Ringkasan dan UI penilaian risiko

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Ringkasan

Penilaian risiko Keamanan API Lanjutan terus mengevaluasi proxy API konfigurasi dan menghitung skor keamanan untuk membantu mengidentifikasi dan mengatasi kerentanan dalam API Anda.

Penilaian risiko membantu Anda:

  • Menerapkan standar keamanan yang konsisten di semua API.
  • Mendeteksi kesalahan konfigurasi dalam penyiapan API.
  • Tingkatkan skor keamanan Anda secara keseluruhan dengan tindakan yang disarankan.
  • Menyelidiki dan menyelesaikan masalah keamanan dengan cepat melalui dasbor terpusat.

Anda dapat mengakses penilaian risiko melalui UI Apigee, seperti yang dijelaskan di halaman ini, atau melalui API profil dan skor keamanan.

Lihat Peran yang diperlukan untuk penilaian risiko bagi peran yang diperlukan dalam menjalankan tugas penilaian risiko.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Kelola Keamanan API Lanjutan untuk organisasi Langganan guna mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Kelola add-on Advanced API Security.

Penilaian Risiko v1 dan v2

Penilaian Risiko tersedia dalam dua versi: Penilaian Risiko v1, yang tersedia secara umum, dan Risk Assessment v2, yang tersedia pratinjau. Penggunaan salah satu memerlukan add-on Advanced API Security.

Perbedaan fitur utama antara v1 dan v2 adalah:

  • v2 mencakup:
    • Keandalan yang lebih baik, termasuk perhitungan skor yang lebih cepat dengan data proxy terbaru
    • Penghitungan skor tanpa perlu melampirkan profil keamanan ke suatu lingkungan terlebih dahulu
    • Penyajian skor yang disederhanakan, berdasarkan skala 0% hingga 100%
    • Konsep bobot, sedangkan v1 tidak. Lihat Penilaian dan bobot keamanan.
    • Penilaian tambahan dibandingkan v1, yang memeriksa kebijakan lainnya saat menghitung skor. Misalnya, v1 mendukung lima kebijakan terkait otorisasi sementara v2 mendukung delapan kebijakan. Selain itu, v2 mencakup kategori Pengelolaan Traffic dengan kebijakan terkait dan melakukan tindakan pemeriksaan kebijakan, termasuk untuk atribut continueOnError.
    • Pemeriksaan flow bersama bertingkat dan flow hook ke lima tingkat bertingkat. v1 tidak mengevaluasi kebijakan yang disertakan melalui rantai alur bersama.
    • Penggantian skor target (skor server target) dengan penilaian berbasis proxy dan rekomendasi. Jika Target digunakan di proxy, skor keamanan untuk proxy tersebut mencakup skor untuk Server Target.
  • v2 tidak mendukung:
    • Pengujian sumber berdasarkan traffic yang melanggar.
    • Profil kustom. Saat ini v2 hanya mendukung profil google-default.
    • Metrik dan Monitoring tidak didukung untuk saat ini.

Penilaian Risiko v2

Bagian ini menjelaskan Penilaian Risiko v2, Penilaian Risiko versi baru. Beberapa Risiko Konsep dan perilaku penilaian berbeda antara v1 dan v2. Untuk penggunaan dengan Penilaian Risiko v1, lihat Penilaian Risiko v1.

Untuk menggunakan Penilaian Risiko v2, Anda harus memahami konsep: skor dan tingkat keparahan keamanan serta profil keamanan.

Skor dan tingkat keseriusan keamanan

Skor keamanan menilai keamanan API Anda dan didasarkan pada lulus/gagal output bobot dan penilaian keamanan di profil keamanan yang diterapkan di lingkungan. Skor bernilai antara 0% dan 100%; 100% menunjukkan bahwa proxy sepenuhnya mematuhi penilaian dan tidak ada risiko yang ditemukan berdasarkan penilaian.

Penilaian Risiko v2 juga memberikan nilai tingkat keparahan, yang didasarkan pada skor keamanan. Tujuan tingkat keparahan potensial adalah tinggi (0-50%), sedang (51-90%), rendah (91-99%), dan minimal (100%/tidak ada risiko yang ditemukan berdasarkan penilaian dalam profil keamanan yang ditetapkan).

Skor keamanan juga menilai postur keamanan API Anda dari waktu ke waktu. Misalnya, skor yang berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan lingkungan yang dapat menyebabkan skor meliputi:

  • Men-deploy proxy API tanpa kebijakan keamanan yang diperlukan.
  • Perubahan alur bersama melalui deployment flow hook dan penambahan kebijakan Flowcallout.
  • Perubahan server target dalam deployment proxy atau lingkungan.

