Visão geral
Como parte da integração do conector do hub de APIs, o upload de metadados para pacotes de proxy de API e sharedflow é sincronizado com o hub de APIs. Esses pacotes podem conter informações de identificação pessoal (PII) ou outros dados confidenciais nas configurações de política. Esse recurso permite mascarar os campos de PII identificados antes que os pacotes sejam enviados ao hub de APIs, garantindo a privacidade e a conformidade dos dados no ambiente do Edge para nuvem privada.
Abordagem de mascaramento
O mascaramento de PII é aplicado usando expressões XPath para segmentar elementos específicos nas configurações de política formatadas em XML dentro dos pacotes. O recurso é dividido em duas partes.
Máscaras padrão
O Apigee Edge para nuvem privada inclui uma lista predefinida e integrada de expressões XPath (chamadas de máscaras padrão) que segmentam automaticamente campos conhecidos como possíveis fontes de PII em várias políticas.
Possíveis fontes de PII e máscaras padrão
A tabela a seguir lista as políticas e os elementos para os quais o mascaramento padrão é aplicado:
| Nome da política | Elemento sensível | XPath da máscara padrão | Justificativa |
|---|---|---|---|
BasicAuthentication |
Nome de usuário fixado no código | //BasicAuthentication/User |
Armazena diretamente a identidade do usuário em texto simples. |
BasicAuthentication |
Senha fixada no código | //BasicAuthentication/Password |
Armazena diretamente a senha em texto simples. |
GenerateJWT |
Chave simétrica (secreta) | //GenerateJWT/SecretKey/Value |
Chave de assinatura/criptografia simétrica fixada no código. |
GenerateJWT |
Chave privada | //GenerateJWT/PrivateKey/Value |
Chave privada codificada em PEM para assinatura assimétrica. |
GenerateJWT |
Senha de chave privada | //GenerateJWT/PrivateKey/Password |
Senha para descriptografar a chave privada. |
GenerateJWS |
Chave simétrica (secreta) | //GenerateJWS/SecretKey/Value |
Chave de assinatura/criptografia simétrica fixada no código. |
GenerateJWS |
Chave privada | //GenerateJWS/PrivateKey/Value |
Chave privada codificada em PEM para assinatura assimétrica. |
GenerateJWS |
Senha de chave privada | //GenerateJWS/PrivateKey/Password |
Senha para descriptografar a chave privada. |
VerifyJWT |
Chave simétrica (secreta) | //VerifyJWT/SecretKey/Value |
Chave simétrica fixada no código para verificação. |
VerifyJWS |
Chave simétrica (secreta) | //VerifyJWS/SecretKey/Value |
Chave simétrica fixada no código para verificação. |
HMAC |
Chave secreta compartilhada | //HMAC/SecretKey |
Chave secreta fixada no código para cálculo de HMAC. |
KeyValueMapOperations |
Valor fixado no código (Put) | //KeyValueMapOperations/Put/Value |
Segredo fixado no código que está sendo gravado no KVM. |
ServiceCallout |
Nome de usuário de autenticação básica | //ServiceCallout//Authentication/BasicAuth/UserName |
Nome de usuário fixado no código para autenticação de back-end. |
ServiceCallout |
Senha de autenticação básica** | //ServiceCallout//Authentication/BasicAuth/Password |
Senha fixada no código para autenticação de back-end. |
SAMLAssertion |
Valor da chave privada | //SAMLAssertion//PrivateKey/Value |
Chave privada para descriptografia/assinatura. |
SAMLAssertion |
Senha de chave privada | //SAMLAssertion//PrivateKey/Password |
Senha para descriptografar a chave privada. |
Máscaras personalizadas
Para campos que você identifica como PII, mas que não são cobertos pelas máscaras padrão (como a configuração personalizada em políticas), é possível fornecer sua própria lista de expressões XPath (máscaras personalizadas).
As máscaras personalizadas são gerenciadas atualizando uma propriedade de configuração no arquivo uapim-connector.properties no sistema do Edge para nuvem privada.
Como configurar máscaras personalizadas
Para adicionar caminhos de mascaramento personalizados, atualize a propriedade conf_uapim_connector.uapim.mask.xpaths no arquivo de configuração do conector:
- Caminho do arquivo de configuração:
/opt/apigee/customer/application/uapim-connector.properties - Propriedade:
conf_uapim_connector.uapim.mask.xpaths
A propriedade aceita uma lista separada por vírgulas de expressões XPath que segmentam os elementos específicos cujos valores você quer mascarar.
Exemplo de configuração
Para mascarar um valor de variável personalizada e um campo de estatística, defina a propriedade da seguinte maneira:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Expressão XPath | Elemento mascarado | Finalidade |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Valor estatístico (em que name='caller') | Mascarar a identidade do autor da chamada sensível. |
//AssignMessage/AssignVariable[Name='password']/Value |
Valor AssignVariable (em que Name='password') | Mascarar valores de senha fixados no código. |
Políticas mascaradas
O valor dos elementos segmentados será mascarado. Esse conteúdo mascarado é enviado ao hub de APIs.
Exemplo de política 1 (StatisticsCollector – mascarada):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>