Tổng quan
Trong quá trình tích hợp trình kết nối trung tâm API, quá trình tải siêu dữ liệu lên cho các gói proxy API và sharedflow sẽ được đồng bộ hoá với Trung tâm API. Các gói này có thể chứa Thông tin nhận dạng cá nhân (PII) hoặc dữ liệu nhạy cảm khác trong cấu hình chính sách. Tính năng này cho phép bạn che các trường PII đã xác định trước khi các gói được tải lên trung tâm API, đảm bảo quyền riêng tư đối với dữ liệu và việc tuân thủ cho môi trường Edge for Private Cloud.
Phương pháp che
Tính năng che giấu thông tin nhận dạng cá nhân được áp dụng bằng cách sử dụng biểu thức XPath để nhắm đến các phần tử cụ thể trong cấu hình chính sách có định dạng XML bên trong các gói. Tính năng này được chia thành hai phần.
Mặt nạ mặc định
Apigee Edge cho Đám mây riêng tư có một danh sách được xác định trước, tích hợp sẵn các biểu thức XPath (gọi là mặt nạ mặc định) tự động nhắm đến các trường được biết là nguồn PII tiềm ẩn trên nhiều chính sách.
Các nguồn PII tiềm ẩn và mặt nạ mặc định
Bảng sau đây liệt kê các chính sách và phần tử được áp dụng chế độ che mặc định:
| Tên chính sách | Phần tử nhạy cảm | XPath mặt nạ mặc định | Lý do |
|---|---|---|---|
BasicAuthentication |
Tên người dùng được mã hoá cứng | //BasicAuthentication/User |
Lưu trữ trực tiếp danh tính người dùng dưới dạng văn bản thuần tuý. |
BasicAuthentication |
Mật khẩu được cố định giá trị trong mã | //BasicAuthentication/Password |
Lưu trữ trực tiếp mật khẩu văn bản thuần tuý. |
GenerateJWT |
Khoá đối xứng (Bí mật) | //GenerateJWT/SecretKey/Value |
Khoá ký/mã hoá đối xứng được mã hoá cứng. |
GenerateJWT |
Khóa cá nhân | //GenerateJWT/PrivateKey/Value |
Khoá riêng tư được mã hoá bằng PEM để ký bất đối xứng. |
GenerateJWT |
Mật khẩu khoá riêng tư | //GenerateJWT/PrivateKey/Password |
Mật khẩu để giải mã khoá riêng tư. |
GenerateJWS |
Khoá đối xứng (Bí mật) | //GenerateJWS/SecretKey/Value |
Khoá ký/mã hoá đối xứng được mã hoá cứng. |
GenerateJWS |
Khóa cá nhân | //GenerateJWS/PrivateKey/Value |
Khoá riêng tư được mã hoá bằng PEM để ký bất đối xứng. |
GenerateJWS |
Mật khẩu khoá riêng tư | //GenerateJWS/PrivateKey/Password |
Mật khẩu để giải mã khoá riêng tư. |
VerifyJWT |
Khoá đối xứng (Bí mật) | //VerifyJWT/SecretKey/Value |
Khoá đối xứng được mã hoá cứng để xác minh. |
VerifyJWS |
Khoá đối xứng (Bí mật) | //VerifyJWS/SecretKey/Value |
Khoá đối xứng được mã hoá cứng để xác minh. |
HMAC |
Khoá bí mật dùng chung | //HMAC/SecretKey |
Khoá bí mật được mã hoá cứng để tính toán HMAC. |
KeyValueMapOperations |
Giá trị được cố định trong mã (Đặt) | //KeyValueMapOperations/Put/Value |
Khoá bí mật được cố định vào trong mã đang được ghi vào KVM. |
ServiceCallout |
Tên người dùng xác thực cơ bản | //ServiceCallout//Authentication/BasicAuth/UserName |
Tên người dùng được mã hoá cứng để xác thực phụ trợ. |
ServiceCallout |
Mật khẩu xác thực cơ bản** | //ServiceCallout//Authentication/BasicAuth/Password |
Mật khẩu được mã hoá cứng để xác thực phụ trợ. |
SAMLAssertion |
Giá trị khoá riêng tư | //SAMLAssertion//PrivateKey/Value |
Khoá riêng tư để giải mã/ký. |
SAMLAssertion |
Mật khẩu khoá riêng tư | //SAMLAssertion//PrivateKey/Password |
Mật khẩu để giải mã khoá riêng tư. |
Mặt nạ tuỳ chỉnh
Đối với những trường mà bạn xác định là PII nhưng không thuộc phạm vi của các mặt nạ mặc định (chẳng hạn như cấu hình tuỳ chỉnh trong chính sách), bạn có thể cung cấp danh sách biểu thức XPath của riêng mình (mặt nạ tuỳ chỉnh).
Bạn có thể quản lý các mặt nạ tuỳ chỉnh bằng cách cập nhật một thuộc tính cấu hình trong tệp uapim-connector.properties trên hệ thống Edge cho Đám mây riêng tư.
Định cấu hình mặt nạ tuỳ chỉnh
Để thêm các đường dẫn che phủ tuỳ chỉnh, hãy cập nhật thuộc tính conf_uapim_connector.uapim.mask.xpaths trong tệp cấu hình trình kết nối:
- Đường dẫn đến tệp cấu hình:
/opt/apigee/customer/application/uapim-connector.properties - Tài sản:
conf_uapim_connector.uapim.mask.xpaths
Thuộc tính này chấp nhận một danh sách được phân tách bằng dấu phẩy các biểu thức XPath, nhắm đến các phần tử cụ thể mà bạn muốn che giấu giá trị.
Cấu hình mẫu
Để che giá trị biến tuỳ chỉnh và trường số liệu thống kê, bạn sẽ đặt thuộc tính như sau:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Biểu thức XPath | Phần tử bị che | Mục đích |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Giá trị thống kê (trong đó name="caller") | Che danh tính nhạy cảm của người gọi. |
//AssignMessage/AssignVariable[Name='password']/Value |
Giá trị AssignVariable (trong đó Name='password') | Che các giá trị mật khẩu được mã hoá cứng. |
Chính sách bị che khuất
Giá trị của các phần tử được nhắm đến sẽ bị che. Nội dung bị che này được tải lên trung tâm API.
Ví dụ về Chính sách 1 (StatisticsCollector – Đã che):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>