome de usuário fixado no código | //BasicAuthentication/User |
Armazena diretamente a identidade do usuário em texto sem formatação. |
BasicAuthentication |
Senha fixada no código | //BasicAuthentication/Password |
Armazena diretamente a senha em texto simples. |
GenerateJWT |
Chave simétrica (secreta) | //GenerateJWT/SecretKey/Value |
Chave de criptografia/assinatura simétrica fixa no código. |
GenerateJWT |
Chave privada | //GenerateJWT/PrivateKey/Value |
Chave privada codificada em PEM para assinatura assimétrica. |
GenerateJWT |
Senha da chave privada | //GenerateJWT/PrivateKey/Password |
Senha para descriptografar a chave privada. |
GenerateJWS |
Chave simétrica (secreta) | //GenerateJWS/SecretKey/Value |
Chave de criptografia/assinatura simétrica fixa no código. |
GenerateJWS |
Chave privada | //GenerateJWS/PrivateKey/Value |
Chave privada codificada em PEM para assinatura assimétrica. |
GenerateJWS |
Senha da chave privada | //GenerateJWS/PrivateKey/Password |
Senha para descriptografar a chave privada. |
VerifyJWT |
Chave simétrica (secreta) | //VerifyJWT/SecretKey/Value |
Chave simétrica fixa no código para verificação. |
VerifyJWS |
Chave simétrica (secreta) | //VerifyJWS/SecretKey/Value |
Chave simétrica fixa no código para verificação. |
HMAC |
Chave secreta compartilhada | //HMAC/SecretKey |
Chave secreta codificada para cálculo de HMAC. |
KeyValueMapOperations |
Valor fixado no código (PUT) | //KeyValueMapOperations/Put/Value |
Secret fixado no código sendo gravado na KVM. |
ServiceCallout |
Nome de usuário da autenticação básica | //ServiceCallout//Authentication/BasicAuth/UserName |
Nome de usuário codificado para autenticação de back-end. |
ServiceCallout |
Senha de autenticação básica** | //ServiceCallout//Authentication/BasicAuth/Password |
Senha codificada para autenticação de back-end. |
SAMLAssertion |
Valor da chave privada | //SAMLAssertion//PrivateKey/Value |
Chave privada para descriptografia/assinatura. |
SAMLAssertion |
Senha da chave privada | //SAMLAssertion//PrivateKey/Password |
Senha para descriptografar a chave privada. |
Máscaras personalizadas
Para campos que você identifica como PII, mas não são cobertos pelas máscaras padrão (como configuração personalizada em políticas), é possível fornecer sua própria lista de expressões XPath (máscaras personalizadas).
As máscaras personalizadas são gerenciadas atualizando uma propriedade de configuração no arquivo uapim-connector.properties no sistema do Edge para nuvem privada.
Como configurar máscaras personalizadas
Para adicionar caminhos de mascaramento personalizados, atualize a propriedade conf_uapim_connector.uapim.mask.xpaths no arquivo de configuração do conector:
- Caminho do arquivo de configuração:
/opt/apigee/customer/application/uapim-connector.properties - Propriedade:
conf_uapim_connector.uapim.mask.xpaths
A propriedade aceita uma lista separada por vírgulas de expressões XPath que segmentam os elementos específicos cujos valores você quer mascarar.
Exemplo de configuração
Para mascarar um valor de variável personalizada e um campo de estatística, defina a propriedade da seguinte maneira:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Expressão XPath | Elemento mascarado | Finalidade |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Valor da estatística (em que name="caller") | Mascarar a identidade sensível do autor da chamada. |
//AssignMessage/AssignVariable[Name='password']/Value |
Valor de AssignVariable (em que Name='password') | Mascarar valores de senha codificados. |
Políticas mascaradas
O valor dos elementos segmentados será mascarado. Esse conteúdo mascarado é enviado ao hub de API.
Exemplo de política 1 (StatisticsCollector - mascarada):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>