Descripción general
Como parte de la integración del conector del centro de APIs, la carga de metadatos para el proxy de API y los paquetes de flujo compartido se sincronizan con el centro de APIs. Estos paquetes pueden contener información de identificación personal (PII) o algún otro dato sensible dentro de las configuraciones de políticas. Esta función te permite enmascarar los campos de PII identificados antes de que los paquetes se suban al centro de APIs, lo que garantiza la privacidad y el cumplimiento de los datos para tu entorno de Edge para la nube privada.
Enfoque de enmascaramiento
El enmascaramiento de PII se aplica con expresiones XPath para segmentar elementos específicos dentro de las configuraciones de políticas con formato XML dentro de los paquetes. La función se divide en dos partes.
Máscaras predeterminadas
Apigee Edge para la nube privada incluye una lista integrada y predefinida de expresiones XPath (llamadas máscaras predeterminadas) que segmentan automáticamente los campos que se sabe que son posibles fuentes de PII en varias políticas.
Posibles fuentes de PII y máscaras predeterminadas
En la siguiente tabla, se enumeran las políticas y los elementos para los que se aplica el enmascaramiento predeterminado:
| Nombre de la política | Elemento sensible | XPath de máscara predeterminada | Razones |
|---|---|---|---|
BasicAuthentication |
Nombre de usuario codificado | //BasicAuthentication/User |
Almacena directamente la identidad del usuario en texto no encriptado. |
BasicAuthentication |
Contraseña codificada | //BasicAuthentication/Password |
Almacena directamente la contraseña en texto no encriptado. |
GenerateJWT |
Clave simétrica (secreta) | //GenerateJWT/SecretKey/Value |
Clave de firma o encriptación simétrica codificada. |
GenerateJWT |
Clave privada | //GenerateJWT/PrivateKey/Value |
Clave privada codificada con PEM para la firma asimétrica. |
GenerateJWT |
Contraseña de clave privada | //GenerateJWT/PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
GenerateJWS |
Clave simétrica (secreta) | //GenerateJWS/SecretKey/Value |
Clave de firma o encriptación simétrica codificada. |
GenerateJWS |
Clave privada | //GenerateJWS/PrivateKey/Value |
Clave privada codificada con PEM para la firma asimétrica. |
GenerateJWS |
Contraseña de clave privada | //GenerateJWS/PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
VerifyJWT |
Clave simétrica (secreta) | //VerifyJWT/SecretKey/Value |
Clave simétrica codificada para la verificación. |
VerifyJWS |
Clave simétrica (secreta) | //VerifyJWS/SecretKey/Value |
Clave simétrica codificada para la verificación. |
HMAC |
Clave secreta compartida | //HMAC/SecretKey |
Clave secreta codificada para el cálculo de HMAC. |
KeyValueMapOperations |
Valor codificado (Put) | //KeyValueMapOperations/Put/Value |
Secreto codificado que se escribe en el KVM. |
ServiceCallout |
Nombre de usuario de autenticación básica | //ServiceCallout//Authentication/BasicAuth/UserName |
Nombre de usuario codificado para la autenticación de backend. |
ServiceCallout |
Contraseña de autenticación básica** | //ServiceCallout//Authentication/BasicAuth/Password |
Contraseña codificada para la autenticación de backend. |
SAMLAssertion |
Valor de clave privada | //SAMLAssertion//PrivateKey/Value |
Clave privada para desencriptar o firmar. |
SAMLAssertion |
Contraseña de clave privada | //SAMLAssertion//PrivateKey/Password |
Contraseña para desencriptar la clave privada. |
Máscaras personalizadas
Para los campos que identificas como PII, pero que no están cubiertos por las máscaras predeterminadas (como la configuración personalizada en las políticas), puedes proporcionar tu propia lista de expresiones XPath (máscaras personalizadas).
Las máscaras personalizadas se administran actualizando una propiedad de configuración en el archivo uapim-connector.properties de tu sistema Edge para la nube privada.
Configura máscaras personalizadas
Para agregar rutas de enmascaramiento personalizadas, actualiza la propiedad conf_uapim_connector.uapim.mask.xpaths en el archivo de configuración del conector:
- Ruta de acceso del archivo de configuración:
/opt/apigee/customer/application/uapim-connector.properties - Propiedad:
conf_uapim_connector.uapim.mask.xpaths
La propiedad acepta una lista separada por comas de expresiones XPath que segmentan los elementos específicos cuyos valores deseas enmascarar.
Configuración de ejemplo
Para enmascarar un valor de variable personalizado y un campo de estadísticas, debes configurar la propiedad de la siguiente manera:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Expresión XPath | Elemento enmascarado | Objetivo |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Valor de estadísticas (donde name='caller') | Enmascara la identidad sensible del llamador. |
//AssignMessage/AssignVariable[Name='password']/Value |
Valor de AssignVariable (donde Name='password') | Enmascara los valores de contraseña codificados. |
Políticas enmascaradas
Se enmascarará el valor de los elementos segmentados. Este contenido enmascarado se sube al centro de APIs.
Política de ejemplo 1 (StatisticsCollector - Enmascarada):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>