Обзор
В рамках интеграции с коннектором API Hub, загрузка метаданных для пакетов API-прокси и SharedFlow синхронизируется с API Hub. Эти пакеты могут содержать персональные данные (PII) или другие конфиденциальные данные в конфигурациях политик. Эта функция позволяет маскировать поля с идентифицированными персональными данными перед загрузкой пакетов в API Hub, обеспечивая конфиденциальность данных и соответствие требованиям для вашей среды Edge for Private Cloud.
Маскирующий подход
Маскировка персональных данных применяется с использованием выражений XPath для выбора конкретных элементов в XML-форматированных конфигурациях политик внутри пакетов. Эта функция разделена на две части.
Маски по умолчанию
Apigee Edge for Private Cloud включает в себя предопределенный встроенный список выражений XPath (называемых масками по умолчанию ), которые автоматически определяют поля, которые, как известно, являются потенциальными источниками персональных данных в соответствии с различными политиками.
Потенциальные источники персональных данных и маски по умолчанию
В таблице ниже перечислены политики и элементы, для которых применяется маскирование по умолчанию:
| Название полиса | Чувствительный элемент | XPath маски по умолчанию | Обоснование |
|---|---|---|---|
BasicAuthentication | Закодированное имя пользователя | //BasicAuthentication/User | Непосредственно хранит идентификационные данные пользователя в открытом виде. |
BasicAuthentication | Закодированный пароль | //BasicAuthentication/Password | Непосредственно хранит пароль в открытом виде. |
GenerateJWT | Симметричный ключ (секретный) | //GenerateJWT/SecretKey/Value | Закодированный симметричный ключ шифрования/подписи. |
GenerateJWT | Закрытый ключ | //GenerateJWT/PrivateKey/Value | Закрытый ключ в формате PEM для асимметричной подписи. |
GenerateJWT | Пароль закрытого ключа | //GenerateJWT/PrivateKey/Password | Пароль для расшифровки закрытого ключа. |
GenerateJWS | Симметричный ключ (секретный) | //GenerateJWS/SecretKey/Value | Закодированный симметричный ключ шифрования/подписи. |
GenerateJWS | Закрытый ключ | //GenerateJWS/PrivateKey/Value | Закрытый ключ в формате PEM для асимметричной подписи. |
GenerateJWS | Пароль закрытого ключа | //GenerateJWS/PrivateKey/Password | Пароль для расшифровки закрытого ключа. |
VerifyJWT | Симметричный ключ (секретный) | //VerifyJWT/SecretKey/Value | Для проверки используется жестко закодированный симметричный ключ. |
VerifyJWS | Симметричный ключ (секретный) | //VerifyJWS/SecretKey/Value | Для проверки используется жестко закодированный симметричный ключ. |
HMAC | Общий секретный ключ | //HMAC/SecretKey | Закодированный секретный ключ для вычисления HMAC. |
KeyValueMapOperations | Заданное значение (пут-опцион) | //KeyValueMapOperations/Put/Value | В KVM записывается жестко закодированный секретный ключ. |
ServiceCallout | Базовая аутентификация Имя пользователя | //ServiceCallout//Authentication/BasicAuth/UserName | Заданное вручную имя пользователя для аутентификации на стороне бэкэнда. |
ServiceCallout | Пароль для базовой аутентификации** | //ServiceCallout//Authentication/BasicAuth/Password | Встроенный пароль для аутентификации на стороне бэкэнда. |
SAMLAssertion | Значение закрытого ключа | //SAMLAssertion//PrivateKey/Value | Закрытый ключ для расшифровки/подписи. |
SAMLAssertion | Пароль закрытого ключа | //SAMLAssertion//PrivateKey/Password | Пароль для расшифровки закрытого ключа. |
Маски на заказ
Для полей, которые вы идентифицируете как персональные данные, но которые не охватываются стандартными масками (например, пользовательская конфигурация в политиках), вы можете указать собственный список выражений XPath ( пользовательские маски ).
Управление пользовательскими масками осуществляется путем обновления параметра конфигурации в файле uapim-connector.properties в вашей системе Edge for Private Cloud.
Настройка пользовательских масок
Чтобы добавить пользовательские пути маскирования, обновите свойство conf_uapim_connector.uapim.mask.xpaths в файле конфигурации коннектора:
- Путь к файлу конфигурации:
/opt/apigee/customer/application/uapim-connector.properties - Свойство:
conf_uapim_connector.uapim.mask.xpaths
Данная функция принимает список выражений XPath, разделенных запятыми, которые указывают на конкретные элементы, значения которых вы хотите скрыть.
Пример конфигурации
Чтобы скрыть значение пользовательской переменной и поле статистики, необходимо установить свойство следующим образом:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Выражение XPath | Элемент замаскирован | Цель |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] | Статистическое значение (где имя = 'звонящий') | Скрывает конфиденциальные данные звонящего. |
//AssignMessage/AssignVariable[Name='password']/Value | Присвоить значение переменной (где Name='password') | Маскирует жестко закодированные значения паролей. |
Политика ношения масок
Значения целевых элементов будут замаскированы. Это замаскированное содержимое загружается в API-хаб.
Пример политики 1 (StatisticsCollector - Masked):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>