Panoramica
Nell'ambito dell'integrazione del connettore dell'hub API, il caricamento dei metadati per i bundle di proxy API e sharedflow viene sincronizzato con l'hub API. Questi bundle possono contenere informazioni che consentono l'identificazione personale (PII) o altri dati sensibili all'interno delle configurazioni delle policy. Questa funzionalità consente di mascherare i campi PII identificati prima che i bundle vengano caricati nell'hub API, garantendo la privacy e la conformità dei dati per l'ambiente Edge for Private Cloud.
Approccio di mascheramento
Il mascheramento delle PII viene applicato utilizzando espressioni XPath per indirizzare elementi specifici all'interno delle configurazioni delle policy in formato XML all'interno dei bundle. La funzionalità è suddivisa in due parti.
Maschere predefinite
Apigee Edge for Private Cloud include un elenco predefinito e integrato di espressioni XPath (chiamate maschere predefinite) che indirizzano automaticamente i campi noti per essere potenziali origini PII in varie policy.
Potenziali origini PII e maschere predefinite
La seguente tabella elenca le policy e gli elementi per i quali viene applicato il mascheramento predefinito:
| Nome policy | Elemento sensibile | XPath maschera predefinita | Motivazione |
|---|---|---|---|
BasicAuthentication |
Nome utente hardcoded | //BasicAuthentication/User |
Memorizza direttamente l'identità dell'utente in testo non crittografato. |
BasicAuthentication |
Password hardcoded | //BasicAuthentication/Password |
Memorizza direttamente la password in testo non crittografato. |
GenerateJWT |
Chiave simmetrica (secret) | //GenerateJWT/SecretKey/Value |
Chiave di firma/crittografia simmetrica hardcoded. |
GenerateJWT |
Chiave privata | //GenerateJWT/PrivateKey/Value |
Chiave privata con codifica PEM per la firma asimmetrica. |
GenerateJWT |
Password chiave privata | //GenerateJWT/PrivateKey/Password |
Password per decriptare la chiave privata. |
GenerateJWS |
Chiave simmetrica (secret) | //GenerateJWS/SecretKey/Value |
Chiave di firma/crittografia simmetrica hardcoded. |
GenerateJWS |
Chiave privata | //GenerateJWS/PrivateKey/Value |
Chiave privata con codifica PEM per la firma asimmetrica. |
GenerateJWS |
Password chiave privata | //GenerateJWS/PrivateKey/Password |
Password per decriptare la chiave privata. |
VerifyJWT |
Chiave simmetrica (secret) | //VerifyJWT/SecretKey/Value |
Chiave simmetrica hardcoded per la verifica. |
VerifyJWS |
Chiave simmetrica (secret) | //VerifyJWS/SecretKey/Value |
Chiave simmetrica hardcoded per la verifica. |
HMAC |
Chiave segreta condivisa | //HMAC/SecretKey |
Chiave segreta hardcoded per il calcolo HMAC. |
KeyValueMapOperations |
Valore hardcoded (Put) | //KeyValueMapOperations/Put/Value |
Secret hardcoded scritto nel KVM. |
ServiceCallout |
Nome utente autenticazione di base | //ServiceCallout//Authentication/BasicAuth/UserName |
Nome utente hardcoded per l'autenticazione backend. |
ServiceCallout |
Password autenticazione di base** | //ServiceCallout//Authentication/BasicAuth/Password |
Password hardcoded per l'autenticazione backend. |
SAMLAssertion |
Valore chiave privata | //SAMLAssertion//PrivateKey/Value |
Chiave privata per la decriptazione/firma. |
SAMLAssertion |
Password chiave privata | //SAMLAssertion//PrivateKey/Password |
Password per decriptare la chiave privata. |
Maschere personalizzate
Per i campi che identifichi come PII ma che non sono coperti dalle maschere predefinite (ad esempio la configurazione personalizzata nelle policy), puoi fornire il tuo elenco di espressioni XPath (maschere personalizzate).
Le maschere personalizzate vengono gestite aggiornando una proprietà di configurazione nel file uapim-connector.properties sul sistema Edge for Private Cloud.
Configurazione delle maschere personalizzate
Per aggiungere percorsi di mascheramento personalizzati, aggiorna la proprietà conf_uapim_connector.uapim.mask.xpaths nel file di configurazione del connettore:
- Percorso del file di configurazione:
/opt/apigee/customer/application/uapim-connector.properties - Proprietà:
conf_uapim_connector.uapim.mask.xpaths
La proprietà accetta un elenco di espressioni XPath separate da virgole che indirizzano gli elementi specifici di cui vuoi mascherare i valori.
Configurazione di esempio
Per mascherare il valore di una variabile personalizzata e un campo di statistica, imposta la proprietà come segue:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Espressione XPath | Elemento mascherato | Finalità |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Valore statistico (dove name='caller') | Maschera l'identità del chiamante sensibile. |
//AssignMessage/AssignVariable[Name='password']/Value |
Valore AssignVariable (dove Name='password') | Maschera i valori delle password hardcoded. |
Policy mascherate
Il valore degli elementi di destinazione verrà mascherato. Questi contenuti mascherati vengono caricati nell'hub API.
Policy di esempio 1 (StatisticsCollector - Mascherata):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>