风险评估

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

Advanced API Security 的风险评估会评估 API 的安全威胁风险。 为此,Advanced API Security 会根据 API 流量以及 API 代理和目标的配置来计算安全分数。如果分数较低,则表示存在更高的安全风险,Advanced API Security 会为您提供提高分数的方法建议。

风险评估有三个主要目标:

  • 机密性:保持数据的私密性。
  • 完整性:防止外部人员未经授权访问您的 API。
  • 可用性:确保您的 API 全天候可用。

您可以通过 Apigee 界面(如本页面所述)或通过安全分数和配置文件 API 来访问风险评估。

如需了解执行风险评估任务所需的角色,请参阅风险评估所需的角色

如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件

以下部分介绍了风险评估:

安全分数

安全分数用于评估 API 的安全性以及一段时间内的稳定性。 例如,分数波动很大可能表示 API 行为经常变化,这可能不是您希望的行为。可能导致分数下降的环境变化包括:

  • 在没有必要的安全政策的情况下部署许多 API 代理。
  • 来自恶意来源的滥用行为流量激增。

观察安全分数随时间变化的情况,这些情况可以很好地反映环境中任何不需要的活动或可疑活动。

安全分数是根据您的安全配置文件计算得出的,安全配置文件指定您希望评估的安全类别。您可以使用 Apigee 的默认安全配置文件,也可以创建仅包含对您最重要的安全类别的自定义安全配置文件。

安全分数评估类型

有三种评估类型会影响 Advanced API Security 计算的总体安全分数:

  • 来源评估:评估使用 Advanced API Security 检测规则检测到的滥用行为流量。“滥用行为”是指向 API 发送请求以实现 API 的预期用途以外的用途。

  • 代理评估:评估代理在以下方面实施各种安全政策的情况:

    如需了解详情,请参阅政策如何影响代理安全得分

  • 目标评估:检查是否已使用环境中的目标服务器配置双向传输层安全协议 (mTLS)。

每种评估类型都会获得自己的分数。总分是各个评估类型的分数平均值。

政策如何影响代理安全得分

对于代理评估,安全得分基于您使用的政策。这些政策的评估方式取决于它们是否以及如何附加到流:

  • 只有附加到流(前流、条件流、代理中的后流或共享流)的政策会影响得分。未附加到任何流的政策不会影响得分。
  • 代理得分会考虑代理通过流钩子和代理中的 FlowCallout 政策调用的共享流,前提是 FlowCallout 政策已附加到流。但是,如果 FlowCallout 未附加到流,则其关联共享流中的政策不会影响安全得分。
  • 对于附加到条件流的政策,安全得分仅考虑政策是否存在,而不考虑在运行时是否或如何强制执行政策。

安全配置文件

安全配置文件是您希望对 API 进行评分所根据的一组安全类别(下面有述)。 配置文件可以包含任何安全类别的子集。 如需查看环境的安全分数,您需要先将安全配置文件附加到环境。您可以使用 Apigee 的默认安全配置文件,也可以创建仅包含您重要的安全类别的自定义安全

默认安全配置文件

Advanced API Security 提供了包含所有安全类别的默认安全配置文件。如果您使用默认配置文件,则安全得分将基于所有类别。

自定义安全配置文件

借助自定义安全配置文件,您可以仅根据希望包含在分数中的安全类别来确定安全分数。请参阅创建和修改安全配置文件,了解如何创建自定义配置文件。

安全类别

安全得分基于下文所述的安全类别的评估。

类别 说明 建议
滥用行为 检查滥用行为,其中包括将请求发送到 API 以实现其预期用途以外的用途,例如大量请求、数据抓取和与授权相关的滥用行为。 请参阅滥用行为建议
授权 检查您是否已部署授权政策。 将以下政策之一添加到您的代理:
CORS 检查您是否已部署 CORS 政策。 向您的代理添加 CORS 政策。
mTLS 检查您是否已为目标服务器配置 mTLS(双向传输层安全协议)。 请参阅目标服务器 mTLS 配置
中介 检查您是否已部署中介政策。 将以下政策之一添加到您的代理:
威胁 检查您是否已部署威胁防范政策。 将以下政策之一添加到您的代理:

安全得分限制

安全得分具有以下限制:

  • 您最多可以为每个组织创建 100 个自定义配置文件。
  • 仅当环境具有代理、目标服务器或流量并且启用了 Advanced API Security 插件时,系统才会生成安全分数。否则,系统会显示“无法评估”。

数据延迟

Advanced API Security 得分所基于的数据因数据处理方式而存在以下延迟:

  • 在组织中启用 Advanced API Security 后,现有代理和目标的得分最多可能需要 6 小时才能在环境中体现。
  • 与环境中的代理(部署和取消部署)和目标(创建、更新、删除)相关的新事件最多可能需要 6 小时才能在环境的得分中体现。
  • 数据进入 Apigee Analytics 流水线的平均延迟时间为 15 到 20 分钟。因此,来源得分滥用行为数据大约有 15 到 20 分钟的处理延迟。

打开风险评估页面

风险评估页面显示可衡量 API 在每个环境中的安全性的得分。

Cloud 控制台中的 Apigee

如需打开风险评估页面,请执行以下操作:

  1. 打开 Cloud 控制台中的 Apigee 界面
  2. 选择 Advanced API Security > 风险评估

此时将显示风险评估页面:

风险评估主页。

该页面有两个标签页,在以下各部分中进行了介绍:

查看安全分数

如需查看安全分数,请点击安全分数标签。

请注意,在附加安全配置文件之前,系统不会计算环境的分数,如将安全配置文件附加到环境中所述。Apigee 提供默认安全政策,或者您可以创建自定义配置文件,如创建和修改安全配置文件中所述。

安全分数表显示以下列:

  • 环境:计算得分的环境。
  • 风险级别:环境的风险级别,可以是低、中等或严重。
  • 安全分数:环境的总得分,共 1200 分。
  • 建议总数:提供的建议数量。
  • 配置文件:附加的安全配置文件的名称。
  • 上次更新日期:安全分数的最新更新日期。
  • 操作:点击环境所在行中的三点状菜单,以执行以下操作:
    • 附加配置文件:将安全配置文件附加到环境。
    • 分离配置文件:从环境中分离安全配置文件。

将安全配置文件附加到环境

如需查看环境的安全得分,您必须先按以下方式将安全配置文件附加到环境:

  1. 操作下,点击环境所在行中的三点状菜单。
  2. 点击附加配置文件
  3. 附加配置文件对话框中:
    1. 点击配置文件字段,然后选择要附加的配置文件。如果您尚未创建自定义安全配置文件,则唯一可用的配置文件是默认配置文件。
    2. 点击分配

当您将安全配置文件应用到环境后,Advanced API Security 会立即开始评估和评分。请注意,显示得分可能需要几分钟的时间。

总分根据三种评估类型的各项得分计算得出:

  • 来源评估
  • 代理评估
  • 目标评估

请注意,所有分数都在 200 - 1200 范围内。分数越高,安全评估结果越好。

查看分数

将安全配置文件附加到环境后,您便可以在该环境中查看分数和建议。为此,请在安全分数主页面中点击该环境对应的行。这会显示环境的分数,如下所示:

环境中的安全分数。

该视图会显示四个标签页:

概览

概览标签页显示以下内容:

  • 每项评估的重要信息:
    • 代理:显示环境中代理的最佳建议。点击修改代理,打开 Apigee 代理编辑器,您可在其中实施建议。
    • 目标:显示环境中目标的最佳建议。点击查看目标服务器,打开 Apigee 界面中管理 > 环境页面上的目标服务器标签页。
    • 来源:显示检测到的滥用行为流量。点击检测到的流量,在“滥用行为检测”页面中查看检测到的流量标签页。
  • 来源评估代理评估目标评估的摘要,包括:
    • 每种评估类型的最新得分。
    • 来源评估窗格会显示检测到的滥用行为流量和 IP 地址计数。
    • 代理评估目标评估窗格显示这些评估的风险级别。
  • 点击任意摘要窗格中的查看评估详情可查看该评估类型的详细信息:
  • 评估历史记录:以图表形式显示环境在最近一段时间内(可选择 3 天或 7 天)的每日总得分。默认情况下,图表会显示 3 天。该图表还显示了同一时间段内的平均总得分。

请注意,只有需要评估的类型才会计算评估类型分数。例如,如果没有目标服务器,则不会报告目标的分数。

来源评估

点击来源评估标签页,查看环境的评估详细信息。

来源评估窗格。

点击评估详情右侧的展开图标,查看最近一段时间(可选择 3 天或 7 天)的来源评估图表。

来源窗格会显示一个包含以下信息的表:

  • 类别:评估的类别
  • 风险级别:类别的风险级别。
  • 安全分数:滥用行为类别的安全分数。
  • 建议数:类别的建议数量。

来源详情

来源详情窗格会显示环境中检测到的滥用行为流量的详细信息,包括:

  • 流量详情
    • 检测到的流量:来自被检测为滥用行为来源的 IP 地址的 API 调用次数。
    • 总流量:API 调用的总次数。
    • 检测到的 IP 地址数量:被检测为滥用行为来源的不同 IP 地址的数量。
    • 观察开始时间 (UTC):流量监控时间段的开始时间,采用世界协调时间 (UTC)。
    • 观察结束时间 (UTC):流量监控时间段的结束时间,采用世界协调时间 (UTC)。
  • 评估日期:评估的日期。
  • 提高分数的建议。如需查看有关处理滥用行为的流量的更多建议,请参阅滥用行为建议

如需创建安全操作来处理来源评估引发的问题,请点击 Create Security Action 按钮。

代理评估

API 代理评估会计算环境中所有代理的得分。如需查看代理评估,请点击代理评估标签页:

代理评估窗格。

代理窗格会显示一个包含以下信息的表:

  • 代理:正在评估的代理。
  • 风险级别:代理的风险级别。
  • 安全分数:代理的安全分数。
  • 需要注意:可提高代理得分的待处理评估类别。
  • 建议数:代理的建议数量。

点击表中的代理名称,以打开代理编辑器,您可以在其中根据建议更改代理。

代理建议

如果某个代理的得分较低,您可以在建议窗格中查看该代理的得分提高建议。如需查看代理的建议,请在代理窗格中点击代理对应的需要注意列。

此时会显示建议窗格:

  • 评估日期:评估的日期。
  • 提高分数的建议。

目标评估

目标评估会计算环境中每个目标服务器的双向传输层安全协议 (mTLS) 得分。目标分数的分配方式如下:

  • 不存在 TLS:200
  • 存在单向 TLS:900
  • 存在双向或 mTLS:1200

如需查看目标评估,请点击目标评估标签页:

目标评估窗格。

目标窗格会显示以下信息:

  • 目标:目标的名称。
  • 风险级别:目标的风险级别。
  • 安全分数:目标的安全分数。
  • 需要注意:可提高目标分数的待处理评估类别。
  • 建议数:目标的建议数量。

点击表中的目标名称,打开 Apigee 界面中管理 > 环境页面的目标服务器标签页,您可以在其中可将建议的操作应用于目标。

目标建议

如果某个目标服务器的分数较低,您可以在建议窗格中查看该目标的分数提高建议。如需查看目标的建议,请在目标窗格中点击目标对应的需要注意列。

此时会显示建议窗格:

  • 评估日期:评估的日期。
  • 提高分数的建议。

创建和修改安全配置文件

如需创建或修改 安全配置文件,请选择安全配置文件标签页。

“安全配置文件”标签页。

安全配置文件标签页会显示安全配置文件列表,其中包含以下信息:

  • 名称:配置文件的名称。
  • 类别:配置文件中包含的安全类别。
  • 说明:个人资料的可选说明。
  • 环境:配置文件关联的环境。如果此列为空,则配置文件不会附加到任何环境。
  • 上次更新时间 (UTC):上次更新配置文件的日期和时间。
  • 操作:包含以下内容的菜单:
    • 修改:修改配置文件。
    • 删除:删除配置文件。

查看安全配置文件的详细信息

如需查看安全配置文件的详细信息,请在配置文件的行中点击其名称。这将显示配置文件的详细信息,如下所示。

安全配置文件详情

详细信息标签页中的第一行显示修订版本 ID:配置文件的最新修订版本号。当您修改配置文件并更改其安全类别时,修订版本 ID 会增加 1。但是,仅更改配置文件的说明不会增加修订版本 ID。

以下各行显示安全配置文件标签页中配置文件所对应的行中显示的信息。

配置文件详细信息视图还包含两个标记为修改删除的按钮,可用于修改删除安全配置文件。

聊天记录

如需查看配置文件的历史记录,请点击历史记录标签页。此时会显示配置文件的所有修订版本的列表。对于每个修订版本,列表都会显示以下内容:

  • 修订版本 ID:修订版本号。
  • 类别:配置文件的修订版本中包含的安全类别。
  • 上次更新时间(世界协调时间 (UTC)):创建修订版本的日期和时间 (UTC)。

创建自定义安全配置文件

如需创建新的自定义安全配置文件,请执行以下操作:

  1. 点击页面顶部的创建
  2. 在打开的对话框中,输入以下内容:
    • 名称:配置文件的名称。 该名称必须包含 1 到 63 个小写字母、数字或连字符,并且必须以字母开头,以字母或数字结尾。该名称必须与任何现有配置文件的名称不同。
    • (可选)说明:配置文件的说明。
    • 类别字段中,选择要包含在配置文件中的评估类别。

修改自定义安全配置文件

如需修改自定义安全配置文件,请执行以下操作:

  1. 在安全配置文件所在行的末尾,点击操作菜单。
  2. 选择修改
  3. 修改安全配置文件页面中,您可以更改:
    • 说明:安全配置文件的可选说明。
    • 类别:为配置文件选择的安全类别。点击下拉菜单,然后在菜单中选择或取消选择所选类别以更改所选类别。
  4. 点击 OK(确定)。

删除自定义安全配置文件

如需删除安全配置文件,请点击配置文件所在行末尾的操作,然后选择删除。请注意,删除配置文件也会将其从所有环境中分离。

经典版 Apigee

如需打开安全分数视图,请执行以下操作:

  1. 打开经典版 Apigee 界面
  2. 依次选择分析 > API 安全性 > 安全分数

此时将显示安全分数视图:

“安全分数”主视图。

请注意,在将安全配置文件附加到环境之前,系统不会计算环境的分数。Apigee 提供默认安全政策,或者您可以使用 Apigee API 创建自定义配置文件。如需了解详情,请参阅使用自定义安全配置文件

在上图中,integration 环境未附加安全配置文件,因此配置文件名称列会显示该环境未设置

安全分数表显示以下列:

  • 环境:计算得分的环境。
  • 最新得分:环境的最新总得分,共 1200 分。
  • 风险级别:风险级别,可以是低、中或严重。
  • 建议总数:提供的建议数量。每个建议对应需要注意中的一行。
  • 配置文件名称:安全配置文件的名称。
  • 评估日期:计算安全性得分的最新日期。

将安全配置文件附加到环境

如需查看环境的安全得分,您必须先按以下方式将安全配置文件附加到环境:

  1. 操作下,点击环境所在行中的三点状菜单。
  2. 点击附加配置文件
  3. 附加配置文件对话框中:
    1. 点击配置文件字段,然后选择要附加的配置文件。如果您尚未创建自定义安全配置文件,则唯一可用的配置文件是默认配置文件。
    2. 点击分配

当您将安全配置文件应用到环境后,Advanced API Security 会立即开始评估和评分。请注意,显示得分可能需要几分钟的时间。

下图显示了附加了默认安全配置文件的环境的安全得分视图:

附加了安全配置文件的“安全分数”主窗口。

环境的行现在会显示最新的安全得分、风险级别、针对安全操作的建议数量以及得分的评估日期

总分根据三种评估类型的各项得分计算得出:

  • 来源评估
  • 代理评估
  • 目标评估

请注意,所有分数都在 200 - 1200 范围内。分数越高,安全评估结果越好。

查看分数

将安全配置文件附加到环境后,您便可以在该环境中查看分数和建议。为此,请在主安全分数视图中点击该环境对应的行。这会显示环境的分数,如下所示:

环境中的安全分数。

该视图会显示:

  • 来源代理目标的最新得分。 点击上面任何窗格中的查看评估详细信息可查看相应类型的评估。
  • 环境得分历史记录,其中以图表形式显示环境在过去 5 天内的每日总得分,以及同一时间段内的平均总得分。
  • 需要注意表,其中列出了您可以提高安全性的 API 评估类型。

请注意,只有需要评估的类型才会计算评估类型分数。例如,如果没有目标服务器,则不会报告目标的分数。

以下部分介绍了如何查看每种类型的评估:

“需要注意”表

上面显示的需要注意表列出了分数低于 1200 的 API 组件,以及:

  • 相应类别的最新得分
  • 组件的风险级别,可以是低、中等或严重
  • 评估日期
  • 评估类型

查看建议

对于表中的每一行,Advanced API Security 提供了提高得分的建议。您可以在评估详细信息视图中查看针对每种类型(来源代理目标)的建议,如以下部分中所述:

您可以通过以下任一方式打开评估详情视图:

  • 点击 Security Scores(安全性得分)主视图的任何窗格中的 View Assessment Details(查看评估详细信息)。
  • 需要注意表中,执行以下操作:
    1. 展开表中的类别组:

      “需要注意”表中的“授权”行。

    2. 点击要查看其建议的类别。此时系统会打开建议对应的评估详情视图。

来源评估

来源评估会计算环境的滥用行为分数。“滥用行为”是指向 API 发送请求以实现 API 的预期用途以外的用途。

要查看来源评估,请点击来源窗格中的查看,以打开 API 来源评估视图:

来源评估窗格。

来源分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新得分。

来源建议

如果某个类别的得分较低,您可以查看有关改进该类别的建议。如需查看滥用行为类别的建议,请点击它在评估详情表中的行。此时会在建议窗格中显示建议。

“建议”窗格中的滥用行为建议。

要展开滥用行为的详细信息,请点击查看详情。系统会打开滥用行为检测页面中的 Detected Traffic(检测到的流量)视图。Detected Traffic(检测到的流量)视图显示有关检测到的滥用行为的详细信息。

查看详情行下方会显示“建议”窗格:

  • 显示建议:“阻止或允许由滥用行为检测所识别的流量”。
  • 操作行显示滥用行为建议文档的链接。

代理评估

API 代理评估会计算环境中所有代理的分数。要查看代理评估,请点击代理窗格中的查看,以打开 API 代理评估视图:

代理评估窗格。

代理分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新得分。

代理建议

如果某个代理的分数较低,您可以查看有关改进该代理的建议。例如,如需查看 hellooauth2 代理的建议,请点击评估详情表中的相应行。此时会在建议窗格中显示建议。下面显示了其中两个建议。

代理建议。

目标评估

目标评估会计算环境中每个目标服务器的 mTLS 得分。目标分数的分配方式如下:

  • 不存在 TLS:200
  • 存在单向 TLS:900
  • 存在双向或 mTLS:1200

如需查看目标评估,请点击目标窗格中的查看,以打开 API 目标评估视图:

目标评估窗格。

目标分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新得分。

目标建议

如果某个目标服务器的分数较低,您可以查看有关改进该目标服务器的建议。如需查看目标服务器的评估,请点击其所在的行。此时会在建议窗格中显示建议。

代理建议。

滥用行为建议

如果来源得分较低,Apigee 建议您查看检测到滥用行为的 IP。然后,如果您同意来自这些 IP 的流量存在滥用行为,请使用安全操作页面阻止来自作为滥用行为来源的 IP 地址的请求。

如需详细了解滥用行为,您可以使用以下任一资源: