Risikobewertung – Übersicht und Benutzeroberfläche

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Übersicht

Die Risikobewertung der erweiterten API-Sicherheit bewertet kontinuierlich API-Proxy-Konfigurationen und berechnet Sicherheitsbewertungen, um Sicherheitslücken in Ihren APIs zu identifizieren und zu beheben.

Die Risikobewertung hilft dabei:

  • Konsistente Sicherheitsstandards für alle APIs durchzusetzen
  • Fehlkonfigurationen in API-Einrichtungen zu erkennen.
  • Ihren Gesamtsicherheitsscore mit den empfohlenen Maßnahmen zu verbessern.
  • Sicherheitsprobleme über ein zentrales Dashboard schnell zu untersuchen und zu beheben

Mit der Risikobewertung können Sie nicht nur das aktuelle Risiko jedes Proxys, sondern auch die Sicherheitslage Ihrer APIs im Zeitverlauf bewerten. Eine schwankende Bewertungsnote kann darauf hinweisen, dass sich das API-Verhalten häufig ändert. Dazu gehören Proxys, die ohne die erforderlichen Sicherheitsrichtlinien bereitgestellt werden, Änderungen an freigegebenen Abläufen über Bereitstellungen von Flow-Hooks und Hinzufügungen zu FlowCallout-Richtlinien sowie Änderungen an Zielservern in Umgebungs- oder Proxy-Bereitstellungen.

Sie können auf die Risikobewertung entweder über die Apigee-Benutzeroberfläche, wie auf dieser Seite beschrieben, oder über die Security Scores and Profiles API zugreifen.

Informationen zu den Rollen, die zum Ausführen von Risikobewertungsaufgaben erforderlich sind, finden Sie unter Erforderliche Rollen für die Risikobewertung.

Wenn Sie diese Funktion verwenden möchten, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Risikobewertung 1/2

Die Risikobewertung ist in zwei Versionen verfügbar: Risikobewertung 1, die allgemein verfügbar ist, und Risikobewertung 2, die sich in der Vorabversion befindet. Für die Verwendung beider Versionen ist das Add-on „Erweiterte API-Sicherheit“ erforderlich.

Die wichtigsten Funktionsunterschiede zwischen Version 1 und Version 2 sind:

  • Version 2 umfasst:
    • Verbesserte Zuverlässigkeit, einschließlich schnellerer Bewertungsberechnung mit aktuellen Proxy-Daten
    • Berechnung der Punktzahl, ohne zuerst ein Sicherheitsprofil an eine Umgebung anhängen zu müssen
    • Vereinfachte Präsentation der Bewertung, basierend auf einer Skala von 0 % bis 100 %
    • Das Konzept der Gewichtung von Prüfungsfragen, das in Version 1 nicht unterstützt wird. Weitere Informationen finden Sie unter Konzepte und Bewertung der Risikobewertung.
    • Zusätzliche Bewertungen gegenüber Version 1, die weitere Richtlinien bei der Berechnung von Punktzahlen prüfen. Beispiel: Version 1 unterstützt fünf autorisierungs- und authentifizierungsbezogene Richtlinien, Version 2 acht. Außerdem enthält Version 2 eine Kategorie für die Traffic-Verwaltung mit zugehörigen Richtlinien und führt zusätzliche Richtlinienprüfungen durch, einschließlich des continueOnError-Attributs.
    • Prüfung verschachtelter freigegebener Abläufe und Ablauf-Hooks mit bis zu fünf Verschachtelungsebenen. In Version 1 werden Richtlinien, die über die Verknüpfung freigegebener Abläufe eingebunden sind, nicht ausgewertet.
    • Ersetzen von Zielbewertungen (Zielserverbewertungen) durch proxybasierte Bewertungen und Empfehlungen. Wenn ein Ziel in einem Proxy verwendet wird, enthalten die Sicherheitsbewertungen für diesen Proxy auch die Bewertung für den Zielserver.
    • Benutzerdefinierte Profile, die die neuen Bewertungsüberprüfungen von Version 2 sowie das Systemprofil google-default verwenden
  • Version 2 unterstützt folgende Elemente nicht:
    • Bewertung der Quelle basierend auf missbräuchlichem Traffic.
    • Messwerte und Monitoring werden derzeit nicht unterstützt.

Risikobewertung – Version 2

In diesem Abschnitt wird die Version 2 der Risikobewertung beschrieben, die neue Version der Risikobewertung. Einige Konzepte und Verhaltensweisen der Risikobewertung unterscheiden sich zwischen Version 1 und Version 2. Informationen zur Verwendung mit der Risikobewertung 1 finden Sie unter Risikobewertung 1.

