Citrix Application Delivery Management-Service

Hinzufügen von Richtlinien zu einer API-Bereitstellung

Sie können verschiedene Sicherheitsrichtlinien für Ihren API-Verkehr konfigurieren. Bei dieser Konfiguration müssen Sie die Auswahlkriterien für den Datenverkehr und die für eine Richtlinie erforderlichen Parameter angeben. Führen Sie die folgenden Schritte aus, um einer API-Definition eine Richtlinie hinzuzufügen:

  1. Navigieren Sie zu Anwendungen > API Gateway > Richtlinie.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie den Namen für eine Richtliniengruppe an.

  4. Wählen Sie eine Bereitstellung aus der Liste aus.

  5. Wählen Sie einen Upstream-Dienst aus der Liste aus, für den Sie Richtlinien konfigurieren möchten.

  6. Klicken Sie auf Hinzufügen, um Datenverkehrsmarkierer und einen Richtlinientyp auszuwählen.

    Traffic-Selektor - Die Kriterien zur Auswahl des Datenverkehrs umfassen API-Ressourcenpfade oder Pfadpräfixe, Methoden und Richtlinien.

    Sie können eine der folgenden Optionen verwenden, um Kriterien für die Verkehrsauswahl festzulegen:

    • API-Ressourcen — Wählen Sie eine API-Ressource und ihre Methoden aus, für die Sie eine Richtlinie anwenden möchten. Sie können API-Ressourcen und -Methoden mit einem Schlüsselwort durchsuchen.

      Verkehrs-Selektor

      In diesem Beispiel werden die API-Ressourcen mit /userder POSTMethode aufgelistet.

    • Benutzerdefinierte Regel — Auf dieser Registerkarte können Sie benutzerdefinierte Pfadpräfixe und mehrere Methoden angeben.

      Die konfigurierte Richtlinie gilt für eine eingehende API-Anforderung, die der benutzerdefinierten Regel für die Auswahl des API-Datenverkehrs entspricht.

      Benutzerdefinierte Richtlinienregel

      In diesem Beispiel gilt die No-Auth-Richtlinie für die API-Ressourcen, die das /pet Präfix und die POST Methode haben.

    Wählen Sie unter Richtlinieeine Richtlinie aus der Liste aus, die Sie auf die ausgewählte API-Ressource und -Methode anwenden möchten. Weitere Informationen zu den einzelnen Richtlinien finden Sie unter Arten von Richtlinien.

  7. Optional können Sie Richtlinientypen verschieben, um eine Priorität festzulegen. Die Richtlinientypen mit höherer Priorität gelten zuerst.

  8. Klicken Sie auf Speichern, um eine Richtlinie hinzuzufügen. Wenn Sie die Richtlinie sofort anwenden möchten, klicken Sie auf Speichern und Anwenden.

Arten von Richtlinien

Wenn Sie eine API-Richtlinie konfigurieren, können Sie die folgenden Richtlinien auswählen, die Sie auf die API-Ressource und -Methode anwenden möchten:

Authentifizierung und Autorisierung

API-Ressourcen werden auf einer Anwendung oder einem API-Server gehostet. Wenn Sie Zugriffsbeschränkungen für solche API-Ressourcen durchsetzen möchten, können Sie die Authentifizierungs- und Autorisierungsrichtlinien verwenden. Diese Richtlinien überprüfen, ob die eingehende API-Anfrage über die erforderliche Berechtigung für den Zugriff auf die Ressource verfügt.

Verwenden Sie die folgenden Richtlinien, um die Authentifizierung und Autorisierung für die ausgewählten API-Ressourcen zu definieren:

‘No-Auth’

Verwenden Sie diese Richtlinie, um die Authentifizierung für den ausgewählten Datenverkehr zu überspringen.

‘Auth-Basic’

Diese Richtlinie legt fest, dass die lokale Authentifizierung mit dem HTTP-Standardauthentifizierungsschema verwendet wird. Um die lokale Authentifizierung zu verwenden, müssen Sie Benutzerkonten auf dem Citrix ADC erstellen.

OAuth

OAuth erfordert, dass ein externer Identitätsanbieter einen Client mit OAuth2 authentifiziert und ein Zugriffstoken ausgibt. Wenn der Client dieses Token als Zugriffs-Berechtigung für ein API-Gateway bereitstellt, wird das Token basierend auf den konfigurierten Werten validiert.

  • JWKS URI - Die URL eines Endpunkts mit JWKs (JSON Web Key) für JWT (JSON Web Token) Verifizierung

  • Aussteller - Die Identität (normalerweise eine URL) des Authentifizierungsservers.

  • Zielgruppe : Die Identität des Dienstes oder der Anwendung, für die das Token anwendbar ist.

  • Ansprüche auf Speichern - Die Zugriffsberechtigungen werden als eine Reihe von Ansprüchen und erwarteten Werten dargestellt. Geben Sie die Anspruchswerte im CSV-Format an.

  • Introspect URI - Eine Introspektions-Endpunkt-URL des Authentifizierungsservers. Diese URL wird verwendet, um undurchsichtige Zugriffstoken zu überprüfen. Weitere Informationen zu diesen Token finden Sie unter OAuth Konfiguration für undurchsichtige Zugriffstoken.

    Nachdem Sie Introspect-URIangegeben haben, geben Sie die Client-ID und den Client Secret für den Zugriff auf den Authentifizierungsserver an.

  • Zulässige Algorithmen - Mit dieser Option können Sie bestimmte Algorithmen in den eingehenden Token einschränken. Standardmäßig sind alle unterstützten Methoden zulässig. Sie können jedoch die erforderlichen Algorithmen für den ausgewählten Datenverkehr überprüfen.

    JWT-Authentifizierung

Bei erfolgreicher Validierung gewährt das API-Gateway dem Client Zugriff.

Wichtig

Wenn Sie eine OAuth oder Auth-Grundlagen Richtlinie für die ausgewählten API-Ressourcen konfigurieren, konfigurieren Sie die Nein Auth Richtlinie für die verbleibenden API-Ressourcen. Diese Konfiguration zeigt explizit an, dass Sie die Authentifizierung für die übrigen Ressourcen überspringen möchten.

Ermächtigung

Diese Richtlinie überprüft die erforderlichen Berechtigungen für den Zugriff auf eine API-Ressource. Die Zugriffsberechtigungen werden als eine Reihe von Ansprüchen und erwarteten Werten dargestellt. Um diese Richtlinie zu konfigurieren, wählen Sie Neuen Anspruch hinzufügen aus und geben Sie Folgendes an:

  • Bezeichnung des Antrags
  • Werte einfordern

Richtlinie zur Autorisierung

Wichtig

API-Gateway erfordert sowohl Authentifizierungs- als auch Autorisierungsrichtlinien für API-Datenverkehr. Daher müssen Sie eine Autorisierungsrichtlinie mit einer Authentifizierungsrichtlinie konfigurieren. Die Authentifizierungsrichtlinie kann OAuth oder [Auth-Basic](#auth-basic) sein.

Selbst wenn Sie keine Berechtigungsprüfungen haben, müssen Sie eine Autorisierungsrichtlinie mit leeren Ansprüchen erstellen. Andernfalls wird die Anfrage mit einem 403-Fehler abgelehnt.

Rate Limit Richtlinie

Geben Sie die maximale Belastung an, die der ausgewählten API-Ressource zugewiesen wird. Mit dieser Richtlinie können Sie die API-Datenverkehrsrate überwachen und vorbeugende Maßnahmen ergreifen. Um diese Richtlinie zu konfigurieren, geben Sie Folgendes an:

  • HTTP-Header-Name - Es ist ein Traffic-Selektorschlüssel, der den Datenverkehr filtert, um die API-Anfragen zu identifizieren. Und die Ratenlimit-Richtlinie gilt und überwacht nur solche API-Anfragen.

  • Schwellenwert - Die maximale Anzahl von Anfragen, die im angegebenen Intervall zulässig sind.

  • Zeitscheibe - Das in Mikrosekunden angegebene Intervall. Während dieses Intervalls werden die Anforderungen anhand der konfigurierten Limits überwacht. Standardmäßig ist er auf 1000 Mikrosekunden (1 Millisekunde) eingestellt.

  • Limit-Typ - Der Modus, in dem Sie die Ratenlimit-Richtlinie anwenden möchten. Sie können den Grenztyp Burst oder Smooth auswählen.

  • Aktion - Definiert eine Aktion, die Sie für den Traffic ausführen möchten, der den Schwellenwert überschreitet. Sie können eine der folgenden Aktionen festlegen:

    • DROP: Lässt die Anforderungen über die konfigurierten Verkehrsgrenzen hinaus.
    • RESET: Setzt die Verbindung für die Anfragen zurück.
    • REDIRECT: Leitet den Datenverkehr auf die konfigurierte redirect_url um.
    • RESPOND: Reagiert mit der Standardantwort (429 Too many requests).

Richtlinie zur Kursbegrenzung

WAF-Richtlinie

Diese Richtlinie verhindert Sicherheitsverletzungen, Datenverlust und mögliche unbefugte Änderungen an Websites, die auf sensible Geschäfts- oder Kundeninformationen zugreifen.

Bevor Sie eine WAF-Richtlinie cofigurieren, erstellen Sie ein WAF-Profil in Citrix ADM verwenden Sie das StyleBook.

Wählen Sie in WAF-Profilnamedas von Ihnen erstellte WAF-Profil aus oder geben Sie es an.

WAF-Richtlinie

BOT-Richtlinie

Diese Richtlinie identifiziert schlechte Bots und schützt Ihre Appliance vor erweiterten Sicherheitsangriffen.

Bevor Sie eine BOT-Richtlinie konfigurieren, erstellen Sie ein BOT-Profil in Citrix ADM mit dem StyleBook.

Geben Sie unter Bot-Profilname das BOT-Profil an, das Sie erstellt haben.

BOT-Richtlinie

Header Rewrite

Diese Richtlinie hilft Ihnen, den Header von API-Anfragen und -Antworten zu ändern. Wenn Sie den Wert im HTTP-Header ersetzen möchten, geben Sie Folgendes an:

  • HTTP-Header-Name: Der abgerufene Name, den Sie im Anforderungsheader ändern möchten.

    Beispiel:Host

  • Header-Wert: Optional ist die Wertzeichenfolge, die Sie im angegebenen Header-Namen ändern möchten.

    Beispiel:sample.com

  • Header neuer Wert: Der neue Wert, der den angegebenen Header-Wert ersetzt.

    Wenn kein Header-Wert angegeben wird, ersetzt es jeden empfangenen Wert durch den angegebenen Wert für den HTTP-Header-Namen.

    Beispiel:example.com

Richtlinie zum Umschreiben von Kopfzeilen

In diesem Beispiel wird die Richtlinie sample.com zum Umschreiben von Kopfzeilen example.com im Host Feld einer API-Anforderung ersetzt.

Hinzufügen von Richtlinien zu einer API-Bereitstellung