Cara kebijakan memengaruhi skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah kebijakan tersebut terkait dan bagaimana kebijakan tersebut dikaitkan ke flow:

  • Hanya kebijakan yang disertakan ke flow (praflow, alur bersyarat, alur posting di {i>proxy<i}, atau alur bersama) akan memengaruhi skor. Kebijakan yang tidak terkait dengan alur apa pun tidak mempengaruhi skor.
  • Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui flow hook dan FlowCallout kebijakan di proxy, asalkan kebijakan Flow callout disertakan ke flow. Namun, jika Flowcallout tidak dilampirkan ke flow, kebijakan dari alur bersama yang tertaut tidak memengaruhi skor keamanan.
  • Alur bersama berantai dievaluasi hingga lima tingkat. Setiap kebijakan yang disertakan langsung dalam dan di lima tingkat alur bersama pertama dihitung dalam skor keamanan.
  • Untuk kebijakan yang disertakan pada alur bersyarat, skor keamanan hanya memperhitungkan apakah kebijakan tersebut ada; laporan ini tidak memperhitungkan apakah kebijakan tersebut atau bagaimana diberlakukan saat runtime.

Penilaian dan bobot keamanan

Skor keamanan didasarkan pada kategori penilaian yang tercantum di sini.

Skor juga didasarkan pada bobot untuk setiap kategori, yang berbeda untuk setiap profil. Bobot adalah ditetapkan ke besar, sedang, atau kecil untuk setiap kategori dalam profil dan memberikan kemampuan untuk memengaruhi dampak aturan terhadap skor. Saat penilaian gagal dalam bobot yang signifikan kategori, yang memiliki dampak negatif lebih signifikan daripada berat sedang atau kecil.

Kategori penilaian Deskripsi Bobot Rekomendasi
Otorisasi Memeriksa apakah Anda memiliki kebijakan otorisasi. Berat Tambahkan salah satu kebijakan berikut ke proxy Anda:
Otorisasi Memeriksa apakah atribut "continueOnError" untuk kebijakan otorisasi disetel ke false. Hal ini termasuk memeriksa apakah kebijakan otorisasi telah diterapkan. Berat Setel "continueOnError" ke false untuk kebijakan otorisasi yang sedang digunakan.
CORS Memeriksa apakah kebijakan CORS atau header CORS di AssignMessage kebijakan yang ada. Berat Tambahkan kebijakan CORS ke proxy Anda.
Mediasi Memeriksa apakah Anda memiliki kebijakan mediasi. Berat Tambahkan salah satu kebijakan berikut ke proxy Anda:
Target Memeriksa apakah Anda memiliki kebijakan satu arah atau mTLS yang diterapkan. Berat Konfigurasi keamanan di server target:
Target Memeriksa apakah "menerapkan" disetel ke true untuk penerapan SSL yang ketat. Ini termasuk memeriksa apakah kebijakan SSL diterapkan. Berat Konfigurasikan kolom “enforce” untuk SSL ketat antara Apigee dan target. Lihat Konfigurasi penerapan SSL yang ketat.
Ancaman Memeriksa apakah Anda memiliki kebijakan perlindungan ancaman. Berat Tambahkan salah satu kebijakan berikut ke proxy Anda:
Ancaman Memeriksa apakah atribut "continueOnError" untuk kebijakan ancaman disetel ke false. Hal ini termasuk memeriksa apakah kebijakan ancaman sudah diterapkan. Berat Setel "continueOnError" ke false untuk kebijakan ancaman yang sedang digunakan.
Pengelolaan Traffic Memeriksa apakah Anda telah menerapkan kebijakan pengelolaan traffic. Berat Tambahkan salah satu kebijakan berikut ke proxy Anda:

Profil keamanan v2

Profil keamanan adalah serangkaian bobot dan penilaian keamanan untuk menilai API.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua penilaian. Bila Anda menggunakan profil {i>default<i}, skor keamanan didasarkan pada semua kategori.

Batasan skor keamanan v2

Skor keamanan memiliki batasan berikut:

  • Skor keamanan hanya dibuat jika lingkungan memiliki proxy.
  • Proxy yang baru di-deploy serta organisasi dan lingkungan yang baru diaktifkan tidak segera menampilkan skor.
  • Profil google-default adalah satu-satunya profil keamanan yang tersedia saat ini. Profil keamanan kustom saat ini tidak didukung.