Konzepte und Bewertungsmethodik der Risikobewertung 2

Die Sicherheitsbewertungen der Risikobewertung schätzen das Sicherheitsrisiko Ihrer APIs anhand der Bewertung von Sicherheitsbewertungen und ‑gewichtungen in einem Sicherheitsprofil.

Die Risikobewertung basiert auf:

  • Bewertungen und Bewertungsüberprüfungen: Die einzelnen Prüfungen, die an Proxys durchgeführt werden und anhand derer Proxys bewertet werden. Jede Prüfung hat außerdem ein Gewicht, das ihr bei der Bewertung anhand eines Proxys mehr oder weniger Bedeutung verleiht. Die Gewichtung wird pro Prüfung auf „gering“, „mittel“ oder „hoch“ festgelegt. Jede Gewichtung hat einen Punktwert, der zur Berechnung einer Bewertung verwendet wird:
    • Gering: 1
    • Mittel: 5
    • Hoch: 15
  • Sicherheitsprofil: Eine Reihe von Bewertungsüberprüfungen, anhand derer bereitgestellte Proxys in einer Umgebung bewertet werden.
  • Sicherheitspunktzahl:Die Punktzahl für einen Proxy nach der Bewertung anhand eines Sicherheitsprofils.

    Der Wert liegt zwischen 0% und 100%. 100% bedeutet, dass der Proxy vollständig den Bewertungen entspricht und keine relevanten Risiken gefunden wurden.

    Der Sicherheitswert ist im Wesentlichen die Summe aller Punkte, die für bestandene Bewertungsüberprüfungen vergeben wurden, geteilt durch die Gesamtzahl der möglichen Punkte im Profil. Der Wert ist ein gewichteter Durchschnitt. Je mehr Richtlinien das Sicherheitsprofil enthält, desto weniger Einfluss hat jede Bewertungsüberprüfung auf den Sicherheitswert.

    Das Gewicht der Bewertungsüberprüfung wirkt sich ebenfalls auf den Sicherheitswert aus. Höhere Gewichtungen haben einen größeren Einfluss auf die Berechnung und niedrigere Gewichtungen einen geringeren. Dabei wird der Punktwert für jede Gewichtung verwendet. Wenn die Gewichtungen für alle Bewertungsüberprüfungen im Sicherheitsprofil gleich sind (z. B. wenn alle Bewertungsüberprüfungen eine mittlere Gewichtung haben), wird die Sicherheitsbewertung als normaler Durchschnitt berechnet.

  • Schweregrad:Ein Schweregradwert für jeden bewerteten Proxy, der auf der Sicherheitspunktzahl basiert. Die möglichen Schweregrade sind hoch (0–50%), mittel (51–90%), niedrig (91–99%) und minimal (100%/keine Risiken basierend auf den Bewertungen im zugewiesenen Sicherheitsprofil).

Bewertungskategorien und ‑prüfungen

In dieser Tabelle sind die Bewertungskategorien und einzelnen Prüfungen aufgeführt, die Teil von Sicherheitsprofilen sein können. Außerdem werden Empfehlungen zur Behebung der einzelnen fehlgeschlagenen Bewertungen angezeigt.

Bewertungskategorie Beschreibung
Auth „Auth“ steht in diesem Fall sowohl für Autorisierung als auch für Authentifizierung. Bei Authentifizierungsbewertungen wird geprüft, ob Autorisierungs- und Authentifizierungsrichtlinien vorhanden sind und ob das continueOnError-Attribut für Authentifizierungsrichtlinien auf false festgelegt ist.
Prüfung der Bewertung / Name Beschreibung Empfehlung
Prüfung der Autorisierungsrichtlinien / auth-policies-check Prüfen Sie, ob eine der folgenden Authentifizierungsrichtlinien aktiviert ist: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS, oder VerifyJWT. Mindestens eine der erforderlichen Richtlinien für den Proxy
continueOnError-Prüfung in Authentifizierungsrichtlinien / continue-on-error-auth-policies-check Prüft, ob das Feld continueOnError für alle Auth-Richtlinien im Proxy aktiviert ist. Dabei wird geprüft, ob eine Autorisierungsrichtlinie verwendet wird. Diese Prüfung hat keine Auswirkungen, wenn im Proxy keine Autorisierungsrichtlinien vorhanden sind. Legen Sie für alle Auth-Richtlinien, die im Proxy enthalten sind, continueOnError auf „false“ fest.
AccessControl-Richtlinie – Prüfung / access-control-policy-check Ob die AccessControl-Richtlinie verwendet wird. Fügen Sie dem Proxy die AccessControl-Richtlinie hinzu.
BasicAuthentication-Richtlinienprüfung / basic-auth-policy-check Ob die BasicAuthentication-Richtlinie verwendet wird. Fügen Sie dem Proxy die BasicAuthentication-Richtlinie hinzu.
HMAC-Richtlinienprüfung / hmac-policy-check Ob die HMAC verwendet wird. Fügen Sie dem Proxy die HMAC-Richtlinie hinzu.
Prüfung der OAuthV2-Richtlinie / oauthv2-policy-check Ob die OAuth-Richtlinie verwendet wird. Fügen Sie dem Proxy die OAuthV2-Richtlinie hinzu.
ValidateSAMLAssertion-Richtlinienprüfung / validate-saml-assertion-policy-check Ob die Richtlinie ValidateSAMLAssertion verwendet wird. Fügen Sie dem Proxy die Richtlinie „ValidateSAMLAssertion“ hinzu.
VerifyAPIKey-Richtlinie / verify-api-key-policy-check Ob die VerifyAPIKey-Richtlinie verwendet wird. Fügen Sie dem Proxy die Richtlinie „VerifyAPIKey“ hinzu.
VerifyJWS-Richtlinie / verify-jws-policy-check Ob die VerifyJWS-Richtlinie verwendet wird. Fügen Sie dem Proxy die VerifyJWS-Richtlinie hinzu.
VerifyJWT-Richtlinie / verify-jwt-policy-check Ob die Richtlinie VerifyJWT verwendet wird. Fügen Sie dem Proxy die Richtlinie „VerifyJWT“ hinzu.
CORS Prüft, ob eine CORS-Richtlinie oder ein CORS-Header in der AssignMessage-Richtlinie vorhanden ist.
Prüfung der Bewertung / Name Beschreibung Empfehlung
CORS-Richtlinienprüfung / cors-policies-check Prüfen Sie, ob eine CORS-Richtlinie oder ein CORS-Header in der AssignMessage-Richtlinie vorhanden ist. Fügen Sie dem Proxy entweder die CORS-Richtlinie oder die AssignMessage-Richtlinie mit den CORS-Headern hinzu.
CORS-Richtlinienprüfung / cors-policy-check Prüfen Sie, ob eine CORS-Richtlinie verwendet wird. Fügen Sie dem Proxy die CORS-Richtlinie hinzu.
CORS-Richtlinienprüfung für AssignMessage / cors-assignmessage-policy-check Prüfen Sie, ob CORS-Header in einer AssignMessage-Richtlinie hinzugefügt werden. Fügen Sie dem Proxy die Richtlinie „AssignMessage“ mit CORS-Headern hinzu.
Mediation Prüft, ob eine Mediationsrichtlinie aktiviert ist.
Prüfung der Bewertung / Name Beschreibung Empfehlung
Prüfung der Mediationsrichtlinien / mediation-policies-check Prüfen Sie, ob eine der folgenden Mediationsrichtlinien aktiviert ist: SOAPMessageValidation oder OASValidation. Fügen Sie Ihrem Proxy eine der folgenden Mediationsrichtlinien hinzu: SOAPMessageValidation oder OASValidation.
Prüfung der SOAPMessageValidation-Richtlinie / soap-validation-policy-check Prüfen Sie, ob die SOAPMessageValidation-Richtlinie verwendet wird. Fügen Sie dem Proxy die SOAPMessageValidation-Richtlinie hinzu.
OASValidation-Richtlinienprüfung / oas-validation-policy-check Prüfen Sie, ob die Richtlinie OASValidation verwendet wird. Fügen Sie dem Proxy die Richtlinie „OASValidationCheck“ hinzu.
Ziel Prüft, ob Schutzmaßnahmen für Zielserver verwendet werden. Informationen zur Konfiguration von Zielservern finden Sie unter Load-Balancing über Back-End-Server.
Prüfung der Bewertung / Name Beschreibung Empfehlung
TLS-Prüfung des Zielservers / tls-target-server-check Prüfen Sie, ob TLS/SSL auf den Zielservern aktiviert ist. Konfigurieren Sie TLS/SSL auf allen Zielservern, die im Proxy für die sichere Kommunikation konfiguriert sind.
mTLS-Prüfung des Zielservers / mtls-target-server-check Prüfen Sie, ob mTLS auf den Zielservern aktiviert ist. Konfigurieren Sie mTLS auf allen Zielservern, die im Proxy konfiguriert sind, um für maximale Sicherheit zu sorgen.
Feldüberprüfung auf Zielserver erzwingen / target-enforce-field-check Prüfen Sie, ob das Feld Enforce in der Zielserverkonfiguration aktiviert ist. Konfigurieren Sie das Feld „Erzwingen“, um strenges SSL zwischen dem Apigee-Proxy und dem Ziel zu erzwingen.
Bedrohung Prüft, ob Richtlinien zur Bedrohungsprävention verwendet werden.
Prüfung der Bewertung / