Introdução

API Central é uma solução de governança de segurança de APIs, simples, intuitiva e com foco na melhor experiência de uso.

Com o crescimento das estratégias de negócio relacionadas a API e os diversos pontos de uso além do volume de APIs crescentes, com grandes times de desenvolvimento, internos ou externos, o controle das regras de negócio de segurança para cada tipo de uso fica inviável, além da dinâmica de alterações e criações de APIs novas pelos diversos times.

Podemos destacar as seguintes características:

  • Descoberta automática de novas APIs criadas;
  • Comparação de baselines de segurança identificando as divergências com as diretrizes da Organização;
  • Dashboard com estado e qualidade das APIs;
  • Alertas de divergências;
  • Dashboard e notificações de desvios novos pelos diversos times.

Guia de Instalação e Configuração

Prefácio

Este guia mostra como instalar e configurar o API-Central.

Quem deve usar este guia?

Este guia foi escrito para qualquer pessoa que esteja instalando o API-Central para governar as suas APIs.

Este guia aborda os procedimentos de instalação e atualização que , teoricamente, você executa apenas uma vez por versão. Este guia tem como objetivo fornecer pelo menos uma idéia do que acontece nos bastidores quando você executa as etapas.

Você não precisa ser um especialistaemAPI-Central para aprender algo com este guia, embora um background em gerenciamento de acesso e manutenção de software de aplicativo da Web possa ajudar. Você precisa de alguma experiência no gerenciamento de serviços em seus sistemas operacionais e em seus servidores de aplicativos. No entanto, você pode começar com este guia e aprender mais à medida que avança.

API-Central Virtual Appliance (vApp)

O Virtual Appliance (vApp) permite instalar e implantar o API-Central rapidamente com o mínimo esforço.

A imagem do vApp está disponível em um formato Open Virtualization Format (OVF)compatível com as mais modernas plataformas de virtualização.

O vApp apresenta um design flexível e modular para atender aos mais diversos tipos de ambiente, tais como: demonstração, desenvolvimento e produtivo.

Através de um processo simplificado é possível configurar a solução em um único servidor (StandAlone) ou em múltiplos nós.

O vApp inclui os seguintes recursos extras:

  • Interface baseada em Web que permite configuração e administração
  • Segurança embarcada nos Módulos do API-Central

Recomendações

Para o sucesso na implementação do Virtual Appliance, recomendamos que:

  • profissional tenha conhecimentos de Redes (Networking) e Sistema Operacionais Linux
  • Virtual Appliance tenha acesso à Internet para efetuar o download das atualizações

Matriz de Compatibilidade

Plataformas de Virtualização suportadas

O Virtual Appliance é fornecido através de uma imagem no formato OVF certificado para as seguintes plataformas de Virtualização:

  • VMWare ESXi v5.5.x, VMWare ESXi v6.0.0 and VMWare - ESXi v6.5.0
  • VMWare Workstation v8, v9, v10, v11 and v12
  • VMWare Fusion v7.x and v8.x
  • Microsoft Hyper-V

Browsers suportados

O API-Central fornece uma interface Web (Web UI) de configuração e os seguintes browsers são suportados:

  • Mozilla Mozilla Firefox 48 e superior em Windows Desktop

  • Google Chrome - Todas as versões em Windows Desktop

  • Apple Safari 9.1 e versões superiores em sistemas operacionais Mac.

Banco de Dados Externo suportado

O Virtual Appliance suporta o seguinte banco de dados externo:

  • MySQL Server versão 5.7

Requisitos de Sistema

Para o sucesso de todo o processo de instalação os requisitos abaixo deverão ser atendidos:

Requisitos mínimos:

  • 2GB RAM
  • 4 Virtual CPUs
  • 40GB de Espaço em Disco

Requisitos recomendados:

  • 16GB RAM
  • 8 Virtual CPUs
  • 200GB de Espaço em Disco

Arquitetura

Com o objetivo de facilitar o entendimento da solução e dos componentes envolvidos necessários, a figura a seguir ilustra o desenho da arquitetura para um cenário com mais de um servidor do API-Central.

Com base na arquitetura a seguir iremos destacar:

  • Podem existir 1 (um) ou mais servidores do API-Central (limitado apenas pela a infra-estrutura de hardware e banco de dados)
  • Todo o balanceamento externo deve ser efetuado por um Network Load Balancer. Este item não faz parte do produto API-Central
  • Deverá ser disponibilizado um Banco de Dados (Recomendado Cluster para ambientes produtivos) externo, de acordo com o especificado na Matriz de Compatibilidade

Regras de Firewall

Com o objetivo de facilitar o entendimento do fluxo de comunicação, a seguir enumeraremos as regras de Firewall. O API-Central é uma soluçào de anáse de vulnerabilidades em API Gateways, suporta diversos provedores de notificações, por isso as regras a seguir são apenas uma referência, para facilitar o entendimento e requisitos. Essas regras deverão ser adequadas pelo especialista de infra-estrutura e segurança.

# Origem Destino Porta Protocolo Ação Descrição
1 Internet ou Micro Serviços Servidor(es) e VIP API-Central 443 (https) tcp Aceitar
2 Servidor(es) API-Central *.docker.io*.docker.com 443 (https) tcp Aceitar Para utilizar o recurso de atualização do Produto API-Central é necessário que essa regra esteja habilitada
3 Servidor(es) API-Central Servidor(es) e/ou VIP NTP 123 udp Aceitar Serviço de NTP, utilizado para sincronizar o relógio dos servidores
4 Servidor(es) API-Central vapp.sec4you.com.br 443 (https) tcp Aceitar Para utilizar o recurso de atualização do Virtual Appliance é necessário que essa regra esteja habilitada
5 Servidor(es) API-Central Servidor(es) e/ou VIP MySQL Server 3306 tcp Aceitar Acesso ao Banco de Dados MySQL
6 Servidor(es) API-Central Servidor(es) e/ou VIP SMTP 25 tcp Aceitar Acesso para que os servidor(es) do API-Central envie os e-mail através do serviço de SMTP fornecido.
7 Servidor(es) API-Central api.twilio.com 443 (https) tcp Aceitar No caso de utilização do Twillio como provedor de Notificação deverá ser habilitada essa regra.

Instalação do API-Central em um único servidor

Não recomendamos este tipo de configuração para ambientes produtivos.

Procedimento de Instalação

Neste procedimento ilustraremos o processo de configuração do Virtual Appliance em dois servidores de API-Central

Importação do Virtual Appliance

Este procedimento será necessário em todas as novas instalações e se aplica para o cenário com dois servidores (Master e Réplica) delineado neste documento.

Após ter efetuado a importação do Virtual Appliance e iniciado o mesmo, efetue os procedimentos a seguir:

Primeiro Acesso

Durante o primeiro acesso o usuário será vapp e a senha vapp , no entanto, a senha será expirada, sendo obrigatória a troca da mesma no primeiro acesso.

-

  1. Acesse a console do Virtual Appliance com o usuário vapp e a senha vapp e troque a senha no primeiro login
Configurar a parte de Redes

Para configurar a interface de rede efetue:

  1. Na console, edite o arquivo: /etc/network/interfaces
$ vi /etc/network/interfaces

Para configurar como DHCP utilize como referência a configuração abaixo para a interface eth0 :

auto lo

    iface lo inet loopback

auto eth0

    iface eth0 inet dhcp

Para configurar como estático , utilize como referência a configuração abaixo para a interface eth0:

auto lo

    iface lo inet loopback

auto eth0

    iface eth0 inet static
    address 192.168.0.151
    netmask 255.255.255.0
    gateway 192.168.0.1

    # DNS: A seguir um exemplo, utilizando os servidores de DNS do Google de como deverá ficar a configuração:
    dns-nameservers 8.8.8.8 4.4.4.2
    dns-search acme.com
  1. Após efetuar os procedimentos enumerados anteriormente, reinicie o Virtual Appliance
    $ vapp reboot
    

API-Central: Como configurar o Virtual Apppliance?

Para configurar e administrar o Virtual Appliance basta utilizar o utilitário vapp.

Para entender todas as possibilidades de uso do utilitário use: vapp help

vApp Setup

Na console do servidor ou através de acesso remoto utilizando o ssh , efetue os procedimentos enumerados a seguir:

  1. Utilize o comando:

    $ vapp setup
    
  2. Selecione a Opção 1) vApp Admin Password e configure a senha para acesso as APIs do API-Central

  3. Cadastre a Master Key utilizando a opção 2) Master Key, essa chave deverá possuir 16 Bytes.

Sobre a Master Key Todos os processos que envolvem dados sensíveis no >Virtual Appliances são protegidos através de criptografia, para este processo utiliza-se a Master Key.

Pontos Importantes:

a. A Master Key deve ser armazenada de maneira segura, como num Cofre de Senhas Digital

b. Para configurar outros Nós Réplicas do API-Central é necessário colocar a respectiva Master Key

c. Processo de restauração de ambiente não funcionará sem a Master Key

A Master Key é uma das informações mais importantes, requer atenção e a devida salva-guarda, recomendamos colocar em um cofre de senhas digital ou fisíco. Uma vez perdida a Master Key não é possível recuperá-la.

  1. Selecione a opção 3) Database e em seguida selecione a opção 2) Internal MySQL Database
  2. Em Database Password : coloque a senha para acesso ao banco
  3. Selecionar 5) Exit
vApp Start

Após a configuração do Virtual Appliance na console execute:

  1. Para inicializar o API-Central
$ vapp start
  1. Verificar se todos os processos estão rodando corretamente, utilize o comando a seguir:
$ vapp status
  1. Para acompanhar o processo de inicialização pode ser utilizado o vapp status ou vapp logs
  2. Para efetuar os testes acesse via Browser: https://[IP ou Hostname (FQDN)]/apidocs

Neste momento toda a configuração foi finalizada.

Em caso de algum Erro, execute o comando a seguir para analisar os logs.

Visualizando os logs com o utilitário vapp

$ vapp logs

Visualizando o conteúdo do arquivo de logs

$ tail -f /var/log/vapp/app.log

Instalação do API-Central em múltiplos servidores

Ambientes produtivos requerem além de contingência, um volume de carga maior. Para este cenário, o API-Central suporta o modelo instalação em múltiplos servidores.

Requisitos

Para o processo de instalação em múltiplos servidores, os seguintes requisitos deverão ser atendidos:

  • Mínimo de 2 (dois) virtuais appliances do API-Central
  • O Banco de Dados deve ser externo e atender ao requisito de versão descrito na Matriz de Compatibilidade
  • Todos os servidores do API-Central devem estar com a mesma chave (Master Key) devidamente configurada
  • Requer balanceamento de carga através de um servidor ou serviço de NLB ("Network Load Balance"), para a publicação do endereço virtual (Parte não integrante da solução).

Procedimento de Instalação

Neste procedimento ilustraremos o processo de configuração do Virtual Appliance em dois servidores de API-Central

Importação do Virtual Appliance

Este procedimento será necessário em todas as novas instalações e se aplica para o cenário com dois servidores delineado neste documento.

Após ter efetuado a importação do Virtual Appliance e iniciado o mesmo, efetue os procedimentos a seguir:

Primeiro Acesso

Durante o primeiro acesso, o usuário será vapp e a senha vapp. No entanto, a senha será expirada e será obrigatória a troca da mesma no primeiro acesso.

  1. Acesse a console do Virtual Appliance com o usuário vapp e a senha vapp e troque a senha no primeiro login
Configurar a parte de Redes

Para configurar a interface de efetue:

  1. Na console, edite o arquivo: /etc/network/interfaces
$ vi /etc/network/interfaces

Para configurar como DHCP utilize como referência a configuração abaixo para a interface eth0 :

auto lo
    iface lo inet loopback

auto eth0
    iface eth0 inet dhcp

Para configurar como estático , utilize como referência a configuração abaixo para a interface eth0 ::

auto lo
    iface lo inet loopback

auto eth0
    iface eth0 inet static
    address 192.168.0.151
    netmask 255.255.255.0
    gateway 192.168.0.1

    # DNS: A seguir um exemplo, utilizando os servidores de DNS do Google de como deverá ficar a configuração:
    dns-nameservers 8.8.8.8 4.4.4.2
    dns-search acme.com
  1. Após efetuar os procedimentos enumerados anteriormente, reinicie o Virtual Appliance
$ vapp reboot
API-Central: Como configurar o Virtual Appliance?

Para configurar e administrar o Virtual Appliance, basta utilizar o utilitário vapp.

Para entender todas as possibilidades de uso do utilitário use: vapp help

vApp Setup

Na console do servidor ou através de acesso remoto utilizando o ssh , efetue os procedimentos enumerados a seguir:

  1. Utilize o comando:
$ vapp setup
  1. Selecione a Opção 1) vApp Admin Password e configure a senha para acesso as APIs do API-Central
  2. Cadastre a Master Key utilizando a opção 2) Master Key, essa chave deverá possuir 16 Bytes.

Sobre a Master Key Todos os processos que envolvem dados sensíveis no >Virtual Appliances são protegidos através de criptografia, para este processo utiliza-se a Master Key.

Pontos Importantes:

a. A Master Key deve ser armazenada de maneira segura, como num Cofre de Senhas Digital

b. Para configurar outros Nós Réplicas do API-Central é necessário colocar a respectiva Master Key

c. Processo de restauração de ambiente não funcionará sem a Master Key

A Master Key é uma das informações mais importantes, requer atenção e a devida salva-guarda, recomendamos colocar em um cofre de senhas digital ou fisíco. Uma vez perdida a Master Key não é possível recuperá-la.

  1. Selecione a opção 3) Database e em seguida selecione a opção 2) External MySQL Database

Notas a. O Nome do Bando de dados deverá ser: apicentral b. Criar o Banco como: latin1_swedish_ci c. Todas as tabelas são populadas automaticamente pelo API-Central. Para que este este processo o usuário deverá ter as permissões efetuar todas essas operações.

  1. Em Database Hostname : coloque o endereço IP ou Hostname do Banco de Dados MySQL externo.
  2. Em Database Username: coloque o nome de usuário para acesso ao banco
  3. Em Database Name: coloque o nome do banco de dados
  4. Em Database Password : coloque a senha para acesso ao banco
  5. Será apresentado o Configure Server and Client Node Replica
  6. Selecionar 1) Server
  7. Selecionar 5) Exit
vApp Start

Após a configuração do Virtual Appliance, na console execute:

  1. Para inicializar o API-Central
$ vapp start
  1. Verificar se todos os processos estão rodando corretamente, utilize o comando a seguir:
$ vapp status
  1. Para acompanhar o processo de inicialização, podem ser utilizados o vapp status ou vapp logs
  2. Para efetuar os testes acesse via Browser: https://[IP ou Hostname (FQDN)]/apidocs

Neste momento toda a configuração foi finalizada no primeiro servidor.

Em caso de algum Erro, execute o comando a seguir para analisar os logs.

Visualizando os logs com o utilitário vapp

$ vapp logs

Visualizando o conteúdo do arquivo de logs

$ tail -f /var/log/vapp/app.log

API-Central: Como adicionar mais servidores (Virtual Appliances)?

Para adicionar mais servidores do API-Central basta seguir os mesmos procedimentos o item anterior, respeitando os requisitos e a Matriz de Compatibilidade.

Configurações adicionais

Instalação de certificado SSL

O Virtual Appliance já vem com certificado auto-assinado configurado, para ambientes produtivos recomendamos a utilização de um certificado válido. Para atualizar o certificado no Virtual Appliance basta seguir os procedimento abaixo:

  1. Copie os arquivos (.key e .crt) para o Virtual Appliance através do utilitário ssh :
# Exemplo : scp cert.key vapp@[ip ou nome do servidor]:
$ scp cert.key vapp@api-central:
$ scp cert.crt vapp@api-central:
  1. No servidor do Virtual Appliance execute os seguintes comandos:
# Pare o serviço do Virtual Appliance
$ vapp stop

# Copie os arquivos para os respectivos diretórios
$ sudo cp cert.key /opt/sec4you/ssl/
$ sudo cp cert.crt /opt/sec4you/ssl/

# Inicie o Virtual Appliance
$ vapp start

Os nomes dos arquivos de certificados não podem ser alterados, deverão ser:

  • cert.key
  • cert.crt

Acesse https://[fqdn]/apidocs para validar o processo

Configuração do Time Zone

É fundamental que o time zone esteja devidamente configurado, para efetuar este processo, execute os procedimentos abaixo:

  1. Utilize o comando:
$ vapp setup
  1. Selecione a Opção 4) Time Zone e configure por exemplo para São Paulo: America/Sao_Paulo
Enter the time zone: America/Sao_Paulo

Configuração do NTP

O NTP (Network Time Protocol) é o serviço utilizado para sincronizar o relógio dos servidores. Esta é uma configuração requerida e fundamental. Para adicionar o o servidor de NTP ao Virtual Appliance, efetue os procedimento a seguir:

  1. Edite o arquivo: /etc/ntp.conf
$ vi /etc/ntp.conf
  1. Adicione os respectivo servidores de NTP. A seguir um exemplo para ilustrar
server a.ntp.br
server b.ntp.br
server c.ntp.br
  1. Após efetuar os procedimentos enumerados anteriormente, reinicie o Virtual Appliance
$ vapp reboot

Atualização do Produto API-Central

O produto API-Central pode ser atualizado através do utilitário vapp, para isso basta efetuar os seguinte procedimento:

$ vapp update

Atualização do Virtual Appliance API-Central

O Virtual Appliance API-Central pode ser atualizado através do utilitário vapp, para isso basta efetuar os seguinte procedimento:

$ vapp upgrade

Erros conhecidos

Ausência da Chave de Criptografia

Mensagem de Erro:

Missing AES Key for Symmetric Encryption with 16, 24 or 32 bytes long ...

Causa:

Master Key não foi devidamente configurada.

Solução : Efetue os procedimentos a seguir:

a. Pare o Virtual Appliance

$ vapp stop

b. Execute o vapp setup

$ vapp setup

c. selecione a Opção 1) Master Key e adicione a devida Chave d. Selecione 5) Exit e. inicie novamente o Virtual Appliance

$ vapp start

f. acompanhe os logs e/ou verifique o status

vApp Admin ou Senha inválida

Mensagem de Erro:

Missing ADMIN_USERNAME and ADMIN_PASSWORD environment variables, exiting...

Causa:

A senha do vApp Admin não foi devidamente configurada.

Solução:

Efetue os procedimentos a seguir:

a. Pare o Virtual Appliance

$ vapp stop

b. Execute o vapp setup

$ vapp setup

c. selecione a Opção 1) vApp Admin password e cadastre uma nova senha d. Selecione 5) Exit e. inicie novamente o Virtual Appliance

$ vapp start

f. acompanhe os logs e/ou verifique o status

Guia de Administração e Configuração

Prefácio

Este guia mostra como configurar, manter e solucionar problemas do API-Central.

Quem deve usar este guia?

Este guia foi escrito para desenvolvedores e administradores de gerenciamento de APIs, que constroem, implantam e mantêm serviços do API-Central para suas organizações.

Este guia aborda as tarefas que você pode repetir ao longo do ciclo de vida de uma versão do API-Central usada em sua organização.

Este guia começa apresentando as ferramentas e interfaces administrativas do API-Central e mostrando como gerenciar os serviços do API-Central.

Este guia continua mostrando como configurar os principais recursos do API-Central. Em seguida, demonstra como fazer backup, restaurar, monitorar, ajustar e solucionar problemas de serviços API-Central.

Você não precisa ser uma especialista em API-Central para aprender algo com este guia, embora um background em gerenciamento de acesso e manutenção de software de aplicativo da Web possa ajudar. Você precisa de alguma experiência no gerenciamento de serviços em seus sistemas operacionais e em seus servidores de aplicativos. No entanto, você pode começar com este guia e aprender mais à medida que avança.

Interface de Administração e Ferramentas

Este capítulo fornece uma breve introdução ao console do API-Central baseado na Web. Ele também lista e descreve o Portal de APIs e cada ferramenta de administração da interface da linha de comandos (CLI).

API-Central Console Web

Depois de instalar o API-Central, acesse na console Web como administrador do API-Central, admin com a senha que você definiu durante a instalação. Navegue para um URL, como: https://apicentral.example.com/. Nesse caso, as comunicações prosseguem pelo protocolo HTTP/s para um FQDN (apicentral.example.com), por um número de porta padrão do contêiner (443), para um URI de implantação específico (/).

Após entrar no API-Central com o usuário administrador (admin), você visualizará uma interface semelhante a seguir:

API-Central Web Console

Para facilitar o entendimento e uso da interface enumeramos a seguir os principais componentes da Console Web:

  1. O menu principal do lado esquerdo fornece acesso aos principais componentes da solução, as principais atividades de configurações e visualizações são a partir deste menu

  2. A parte central é aonde são exibidas as informações pertinentes ao menu selecionado.

API-Central Web Console

Para que serve cada item do menu?

No menu principal ficam são disponibilizados os principais componentes da solução, entenda qual a principal funcionalidade de cada um deles:

  1. Principal: neste item é possível ter uma visualização rápida de alguns indicadores como Total de APIs, Total de Vulnerabilidades, Total de API Seguras entre outras.
  2. APIs: nesta seção você conseguirá visualizar todas as APIs descobertas, além disso, dados como: nome, versão das respectivas apis, url, quando ela foi atualizada etc.
  3. API Gateways: através desta opção é possível cadastra servidores de API Gateway e obter o inventário de cada API Gateway,
  4. Assertions: o API-Central vem um pacote de assertions pré-definidos com as melhores práticas de segurança, mas é possível adicionar novas assertions também.
  5. Políticas: é possível definir regras de conformidades para serem confrontadas contra um ou mais API Gateways para avaliar vulnerabilidades, como notifica-las e para quem.
  6. Notificações: o API-Central suporta diversos mecanismos de notificações, como: e-mail, sms, slack e serviço genérico usando REST API (tipo de mídia json).
  7. Relatórios: nesta parte é possível visualizar os relatórios de vulnerabilidades gerados.
  8. API Insigths: esta ferramenta permite de maneira visual identificar informações sobre o ambiente de APIs.
  9. Grupos: através desta é possível criar grupos de notificações que serão associados às respectivas políticas.
  10. Usuários : nesta opção é possível criar os usuários tanto para o uso do API-Central quanto para recebimento de notificações.
  11. Devops : neste menu é possível submeter uma api em especifico para análise.
  12. Auditoria & Logs: neste item são fornecidas todas as informações de auditoria e log do sistema.
  13. Configurações: todas as configurações de sistema do API-Central são efetuadas a partir deste menu.
  14. Troubleshoot: este item pode ajudar na identificação de problemas na comunicação entre o API-Central e o respectivo API Gateway.
  15. Documentação: fornece acesso rápido ao link com toda a documentação
  16. Sobre: informações sobre o API-Central

API-Central Web Console

API-Central Portal de APIs

A API-Central é uma solução API First, ou seja, todas as funcionalidades que vocês viram na Console Web, também estão disponíveis através das nossas APIs. Fornecemos um Portal de APIs do API-Central, para acessar basta navegar para um URL, como: https://apicentral.example.com/apidocs/. Nesse caso, as comunicações prosseguem pelo protocolo HTTP/s para um FQDN (apicentral.example.com), por um número de porta padrão do contêiner (443), para um URI de implantação específico (/apidocs/).

Portal de APIs

O que você precisa saber sobre as nossas APIs

A nossa solução utiliza API RESTful com media-type JSON, com o objetivo simplificar e facilitar os processos de integrações.

A seguir algumas das principais características do nossa API, nas quais são essenciais para o nosso negócio:

  • Assíncrona
  • Stateles
  • Interface uniforme
  • Identificações de recursos
  • Mensagens autoexplicativa

Como posso utilizar o Portal de APIs do API-Central

Ao acessar o Portal de APIs, você terá acesso a:

  • Documentações;
  • Como utilizar cada API; e
  • Efetuar testes no uso de APIs.

Portal de APIs

API-Central Console SSH (CLI)

A Console SSH (CLI) permite gerenciar o Virtual Appliance do API-Central. Podemos destacar as principais atividades no processo de gerenciamento do Virtual Appliance:

  • Parar e iniciar os serviços do API-Central;
  • Atualizações entre outros.

Para acessar o Console SSH, basta efetuar o seguinte comando:

$ ssh vapp@apicentral.example.com

API-Central SSH Console

O que posso efetuar através da linha de comando (CLI)?

Todo o gerenciamento do Virtual Appliance é efetua através do utilitário vapp, a seguir as opções e o que pode ser feito com ele.

Para uso do vapp, utilize:

$ vapp [parâmetro] [opções]
Parâmetros Descrições
help Mostra todos os parâmetros possíveis na utilização do utilitário vapp.
version Mostra a versão do utilitário vapp.
Configuração do Virtual Appliance
setup Permite configurar senha do usuário admin, chave de criptografia , banco de dados utilizado entre outros.
destroy Apaga todas as configurações já efetuadas e para instalações que utilizam o banco de dados local, apaga o banco de dados também. Nota: Antes de utilizar essa opção, tenha a salva-guarda (backup) de todas as informações.
import-cert Permite a importação de certificado SSL.
config-source Atualiza o repositório de atualizações do vapp.
advanced-config Permite configurações de parâmetros avançados como número de threads e timeout.
system-date Para ajustar o horário e data do Virtual Appliance.
create-swap Permite a criação de área de swap para o Sistema Operacional.
add-proxy Adicionar a configuração de proxy para o processo de atualizações.
rm-proxy Remover a configuração de proxy para o processo de atualizações.
Gerenciamento do Virtual Appliance
start Iniciar os serviços do API-Central no Virtual Appliance.
stop Parar os serviços do API-Central no Virtual Appliance.
status Verificar como estão os serviços do API-Central no Virtual Appliance.
logs Mostra os logs (stdout) do API-Central no Virtual Appliance.

Nota: Para acesso completo aos logs, acessem em: /var/log/vapp/app/app.log | | reboot | Reinicia o Virtual Appliance. | | halt | Desliga o Virtual Appliance. | | Atualizações do Virtual Applince e vapp | | upgrade | Atualiza o utilitário do vapp | | upgrade | Atualiza o API-Central | | Atualizaçào do Sistema Operacional do Virtual Appliance | | complete-system-upgrade | Atualiza todo o Sistema Opercional | | packages-upgrade | Atualiza somnete os pacotes do Sistema Operacional |

Inicialização Rápida (Quick-Start)

O API-Central é uma solução flexível, possui diversas opções de combinações e configurações. O Quick-Start é um modelo de inicialização rápida para ganhar familiaridade com a ferramenta e conseguir gerar rápido um exemplo de utilização.

Para fazer um teste rápido, basta:

  1. Adicionar um API Gateway ao API-central
  2. Crie um Politica
  3. Execute a descoberta (Discovery) manualmente
  4. Veja o resultado em Relatórios

Com estes 4 itens acima, você já consegue ganhar familiaridade com o API-Central. Ao longo deste documento, você poderá verificar que são inumeras as possbilidades de configurações.

Gerenciar API Gateways

O API-Central obtem todas as informações através do(s) API(s) Gateway(s). Cada produto de API Gateway possuem os seus respectivos requisitos e premissas.

Adicionar um novo API Gateway

Antes de adicionar um API Gateway é muito importante o entendimento deste processo e as premissas.

CA API Gateway

O CA API Gateway é um firewall XML e um gateway de serviço que controla como os serviços web são expostos e acessados ​​por aplicativos clientes externos. O Gateway fornece controle de tempo de execução da autenticação no nível de serviço, autorização, gerenciamento de chaves, credenciamento, integridade, confidencialidade, validação de esquema, inspeção de conteúdo, transformação de dados, proteção contra ameaças (incluindo integração com verificadores de vírus externos para verificação de anexos SOAP), roteamento, troca de protocolo , Imposição de SLA, registro em log e outras funções.

Requisitos: CA API Gateway

Atualmente o API-Central suporta as versões 9.x.x do CA API Gateway. Para preparar o seu CA API Gateway para o API -Central, os seguintes pré-requisitos deverão ser atendidos:

  • Serviço do RESTMAN devidamente configurado e publicado;
  • O API-Central deverá ter acesso ao serviço do RESTMAN, então é fundamental que esteja liberado no Firewall
  • Usuário com permissão de somente leitura (readonly) ao serviço do RESTMAN
  • * Publicar a Assertion do API-Central

* A Assertion do API-Central só é necessária para obter o usuário que criou/modificou determinada API, ela é opcional.

Instalação (Deploy) e configuração do serviço RESTMAN

O serviço do RESTMAN é parta da suíte do CA API Gateway, para habilitá-lo e configura-lo basta seguir os procedimentos a seguir:

  1. Através da console de gerenciamento do CA API Gateway, o Policy Manager, acesse o CA API Gateway com usuário que tenha role administrativa.

    a. Selecione Tasks --> Services and APIs --> Publish Internal Services

    b. Em Publish Internal Service Wizard , em Select service to publish , selecione: Gateway REST Management Service

  2. Clique em Finish

CA API Gateway - Deploy Restman

Criar usuario de serviço somente leitura (read-only) para o API Central

O API-Central usará este usuário como conta de serviço, somente para obter as informações necessárias e efetuar as análises. O API-Central trabalhar com o conceito de privilégios mínimos (least privilege).

  1. Através da console de gerenciamento do CA API Gateway, o Policy Manager, acesse o API Gateway com usuário que tenha role administrativa.
  2. Selecione Tasks --> Users and Authentication --> Create Internal User
  3. No pop-up, digite o nome do usuário, a senha, confirme a senha e selecione o checkbox Define Additional Properties
  4. No pop-up com as propriedades do usuário, selecione a aba Roles , clique em Add e busque na lista a role Operator e clique em OK.

CA API Gateway - Create User ReadOnly

Instalação da assertion do API Central

Este procedimento é Opcional, o API-Central utilizará esta assertion para buscar os dados dos últimos usuários que modificaram as APIs e a respectiva data de alteração

  1. Após entrar com uma conta com privilégios administrativos no CA API Gateway, através do Policy Manager, clique em: Tasks --> Data Sources --> Manage JDBC Connections

  2. Selecione Add e coloque os seguintes parâmetros:

    • Driver Class: com.mysql.jdbc.Driver

    • User Name: nome do usuário do banco de dados que o CA API Gateway utiliza

    • Password: senha do usuário do banco de dados que o CA API Gateway utiliza.

  3. Clique em OK

  4. Selecione o CA API Gateway no menu inferior do Policy Manager

  5. Clique com o botão direito do mouse e selecione Publish Web Api

  6. Clique em Next, em Access Control

  7. Selecione Require user to Authenticate em Authentication Method deixe como HTTP Basic e em Identity Provider coloque Internal Identity Provider

  8. Após efetuar o processo anterior, o serviço estará disponível, então, clique duas vezes nele, arraste o XML da assertion do API-Central para CA API Gateway e clique em Save and Activate

CA API Gateway - Deploy API-Central Assertion

Adicionar um novo CA API Gateway

Para adicionar um novo CA API Gateway basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar CA API Gateways --> Gestão --> Registrar
  2. Selecione CA API Gateway , selecione Próximo
  3. Preencham todas as informações, aonde:

    Nome : É o nome que você dará ao ambiente e/ou API Gateway

    URL : É o endereço do CA API Gateway (Ex. https://ca-api-gateway.example.com:8443)

    Conta de Serviço: Conta (read-only) criada para que o API-Central possa obter as informações do CA API Gateway.

    Senha de Serviço: Conta (somente leitura) criada para que o API-Central possa obter as informações do CA API Gateway.

    Atualizado por : Este item é opcional e requer a instalação de uma Assertion do CA API Central. Com este item é possível obter quem alterou determinada API e quando.

  4. Clique no botão Enviar

API-Central - Register New API Gateway

Editar um API Gateway

Para editar um API Gateway existente, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione CA API Gateways --> Gestão --> Listar
  2. Em Ações clique em Editar
  3. Aparecerá uma tela de confirmação, verifique se os dados estão corretos e clique em Enviar

API-Central - Edit API Gateway

Remover um API Gateway

Para remover um API Gateway, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione CA API Gateways --> Gestão --> Listar

  2. Em Ações clique em Excluir

  3. Aparecerá uma tela de confirmação, verifique se os dados estão corretos e clique em Confirmar

API-Central - Remove API Gateway

Gerenciamento de Usuários

No API-Central os usuários possuem basicamente duas funções:

  • Acesso à solução do API-Central; e
  • Recebimento de notificações sobre as vulnerabilidades.

Adicionar novo usuário

Para adicionar um novo Usuário basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Usuários --> Registrar
  2. Preencha todas as informações, aonde: Nome : É o nome do usuário

E-mail : o endereço de e-mail será utilizado para envio de notificações por e-mail, por isso é muito importante o preenchimento correto.

Telefone : o número telefone será utilizado para envio de notificações por sms, por isso é muito importante o preenchimento correto. O formato utilizado é +DDI(DDD) Número, por exemplo: +5511912344321

Senha: cadastre a respectiva senha do usuário

*Perfil : Selecione o tipo de perfil desejado para o respectivo usuário

  1. Clique no botão Enviar

API-Central - Register New User

  • Sobre Perfil: atualmente o API-Central possui 3 tipos de perfis, os mesmos refletem tanto para a utilização das APIs quando da Console Web.
Nome dos Perfis Descrições
admin Permite a visualização e edição de todas as opções do API-Central, exceto alterar a senha e perfil do usuário admin.
audit Permite apenas visualização de todas as opções do API-Central.
devops Permite apenas a utilização do recurso de Devops.

Editar um usuário

Para editar um usuário existente, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Usuários --> Listar
  2. Em Ações clique em Excluir
  3. Aparecerá uma tela de confirmação, verifique se os dados estão corretos e clique em Enviar

API-Central - Edit User

Remover um usuário

Para remover um usuário existente, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Usuários --> Listar
  2. Em Ações clique em Excluir
  3. Aparecerá uma tela de confirmação, verifique se os dados estão corretos e clique em Confirmar

API-Central - Remove User

Gerenciamento de Grupos

No API-Central os Grupos são utilizados apenas para definir que receberá as notificações.

  • Acesso à solução do API-Central; e
  • Recebimento de notificações sobre as vulnerabilidades.

Adicionar novo Grupo

Para adicionar um Grupo basta efetuar os seguintes procedimentos:

  1. no menu principal selecione Grupos --> Registrar
  2. Preencham todas as informações, aonde: Nome : É o nome do Grupo

Usuários : Selecione o(s) usuário(s) que deverá(rão) fazer parte deste grupo.

  1. Clique em Enviar

API-Central - Register New Group

Editar um Grupo

Para editar um Grupo basta efetuar os seguintes procedimentos:

  1. no menu principal selecione Grupos --> Listar
  2. Na coluna Ações selecione a opção Editar
  3. Edite o campo desejado
  4. Clique em Enviar

API-Central - Edit Group

Remover um Grupo

Para remover um grupo existente, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Grupos --> Listar
  2. Em Ações clique em Excluir
  3. Aparecerá uma tela de confirmação, verifique se os dados estão corretos e clique em Confirmar

API-Central - Remove Group

Gerenciamento de Notificações

Ao encontrar novas vulnerabilidades, o API-Central notifica aos usuários sobre essas novas vulnerabilidades através do mecanismo de notificação configurado. O API-Central o suporta diversos provedores de notificações, podemos destacar:

  • SMTP : serviço para envio de e-mail
  • Slack : Chat de comunicação
  • SMS : Mensagens instantâneas
  • WhatApp : aplicativo de envio de mensagens pelo celular
  • Rest API: provedor genérico para envio de notificações através de um serviço REST API com media-type JSON

Adicionar novo provedor de notificação SMTP

Para adicionar um provedor de notificação do tipo SMTP basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Notificações --> Registrar
  2. Selecione SMTP e Clique em Próximo
  3. Preencha todas as informações, aonde: Nome : É o nome do serviço de notificação que será cadastrado

URL Base do API Central: Essa URL será utilizada no corpo dos relatórios, ex. https://apicentral.examplo.com/reports/. Em casos aonde o API-Central está atrás de um servidor Proxy, Load Balance ou possuí um cadastro de DNS especifico, é fundamental a configuração deste recurso.

Timeout (segundos): Define o tempo máximo que o API-Central aguardará a finalização da conexão com este provedor de serviço.

Servidor: Endereço do servidor de SMTP. Pode ser o nome (FQDN) ou o endereço IP.

Porta: Porta do servidor de SMTP.

De: Define o endereço de origem (from) no envio de e-mail.

Hostname Local : Alguns serviços de SMTP requerem informar o hostname do servidor SMTP.

Conta : Define a conta do serviço SMTP do respectivo provedor.

Senha : Define a senha do serviço SMTP do respectivo provedor.

Habilitar TLS: Alguns provedores de SMTP requer o uso do protocolo TLS.

  1. Clique em Próximo , valide se todas as informações estão corretas e clique em Finalizar

API-Central - Register New SMTP Notification Provider

Adicionar novo provedor de notificação Slack

Para adicionar um provedor de notificação do tipo Slack basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Notificações --> Registrar
  2. Selecione Slack e Clique em Próximo
  3. Preencha todas as informações, aonde: Nome : É o nome do serviço de notificação que será cadastrado

URL Base do API Central: Essa URL será utilizada no corpo dos relatórios, ex. https://apicentral.examplo.com/reports/. Em casos aonde o API-Central está atrás de um servidor Proxy, Load Balance ou possuí um cadastro de DNS especifico, é fundamental a configuração deste recurso.

Timeout (segundos): Define o tempo máximo que o API-Central aguardará a finalização da conexão com este provedor de serviço.

Canal: Canal do slack que receberá as notificações (ex. #api-central). O canal já deverá existir.

Token de Autenticação: É o token utilizado para se autenticar no serviço do slack. Para gerar um Token de Autenticação, utilize o seguinte procedimento: https://api.slack.com/legacy/custom-integrations/legacy-tokens

  1. Clique em Próximo , valide se todas as informações estão corretas e clique em Finalizar

API-Central - Register New Slack Notification Provider

Adicionar novo provedor de notificação SMS

Para adicionar um provedor de notificação do tipo SMS (como provedor de SMS utilizamos o Twillio) basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Notificações --> Registrar
  2. Selecione SMS e Clique em Próximo
  3. Preencha todas as informações, aonde: Nome : É o nome do serviço de notificação que será cadastrado

URL Base do API Central: Essa URL será utilizada no corpo dos relatórios, ex. https://apicentral.examplo.com/reports/. Em casos aonde o API-Central está atrás de um servidor Proxy, Load Balance ou possuí um cadastro de DNS especifico, é fundamental a configuração deste recurso.

Timeout (segundos): Define o tempo máximo que o API-Central aguardará a finalização da conexão com este provedor de serviço.

Conta: Informe a sua conta do Twillio.

Token de Autenticação: É o token utilizado para se autenticar no serviço do Twillio. Para gerar um Token de Autenticação, utilize o seguinte procedimento: https://www.twilio.com/docs/iam/access-tokens

Número de Origem: É o número utilizado no Twillio para envio das mensagens. Para obter o número de origem utilize o seguinte procedimento: https://support.twilio.com/hc/en-us/articles/223135247-How-to-Search-for-and-Buy-a-Twilio-Phone-Number-from-Console

  1. Clique em Próximo , valide se todas as informações estão corretas e clique em Finalizar

API-Central - Register New SMS Notification Provider

Adicionar novo provedor de notificação WhatsApp

Para adicionar um provedor de notificação do tipo WhatsApp (como provedor de Whatsapp utilizamos o Twillio) basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Notificações --> Registrar
  2. Selecione Whatsapp e Clique em Próximo
  3. Preencha todas as informações, aonde: Nome : É o nome do serviço de notificação que será cadastrado

URL Base do API Central: Essa URL será utilizada no corpo dos relatórios, ex. https://apicentral.examplo.com/reports/. Em casos aonde o API-Central está atrás de um servidor Proxy, Load Balance ou possuí um cadastro de DNS especifico, é fundamental a configuração deste recurso.

Timeout (segundos): Define o tempo máximo que o API-Central aguardará a finalização da conexão com este provedor de serviço.

Conta: Informe a sua conta do Twillio.

Token de Autenticação: É o token utilizado para se autenticar no serviço do Twillio. Para gerar um Token de Autenticação, utilize o seguinte procedimento: https://www.twilio.com/docs/iam/access-tokens

Número de Origem: É o número utilizado no Twillio para envio das mensagens. Para obter o número de origem utilize o seguinte procedimento: https://support.twilio.com/hc/en-us/articles/223135247-How-to-Search-for-and-Buy-a-Twilio-Phone-Number-from-Console

  1. Clique em Próximo , valide se todas as informações estão corretas e clique em Finalizar

API-Central - Register New Whatapp Notification Provider

Adicionar novo provedor de notificação REST API

Para adicionar um provedor de notificação do tipo REST basta efetuar os seguintes procedimentos:

  1. no menu principal selecionar Notificações --> Registrar
  2. Selecione API REST e Clique em Próximo
  3. Preencha todas as informações, aonde: Nome : É o nome do serviço de notificação que será cadastrado

URL Base do API Central: Essa URL será utilizada no corpo dos relatórios, ex. https://apicentral.examplo.com/reports/. Em casos aonde o API-Central está atrás de um servidor Proxy, Load Balance ou possuí um cadastro de DNS especifico, é fundamental a configuração deste recurso.

Timeout (segundos): Define o tempo máximo que o API-Central aguardará a finalização da conexão com este provedor de serviço.

URL: Informe a sua conta do Twillio.

Método HTTP: Define o método HTTP, que pode ser GET, POST ou PUT.

Cabeçalho da Requisição (Formato JSON): Aqui são definidos os cabeçalhos HTTP de requisição. Deverá ser utilizado o formato JSON. A seguir alguns exemplos:

Exemplo com 1 Cabeçalho somente:

{"Content-Type":"application/json"}

Exemplo com 2 Cabeçalhos:

{"Content-Type":"application/json","Sample":"Data"}

Corpo da Requisição (formato JSON): É um JSON com chave e valor do payload do corpo da requisição (Body). Exemplo:

{"mensagem":"${mensage}"}

Parâmetro da Requisição (formato JSON): É um JSON com chave e valor com as parâmetros. Exemplo:

{"tipo":"API REST","produto":"api-central"}.

Mensagem do Corpo: Com o objetivo de determinar o sucesso da requisição, este item valida se na resposta (Response) da requisição (Request) se a mensagem (String) existe no corpo da mensagem (Body).

Código do Status: Com o objetivo de determinar o sucesso da requisição, este item valida se na resposta (Response) da requisição (Request) se a o código de status (HTTP Status Code) é igual ao definido,

  1. Clique em Próximo , valide se todas as informações estão corretas e clique em Finalizar

API-Central - Register New API Rest Notification Provider

Gerenciamento de Políticas

No API-Central as políticas são responsáveis pelas definições das regras e componentes envolvidos no processo de descoberta. Após a criação de uma Política, será criado e configurado um processo de descoberta (Discovery) das APIs e suas configurações.

Este processo ocorrerá sempre de acordo com o período definido e/ou executado manualmente.

Então podemos dizer que as principais funções de uma Política são definir:

  • Qual o período que de Descoberta (Discovery) e Análise (Scan)
  • Quais os caminhos (paths) deverão ser descobertos (Discovery)
  • Qual(is) API Gateway(s) farão parte desta política
  • Que tipo de Assertions deverão ser avaliadas (baseline)
  • Quem deverá ser notificado, receberá os relatórios com novas vulnerabilidades
  • Qual(is) será(ão) o(s) Provedor(es) de Notificação(ões)

FAQ: Processo de Descoberta (Discovery) e Análise (SCAN)

\1. O Processo de Descoberta gera toda vez um novo relatório?

R. Não, ele gerará um novo relatório apenas se uma das condições abaixo for verdadeira:

a. For encontrada uma nova vulnerabilidade

b. For resolvida alguma vulnerabilidade

c. Alguma API for modificada

d. Se houver mudança na Política e for detectada alguma das condições anteriores

\2. Quando tenho configurado mais de um Provedor de Notificação, o que acontece?

R. O relatório será enviado através de todos os canais configurado na política.

\3. Posso ter mais de um API Gateway numa política?

R. Sim.

\4. Quando tenho mais de uma API Gateway definido numa mesma política, como são gerados os relatórios?

R. É gerado um relatório por API Gateway.

\5. Tenho dois API Gateways associado à uma mesma política, em uma nova análise não foi encontrado nada de novo no Gateway A, porém foi encontrada novas vulnerabilidades no Gateway B. Como serão enviados os relatórios?

R. Não será gerado nenhum novo relatório para o Gateway A, somente será gerado para o Gateway B.

\6. Atualmente tenho 10x (dez) CA API Gateway, eles fazem parte do mesmo cluster, preciso cadastrar cada um individualmente?

R. Não, se ele faz parte de mesmo Cluster o API-Central é inteligente e consegue descobrir automaticamente e obter todas as informações dos 10 (dez) CA API Gateways.

\6. Qual o padrão aceito para restrição de caminho?

R. Caracteres utilizados em expressão regular como ^, $, \d e wildcard (*)

\7. Posso restringir mais de um caminho (path) em uma política?

R. Sim, utilize o operador pipe ("|") para separar os caminhos, por exemplo, "/path_1/|/path_2/"

Adicionar uma nova Política

Para adicionar uma nova Política, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Políticas --> Registrar
  2. Preencha todas as informações, aonde: Nome : É o nome da Política que será cadastrada

Caminho Restrito : Define uma restrição para quais caminhos deverão ser descobertos.

Intervalo (segundos): É o intervalo em segundos de execução entre um processo de análise e outro. O valor mínimo é 300 segundos (5 minutos).

Grupos: O(s) grupo(s) definem quais usuários receberão as notificações (relatórios).

Assertions: Define quais Assertions que deverão estar presentes durante o processo de análise.

Gateways: Define qual(is) API Gateway(s) farão parte da política

Provedores de Notificação: Define qual(is) Provedor(s) de Notificações farão parte da política.

  1. Clique em ENVIAR para finalizar a criação da nova Política.

API-Central - Register New Policy

Editar uma Política

Para editar uma Política, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Políticas --> Listar
  2. Na coluna em Ações, clique em Detalhes e clique no botão Editar.
  3. Edite as informações necessárias e clique em Enviar.

API-Central - Edit Policy

Remover uma Política

Para remover uma Política, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Políticas --> Listar
  2. Na coluna em Ações, clique em Detalhes e clique no botão Excluir.
  3. Aparecerá uma tela para confirmar a exclusão, clique em Confirmar.

API-Central - Remove Policy

Executar o processo de Descoberta/Análise manualmente

Para executar o processo de Descoberta (Discovery) e/ou Análise manualmente, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Políticas --> Listar
  2. Na coluna em Ações, clique em Detalhes e clique no botão Executar Agora.

API-Central - Run Manual Discovery

Relatórios

No API-Central os relatórios são resultados de cada análise efetuada, uma visão geral de quão bem ou quão mal as suas APIs estão durante a verificação, destacando o nível de risco geral para a organização com base na gravidade das vulnerabilidades descobertas (crítica, alta, média ou baixa).

Cada relatório é uma foto (snapshot) do seu ambiente naquele momento. Um novo relatório somente é gerado se uma das condições abaixo for verdadeira em relação ao relatório anterior:

  1. For encontrada uma nova vulnerabilidade
  2. For resolvida alguma vulnerabilidade
  3. Alguma API for modificada
  4. Se houver mudança na Política e for detectada alguma das condições anteriores

Para um entendimento correto do relatório a seguir o significado de cada coluna:

Nome da Coluna Descrição
Criado em Data de criação do relatório.
Gateway Qual o Gateway que referenciado no relatório .
Política Nome da Política que gerou o relatório.
Total de APIs Número total de APIs.
APIs Vulneráveis Número total de APIs vulneráveis.
Número de Vulnerabilidades Total de vulnerabilidades encontradas.
Novas Vulnerabilidades Quantidade de novas vulnerabilidades em relação ao relatório anterior.
Vulnerabilidades Resolvidas Quantidade de vulnerabilidades resolvidas em relação ao relatório anterior.
Novas APIs Descobertas Quantidade de APIs descobertas em relação ao relatório anterior.
APIs Atualizadas Quantidade de APIs atualizadas em relação ao relatório anterior.
APIs Retrocedidas Quantidade de APIs retrocedidas (downgraded) em relação ao relatório anterior.

Listar Relatórios

Para listar Relatórios, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Relatórios --> Listar

API-Central - List Reports

Nota: No relatório é possível fazer a navegação (drill-down), para descobrir e listar as Novas API Descobertas, APIs Atualizadas e APIs Retrocedidas.

Gerenciamento de Assertions

No API-Central as Assertions são mecanismos de proteção responsáveis pelas definições e avaliações das regras e componentes envolvidos em uma ou mais API. O API-Central já fornece um pacote de Assertions para montar um baseline, porém podem ser cadastrados novas Assertions.

Adicionar uma nova Assertion

Para adicionar uma nova Assertion, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Assertions --> Registrar

Preencha todas as informações, aonde: Nome : É o nome da Assertion que será cadastrada

Nível: Pode ser selecionado Baixa, Média, Alta e Crítica.

Regra: Pode ser cadastrado uma palavra (String) ou algum identificador.

Detalhes: Este campo pode ser usado para fornecer informações sobre a Assertion

URL: Pode adicionar uma URL com informações adicionais

API-Central - Register New Assertion

Editar uma Assertion

Para editar uma Assertion, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Assertions --> Listar
  2. Na coluna em Ações, clique em Detalhes e clique no botão Editar.
  3. Edite as informações necessárias e clique em Enviar.

API-Central - Edit Assertion

Remover uma Assertion

Para remover uma Assertion, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Assertions --> Listar
  2. Na coluna em Ações, clique em Excluir.
  3. Aparecerá uma tela para confirmar a exclusão, clique em Confirmar.

API-Central - Register Remove Assertion

API Insights

No API-Central , o API Insights fornecem informações que ajudam no dia-dia do especialista, , uma visão geral de quão bem ou quão mal as suas APIs estão, de maneira visual e simplificada.

Como usar o Explorador de APIs?

Para usar o Explorador de APIs, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione API Insights --> Explorador de APIs
  2. Selecione o API Gateway e a(s) API(s) e clique no botão Enviar.

API-Central - API Explorer

APIs

Através deste recurso é possível visualizar todas as APIs descobertas pelo API-Central e visualizar as informações relevantes, tais como:

Nome da coluna Descrição
Última atualização em E a data que essa API foi modificada no API Gateway.
Nome Nome da API.
Gateway Gateway aonde está publicada essa API.
Atualizado por Qual o ID do usuário que fez a modificação.
Versão Versão enumerada pelo API Gateway
URL Endereço da API.
Vulnerabilidades Lista todas as vulnerabilidades da respectiva API.

Como listar todas as APIs?

Listar todas as APIs, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione APIs --> Listar

API-Central - List APIs

DEVOPS

O API-Central , fornece através do recurso de DEVOPS a possibilidade de adicionar todo o processo de análise de vulnerabilidades sobre demanda, de maneira automatizada na sua esteira de Ci/CD (Continous Integration e Continous Delivery).

Como submeter uma análise?

Para submeter uma análise ao API-Central/DEVOPS, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione DEVOPS --> Upload
  2. Selecione um arquivo com a API a ser analisada
  3. Selecione a Política e clique em ENVIAR e será gerado o relatório com as vulnerabilidades daquela API

API-Central - Devops Web Upload

Como posso intgrar o API-Central com a minha ferramenta de CI/CD?

O API-Central é uma solução API First, pode ser adicionada de forma simples em sua esteira de CI/CD, em ferramentas como Jenkins, CircleCI, Travis-CI, Bamboo entre outras. Para usar a nossa API, basta efetuar os procedimentos a seguir:

Para o processo de integração, basta usar nossas APIs, mais detalhes em /apidocs

Configurações

Todas as configurações de sistema do API-Central são efetuadas nessa seção, tais como: nível de log e Política de Senhas.

Como alterar o nível de log?

O nível de log define o grau de detalhes das informações geradas, antes de alterar, entenda o significado de cada nível com a tabela abaixo:

Nível de Log Descrições e Recomendações
Info Apresenta informações simplificadas sobre a operação do sistema. Esse nível é normalmente habilitado para obter maiores informações sobre a situação do sistema e sua operação.
Warn Esse deve ser o nível padrão de utilização, pois irá gerar uma quantidade de informações suficientes para observar situações importantes da aplicação. Lembrando que mensagens de nível inferior, como Error nesse caso, continuaram a serem geradas.
Error Esse nível apresenta informações relevantes sobre problemas e falhas que podem ocorrer no sistema, como por exemplo, falha na comunicação com algum endpoint. Recomendamos que esse nível de log seja monitorado para que em situações de falha o time de sustentação possa ser notificado o mais breve possível.
Debug Apresenta informações referentes aos detalhes do sistema, normalmente esse nível é utilizado em processos de análise de problemas e deve ter sua utilização restrita somente ao suporte e ao desenvolvimento. Não recomendamos a utilização desse nível para ambientes produtivos, a não ser para as situações detalhadas anteriormente, pois esse nível pode acarretar um alto volume de dados gerados e pode inclusive gerar riscos de performance para a aplicação.

Para alterar o nível de log, basta efetuar os seguintes procedimentos:

  1. No menu principal selecionar Configurações --> Logging
  2. Selecione o nível de log desejado e clique em ENVIAR

API-Central - Change Log Level

Nota: Não é necessário reiniciar os serviços, o nível de log é alterado em tempo de execução (RUNTIME).

Como alterar a Política de Senhas?

O Política de Senha define o grau de complexidade no cadastro de uma nova senha , antes de alterar, entenda o significado de item da tabela abaixo:

Item Tipo de Valor Descrição
Tamanho da Senha Número Define o tamanho mínimo de uma senha. Não é aceito valor inferior a 5.
Caracteres Minúsculos Número Define a quantidade mínima de caracteres minúsculos.
Caracteres Maiúsculos Número Define a quantidade mínima de caracteres maiúsculos.
Dígitos Número Define a quantidade mínima de números.
Caracteres Especiais Número Define a quantidade mínima de caracteres especiais.

Para alterar a Política de Senhas, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Configurações --> Políticas de Senhas
  2. Altere o item desejado e clique em ENVIAR

API-Central - Change Passwod Policy

Auditoria & Logs

Todos os eventos considerados importantes são registrados no API-Central, separados em Logs de Sistema e Logs de Auditoria.

Como visualizar os Logs de Sistema?

Para visualizar os Logs de Sistema, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Auditoria & Logs --> Logs

API-Central - View Logs

Como visualizar os Logs de Auditoria?

Para visualizar os Logs de Sistema, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione Auditoria & Logs --> Audit

API-Central - View Audit

Inventário dos API Gateways

Durante o processo de Descoberta (Discovery) e a Análise (Scan) o API-Central traz informações relevantes sobre o ambiente do API Gateway que são muito importante no dia-dia do administrador do API Gateways. Podemos destacas as seguintes informações no Inventário de API Gateways:

  • Nome do Ambiente
  • Nome da Instância
  • Versão
  • Endereço
  • Sistema Operacional
  • Da e Hora do último Discovery
  • Uptime
  • Detalhes sobre a JVM entre outras informações adicionais

Como visualizar Inventário dos API Gateways?

Para visualizar Inventário dos API Gateways, basta efetuar os seguintes procedimentos:

  1. No menu principal selecione API Gateways --> Inventário

API-Central - Gateways Inventory

results matching ""

    No results matching ""