Keterlambatan data

Data yang skor keamanan Advanced API Security memiliki hal berikut periode pemrosesan sebelum hasil tersedia:

  • Saat Anda mengaktifkan Advanced API Security di organisasi untuk pertama kalinya, perlu waktu agar skor untuk proxy dan target yang ada tercermin dalam suatu lingkungan. Sebagai panduan, tunggu 30 hingga 90 menit untuk Langganan organisasi dan lebih sedikit waktu untuk organisasi Bayar sesuai penggunaan.
  • Peristiwa baru yang terkait dengan proxy (deployment dan pembatalan deployment) dan target (membuat, memperbarui, menghapus) di lingkungan memerlukan waktu setidaknya 60 detik dan hingga 5 menit (untuk lingkungan yang sangat besar) untuk merefleksikan skor lingkungan.

Lihat penilaian risiko di UI Apigee

Halaman Penilaian Risiko menampilkan skor yang mengukur keamanan API Anda dalam setiap lingkungan fleksibel App Engine.

Untuk membuka halaman Penilaian Risiko:

  1. Buka UI Apigee di Konsol Cloud.
  2. Pilih Advanced API Security > Penilaian risiko.

Tindakan ini akan menampilkan halaman Penilaian Risiko:

Halaman utama penilaian risiko.

Halaman tersebut memiliki bagian-bagian berikut:

  • Lingkungan: Pilih lingkungan untuk melihat penilaian.
  • Profil keamanan: google-default adalah satu-satunya yang tersedia profil keamanan Anda saat ini.
  • Proxy yang di-deploy berdasarkan tingkat keparahan: Setelah lingkungan ditetapkan, halaman akan menampilkan ringkasan mengurangi tingkat keparahan di seluruh proxy di lingkungan tersebut. Lihat skor dan tingkat keparahan keamanan.
  • Detail penilaian: Menampilkan profil keamanan, tanggal dan waktu penilaian, total konfigurasi yang dinilai, dan total proxy yang di-deploy untuk lingkungan yang dipilih. Total jumlah konfigurasi yang dinilai mencerminkan jumlah total "pemeriksaan" dilaksanakan. Jumlah ini mungkin lebih tinggi dari jumlah penilaian dalam profil; beberapa penilaian, seperti memverifikasi bahwa atribut "continueOnError" juga disetel ke false periksa apakah kebijakan terkait sudah diterapkan dan diaktifkan.
  • Proxy yang di-deploy: Ringkasan proxy yang di-deploy di lingkungan dan risikonya skor penilaian:

    • Proxy: Nama proxy.
    • Keparahan: Tingkat keparahan penilaian risiko untuk proxy. Lihat Skor dan tingkat keparahan keamanan untuk mendapatkan informasi.

    • Skor: Skor penilaian risiko untuk proxy. Lihat Skor dan tingkat keparahan keamanan untuk mendapatkan informasi.
    • Revisi: Revisi proxy tempat skor dinilai.
    • Penilaian gagal berdasarkan berat: Jumlah penilaian yang gagal yang dikelompokkan berdasarkan berat penilaian.
    • Rekomendasi: Rekomendasi khusus untuk meningkatkan skor pada proxy. Klik angka untuk melihat rekomendasi.

Penilaian Risiko v1

Bagian ini menjelaskan Penilaian Risiko v1. Untuk informasi tentang Penilaian Risiko v2, lihat Penilaian Risiko v2.

Skor keamanan

Skor keamanan menilai keamanan API Anda, serta postur keamanannya dari waktu ke waktu. Misalnya, skor yang sangat berfluktuasi dapat mengindikasikan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan lingkungan yang dapat menyebabkan skor turun meliputi:

  • Men-deploy banyak proxy API tanpa kebijakan keamanan yang diperlukan.
  • Lonjakan traffic penyalahgunaan dari sumber berbahaya.

Mengamati perubahan pada skor keamanan Anda dari waktu ke waktu memberikan indikator yang baik atas terjadinya aktivitas yang mencurigakan di lingkungan sekitar.

Skor keamanan dihitung berdasarkan profil keamanan Anda, yang menentukan kategori keamanan yang ingin Anda evaluasi. Anda dapat menggunakan paket atau Anda dapat membuat profil keamanan khusus yang hanya menyertakan kategori keamanan yang paling penting bagi Anda.

Jenis penilaian skor keamanan

Ada tiga jenis penilaian yang berkontribusi pada keseluruhan skor keamanan yang dihitung oleh Advanced API Security:

  • Penilaian sumber: Menilai mendeteksi traffic penyalahgunaan, menggunakan Advanced API Security aturan deteksi. "Penyalahgunaan" mengacu pada dikirim ke API untuk tujuan selain yang dimaksudkan untuk API.

  • Penilaian proxy: Menilai seberapa baik penerapan proxy berbagai kebijakan keamanan di area berikut:

    Lihat Pengaruh kebijakan terhadap keamanan proxy skor untuk informasi selengkapnya.

  • Penilaian target: Memeriksa apakah keamanan lapisan transportasi bersama (mTLS) dikonfigurasi dengan server target di lingkungan.

Setiap jenis penilaian ini diberi skor sendiri. Skor keseluruhan adalah rata-rata skor dari masing-masing jenis penilaian.

Cara kebijakan memengaruhi skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah kebijakan tersebut terkait dan bagaimana kebijakan tersebut dikaitkan ke flow:

  • Hanya kebijakan yang disertakan ke flow (praflow, alur bersyarat, alur posting di {i>proxy<i}, atau alur bersama) akan memengaruhi skor. Kebijakan yang tidak terkait dengan alur apa pun tidak mempengaruhi skor.
  • Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui flow hook dan FlowCallout kebijakan di proxy, asalkan kebijakan Flow callout disertakan ke flow. Namun, jika Flowcallout tidak dikaitkan ke alur, kebijakan dari alur bersama yang ditautkannya akan tidak memengaruhi skor keamanan.
  • Perantaian alur bersama tidak didukung. Kebijakan yang disertakan melalui rantai alur bersama tidak yang dinilai saat menghitung skor keamanan.
  • Untuk kebijakan yang disertakan pada alur bersyarat, skor keamanan hanya memperhitungkan apakah kebijakan tersebut ada; laporan ini tidak memperhitungkan apakah kebijakan tersebut atau bagaimana diberlakukan saat runtime.

Profil keamanan

Profil keamanan adalah kumpulan kategori keamanan (dijelaskan di bawah) yang Anda inginkan untuk memberi skor pada API. Profil dapat berisi subkumpulan kategori keamanan. Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan terlebih dahulu terhadap lingkungan. Anda dapat menggunakan antarmuka default Apigee profil keamanan, atau Anda dapat membuat profil keamanan khusus yang hanya berisi kategori keamanan yang penting bagi Anda.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua kategori keamanan. Jika Anda menggunakan profil {i>default<i}, skor keamanan akan didasarkan pada semua kategori.

Profil keamanan khusus

Profil keamanan kustom memungkinkan Anda mendasarkan skor keamanan hanya pada keamanan tersebut kategori yang ingin Anda sertakan dalam skor. Lihat Membuat dan mengedit profil keamanan untuk mempelajari caranya untuk membuat profil khusus.

Kategori keamanan

Skor keamanan didasarkan pada penilaian kategori keamanan yang dijelaskan di bawah.

Kategori Deskripsi Rekomendasi
Penyalahgunaan Memeriksa penyalahgunaan, yang mencakup permintaan yang dikirim ke API untuk tujuan selain tujuannya, seperti volume permintaan yang tinggi, pengumpulan data, dan penyalahgunaan yang terkait dengan otorisasi. Lihat Rekomendasi penyalahgunaan
Otorisasi Memeriksa apakah Anda memiliki kebijakan otorisasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
CORS Memeriksa apakah Anda telah menerapkan kebijakan CORS. Tambahkan kebijakan CORS ke proxy Anda.
MTLS Memeriksa apakah Anda telah mengonfigurasi mTLS (Mutual transport layer security) untuk server target. Lihat Konfigurasi mTLS server target.
Mediasi Memeriksa apakah Anda memiliki kebijakan mediasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
Ancaman Memeriksa apakah Anda memiliki kebijakan perlindungan ancaman. Tambahkan salah satu kebijakan berikut ke proxy Anda:

Batasan skor keamanan v1

Skor keamanan memiliki batasan berikut:

  • Anda dapat membuat hingga 100 profil kustom per organisasi.
  • Skor keamanan hanya dibuat jika lingkungan memiliki proxy, server target, dan traffic.
  • Proxy yang baru di-deploy tidak langsung menampilkan skor.

Keterlambatan data

Data yang menjadi dasar skor keamanan Advanced API Security memiliki hal-hal berikut penundaan, karena cara pemrosesan data:

  • Saat Anda mengaktifkan Advanced API Security di organisasi, diperlukan waktu hingga 6 jam agar skor untuk proxy dan target yang ada tercermin dalam suatu lingkungan.
  • Peristiwa baru yang terkait dengan proxy (deployment dan pembatalan deployment) dan target (membuat, memperbarui, menghapus) di lingkungan dapat memerlukan waktu hingga 6 jam untuk tercermin dalam skor lingkungan.
  • Data yang mengalir ke pipeline Apigee Analytics mengalami penundaan hingga 15 hingga 20 menit rata-rata. Akibatnya, data penyalahgunaan skor sumber mengalami penundaan pemrosesan sekitar 15 hingga 20 menit.

Buka halaman Penilaian risiko

Halaman Penilaian risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan fleksibel App Engine.

Mungkin perlu waktu beberapa menit untuk membuka halaman Penilaian risiko yang akan dimuat. Halaman akan memerlukan waktu lebih lama untuk dimuat untuk lingkungan dengan volume tinggi jumlah {i>traffic<i} serta jumlah {i> proxy<i} dan target yang besar.

Apigee di Konsol Cloud

Untuk membuka halaman Penilaian risiko:

  1. Buka UI Apigee di Konsol Cloud.
  2. Pilih Advanced API Security > Penilaian risiko.

Tindakan ini akan menampilkan halaman Penilaian risiko:

Halaman utama penilaian risiko.

Halaman ini memiliki dua tab, yang dijelaskan di bagian berikut:

Lihat skor keamanan

Untuk melihat skor keamanan, klik tab Skor Keamanan.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan sampai Anda melampirkan profil keamanan Anda, sebagaimana dijelaskan di Melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom, seperti yang dijelaskan di Membuat dan mengedit profil keamanan.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat skor dihitung.
  • Tingkat risiko: Tingkat risiko lingkungan, yang bisa rendah, sedang, atau parah.
  • Skor keamanan: Total skor untuk lingkungan, dari 1.200.
  • Total rekomendasi: Jumlah rekomendasi yang diberikan.
  • Profil: Nama profil keamanan yang terlampir.
  • Terakhir diperbarui: Tanggal terakhir skor keamanan diperbarui.
  • Tindakan: Klik menu tiga titik di baris untuk menampilkan lingkungan tindakan berikut:
    • Lampirkan profil: Melampirkan profil keamanan ke lingkungan.
    • Lepaskan profil: Lepaskan profil keamanan dari lingkungan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus terlebih dahulu melampirkan profil keamanan ke lingkungan sebagai berikut:

  1. Di bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Dalam dialog Attach Profile:
    1. Klik kolom Profil dan pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan khusus, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda memasang profil keamanan ke lingkungan, Advanced API Security akan segera dimulai menilai dan menilainya. Perlu diketahui bahwa mungkin perlu waktu beberapa menit sampai skor ditampilkan.

Skor keseluruhan dihitung dari skor masing-masing dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Skor penilaian yang lebih tinggi menunjukkan nilai yang lebih rendah risiko keamanan.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan fleksibel App Engine. Untuk melakukannya, klik baris untuk lingkungan tersebut di Skor Keamanan utama kami. Tindakan ini akan menampilkan skor untuk lingkungan tersebut, seperti yang ditunjukkan di bawah ini:

Skor keamanan di lingkungan.

Tampilan ini menampilkan empat tab:

Ringkasan

Tab Overview menampilkan hal berikut:

  • Sorotan utama untuk setiap penilaian:
    • Proxy: Menampilkan rekomendasi teratas untuk proxy di lingkungan. Klik Edit Proxy untuk membuka Proxy Editor Apigee, dengan Anda dapat menerapkan rekomendasi tersebut.
    • Target: Menampilkan rekomendasi teratas untuk target di lingkungan. Klik View Target Servers untuk membuka Target Tab Server di Pengelolaan > Lingkungan di UI Apigee.
    • Sumber: Menampilkan traffic penyalahgunaan yang terdeteksi. Klik Traffic yang Terdeteksi untuk melihat Traffic yang terdeteksi di halaman Deteksi penyalahgunaan.
  • Ringkasan untuk Penilaian Sumber, Penilaian Proxy, dan Penilaian Target, termasuk:
    • Skor terbaru untuk setiap jenis penilaian.
    • Panel Source Assessment menampilkan penyalahgunaan yang terdeteksi jumlah traffic dan alamat IP.
    • Panel Penilaian Proxy dan Penilaian Target menampilkan tingkat risiko untuk penilaian tersebut.
  • Klik Lihat Detail Penilaian di panel ringkasan mana pun untuk melihat detail jenis penilaian tersebut:
  • Histori penilaian, yang menampilkan grafik total skor harian untuk lingkungan selama jangka waktu terakhir, yang dapat Anda pilih antara 3 hari atau 7 hari. Secara default, grafik menampilkan 3 hari. Grafik tersebut juga menunjukkan total skor rata-rata selama periode yang sama.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu untuk dinilai. Sebagai misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Penilaian sumber

Klik tab Penilaian Sumber untuk melihat detail penilaian untuk lingkungan.

Panel penilaian sumber.

Klik ikon luaskan di sebelah kanan Detail penilaian untuk melihat grafik sumber selama jangka waktu terbaru, yang dapat Anda pilih selama 3 hari atau 7 hari.

Panel Source menampilkan tabel dengan informasi berikut:

  • Kategori: Kategori untuk penilaian.
  • Tingkat risiko: Tingkat risiko untuk kategori.
  • Skor keamanan: Skor keamanan untuk kategori penyalahgunaan.
  • Rekomendasi: Jumlah rekomendasi untuk kategori.
Detail sumber

Panel Source details menampilkan detail traffic penyalahgunaan yang terdeteksi di lingkungan. termasuk:

  • Detail lalu lintas:
    • Traffic yang terdeteksi: Jumlah panggilan API yang berasal dari alamat IP yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Total traffic: Jumlah total panggilan API yang dilakukan.
    • Jumlah alamat IP yang terdeteksi: Jumlah alamat IP unik yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Waktu mulai observasi (UTC): Waktu mulai dalam UTC pada periode saat traffic dipantau,
    • Waktu berakhir pengamatan (UTC): Waktu berakhir dalam UTC pada periode saat traffic dipantau,
  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk perbaikan skor tersebut. Lihat Rekomendasi penyalahgunaan untuk informasi lebih lanjut rekomendasi tentang penanganan traffic penyalahgunaan.

Untuk membuat tindakan keamanan yang akan menangani terkait masalah yang dilaporkan oleh penilaian sumber, klik tombol Create Security Action.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua {i>proxy<i} di lingkungan. Untuk melihat penilaian proxy, klik tab Penilaian Proxy:

Panel penilaian proxy.

Panel Proxy menampilkan tabel dengan informasi berikut:

  • Proxy: Proxy yang dinilai.
  • Tingkat risiko: Tingkat risiko untuk proxy.
  • Skor keamanan: Skor keamanan untuk proxy.
  • Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan kualitas skor untuk {i>proxy<i}.
  • Rekomendasi: Jumlah rekomendasi untuk proxy.

Klik nama {i>proxy<i} dalam tabel untuk membuka Editor Proxy, dengan Anda dapat membuat perubahan yang disarankan pada {i>proxy<i}.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat saran untuk memperbaikinya di Panel Recommendations. Guna melihat rekomendasi untuk proxy, klik kolom Perlu diperhatikan untuk proxy tersebut di panel Proxy.

Panel Recommendations akan menampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk perbaikan skor tersebut.

Penilaian target

Penilaian target menghitung lapisan transpor bersama skor keamanan (mTLS) untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • Keberadaan TLS satu arah: 900
  • Ada dua arah atau mTLS: 1200

Untuk melihat penilaian target, klik tab Penilaian Target:

Panel penilaian target.

Panel Target menampilkan informasi berikut:

  • Target: Nama target.
  • Tingkat risiko: Tingkat risiko untuk target.
  • Skor keamanan: Skor keamanan untuk target.
  • Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan kualitas skor untuk target.
  • Rekomendasi: Jumlah rekomendasi untuk target.

Klik nama target dalam tabel untuk membuka Target Tab Servers di Pengelolaan > Halaman Lingkungan di UI Apigee, tempat Anda dapat menerapkan tindakan yang disarankan pada target tersebut.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di Panel Recommendations. Guna melihat rekomendasi untuk target, klik kolom Perlu diperhatikan untuk target tersebut di panel Target.

Panel Recommendations akan menampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk perbaikan skor tersebut.

Membuat dan mengedit profil keamanan

Untuk membuat atau mengedit profil keamanan, pilih tab Security Profiles.

Tab Profil keamanan.

Tab Security Profiles menampilkan daftar keamanan profil perusahaan, termasuk informasi berikut:

  • Nama: Nama profil.
  • Kategori: Kategori keamanan yang disertakan dalam profil.
  • Deskripsi: Deskripsi opsional profil.
  • Lingkungan: Lingkungan tempat profil dilampirkan. Jika kolom ini kosong, profil tidak terkait dengan lingkungan mana pun.
  • Terakhir diperbarui (UTC): Tanggal dan waktu terakhir profil diperbarui.
  • Tindakan: Menu dengan item berikut:

Melihat detail profil keamanan

Untuk melihat detail profil keamanan, klik namanya di baris profil tersebut. Ini menampilkan detail profil seperti yang ditunjukkan di bawah ini.

Detail profil keamanan.

Baris pertama di tab Details menampilkan Revision ID: revisi terbaru nomor profil. Saat Anda mengedit profil dan mengubah kategori keamanannya, ID revisi bertambah 1. Namun, hanya mengubah deskripsi profil akan jangan menambah ID revisi.

Baris di bawahnya menampilkan informasi yang sama dengan yang ditampilkan pada baris untuk profil pada Profil Keamanan .

Tampilan detail profil juga memiliki dua tombol berlabel Edit dan Delete, yang yang dapat Anda gunakan untuk mengedit atau menghapus profil keamanan.

Histori

Untuk melihat riwayat profil, klik tab Riwayat. Ini menampilkan daftar semua revisi profil. Untuk setiap revisi, daftar akan menampilkan:

  • ID Revisi: Nomor revisi.
  • Kategori: Kategori keamanan yang disertakan dalam revisi profil tersebut.
  • Terakhir diperbarui (UTC): Tanggal dan waktu dalam UTC saat revisi dibuat.

Membuat profil keamanan khusus

Untuk membuat profil keamanan kustom baru:

  1. Klik Create di bagian atas halaman.
  2. Pada dialog yang terbuka, masukkan kode berikut:
    • Nama: Nama profil. Nama harus terdiri dari 1 hingga 63 huruf kecil, angka, atau tanda hubung, dan harus diawali dengan huruf dan diakhiri dengan huruf atau angka. Tujuan nama harus berbeda dari nama profil yang ada.
    • (Opsional) Deskripsi: Deskripsi profil.
    • Di kolom Kategori, pilih kategori penilaian yang ingin Anda sertakan profil.

Mengedit profil keamanan khusus

Untuk mengedit profil keamanan kustom:

  1. Di akhir baris untuk profil keamanan, klik menu Tindakan.
  2. Pilih Edit.
  3. Di halaman Edit profil keamanan, Anda dapat mengubah:
    • Deskripsi: Deskripsi opsional profil keamanan.
    • Kategori: Kategori keamanan yang dipilih untuk profil. Klik menu drop-down menu dan mengubah kategori yang dipilih dengan memilih atau membatalkan pilihan di menu.
  4. Klik Oke.

Menghapus profil keamanan khusus

Untuk menghapus profil keamanan, klik Tindakan di akhir baris untuk profil tersebut, lalu pilih Hapus. Perhatikan bahwa menghapus profil juga akan melepaskannya dari semua lingkungan.

UI Apigee Klasik

Untuk membuka tampilan Skor keamanan:

  1. Buka UI Apigee Klasik.
  2. Pilih Analyze > Keamanan API > Skor Keamanan.

Tindakan ini akan menampilkan tampilan Skor keamanan:

Tampilan utama skor keamanan.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan sampai Anda melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom menggunakan Apigee API. Lihat Gunakan profil keamanan kustom untuk mengetahui detailnya.

Dalam gambar di atas, tidak ada profil keamanan yang dilampirkan ke integration lingkungan, sehingga Kolom Nama Profil menampilkan status Belum ditetapkan untuk lingkungan tersebut.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat skor dihitung.
  • Skor Terbaru: Total skor terbaru untuk lingkungan, dari 1.200.
  • Tingkat Risiko: Tingkat risiko, yang bisa rendah, sedang, atau parah.
  • Total Rekomendasi: Jumlah rekomendasi yang diberikan. Masing-masing rekomendasi sesuai dengan baris dalam tabel Perlu Diperhatikan.
  • Nama Profil: Nama profil keamanan.
  • Tanggal Penilaian: Tanggal terakhir penghitungan skor keamanan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus terlebih dahulu melampirkan profil keamanan ke lingkungan sebagai berikut:

  1. Di bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Dalam dialog Attach Profile:
    1. Klik kolom Profil dan pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan khusus, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda memasang profil keamanan ke lingkungan, Advanced API Security akan segera dimulai menilai dan menilainya. Perhatikan bahwa mungkin perlu waktu beberapa menit sampai skor ditampilkan.

Gambar di bawah menampilkan tampilan Skor Keamanan dengan lingkungan yang memiliki setelan default profil keamanan terlampir:

Jendela utama Skor Keamanan dengan profil keamanan terpasang.

Baris untuk lingkungan sekarang menampilkan skor keamanan, tingkat risiko, dan jumlah rekomendasi keamanan terbaru tindakan yang harus dilakukan, dan Tanggal Penilaian skor.

Skor keseluruhan dihitung dari skor masing-masing dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Semakin tinggi skor, semakin baik penilaian keamanan.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan fleksibel App Engine. Untuk melakukannya, klik baris untuk lingkungan tersebut di Skor Keamanan utama {i>view<i}. Tindakan ini akan menampilkan skor untuk lingkungan tersebut, seperti yang ditunjukkan di bawah ini:

Skor keamanan di lingkungan.

Tampilan tersebut menampilkan:

  • Skor terbaru untuk Sumber, Proxy, dan Target. Klik Lihat Detail Penilaian di salah satu panel ini untuk melihat penilaian jenis tersebut.
  • Histori Skor Lingkungan, yang menampilkan grafik total skor harian untuk lingkungan selama 5 hari terakhir, serta total skor rata-rata selama periode yang sama.
  • Tabel Perlu Diperhatikan, yang mencantumkan jenis penilaian API Anda di mana Anda dapat meningkatkan keamanan.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu untuk dinilai. Sebagai misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Bagian berikut menjelaskan cara melihat penilaian untuk setiap jenis pekerjaan:

Tabel Perlu Diperhatikan

Tabel Perlu Diperhatikan, yang ditampilkan di atas, mencantumkan kategori API yang skornya di bawah 1.200, beserta:

  • Skor terbaru untuk kategori
  • Tingkat risiko untuk kategori tersebut, yang bisa rendah, sedang, atau parah
  • Tanggal penilaian
  • Jenis penilaian

Melihat rekomendasi

Untuk setiap baris dalam tabel, Advanced API Security memberikan rekomendasi untuk meningkatkan skor. Anda dapat melihat rekomendasi di tampilan Detail penilaian untuk setiap jenis, Sumber, Proxy, atau Target, seperti yang dijelaskan dalam bagian berikut:

Anda dapat membuka tampilan Detail penilaian dengan salah satu cara berikut:

  • Klik View Assessment Details di salah satu panel pada Security Score utama. {i>view<i}.
  • Di Tabel Perlu Diperhatikan:
    1. Luaskan grup kategori dalam tabel:

      Baris Auth di tabel Needs Attention.

    2. Klik kategori tempat Anda ingin melihat rekomendasi. Tindakan ini akan membuka tampilan detail penilaian yang sesuai dengan rekomendasi.

Penilaian sumber

Penilaian sumber menghitung skor penyalahgunaan untuk lingkungan fleksibel App Engine. "Penyalahgunaan" mengacu pada dikirim ke API untuk tujuan selain yang dimaksudkan untuk API.

Untuk melihat penilaian sumber, klik View di panel Sources untuk membuka tampilan API Source Assessment:

Panel penilaian sumber.

Histori Skor Sumber menampilkan skor selama 5 hari terakhir, beserta dengan rata-rata mereka dan skor terbaru. Tabel Detail penilaian akan menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi sumber

Jika kategori memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat rekomendasi untuk kategori penyalahgunaan, klik barisnya di Tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi penyalahgunaan di panel Rekomendasi.

Untuk melihat perincian penyalahgunaan, klik Lihat Detail. Tindakan ini akan membuka Traffic yang Terdeteksi lihat di halaman Deteksi penyalahgunaan. Tampilan Traffic Terdeteksi menampilkan detail informasi tentang penyalahgunaan yang terdeteksi.

Di bawah baris Lihat Detail, panel Rekomendasi akan menampilkan:

  • Rekomendasi: "Blokir atau izinkan traffic yang diidentifikasi oleh deteksi penyalahgunaan". yang ditampilkan.
  • Baris Tindakan menampilkan link ke dokumentasi untuk rekomendasi penyalahgunaan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua {i>proxy<i} di lingkungan. Untuk melihat penilaian proxy, klik Lihat di panel Proxies untuk membuka tampilan API Proxy Assessment:

Panel penilaian proxy.

Histori Skor Proxy menampilkan skor selama 5 hari terakhir, beserta dengan rata-rata mereka dan skor terbaru. Tabel Detail penilaian akan menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Misalnya, untuk melihat rekomendasi proxy hellooauth2, klik barisnya di Tabel detail penilaian. Tindakan ini akan menampilkan rekomendasi di Rekomendasi Google Analytics. Dua di antaranya ditampilkan di bawah ini.

Rekomendasi proxy.

Penilaian target

Penilaian target menghitung skor mTLS untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • Keberadaan TLS satu arah: 900
  • Ada dua arah atau mTLS: 1200

Untuk melihat penilaian target, klik Lihat di panel Target untuk membuka tampilan Penilaian Target API:

Panel penilaian target.

Histori Skor Target menampilkan skor selama 5 hari terakhir, beserta dengan rata-rata mereka dan skor terbaru. Tabel Detail penilaian akan menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat penilaian server target, klik barisnya. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi proxy.

Rekomendasi penyalahgunaan

Jika skor sumber rendah, Apigee merekomendasikan agar Anda meninjau IP yang penyalahgunaannya terdeteksi. Kemudian, jika Anda setuju bahwa traffic dari IP tersebut penyalahgunaan, gunakan Halaman Tindakan keamanan untuk memblokir permintaan dari alamat IP yang merupakan sumber lalu lintas penyalahgunaan.

Untuk mendapatkan informasi lebih lanjut tentang penyalahgunaan, Anda dapat menggunakan salah satu referensi berikut: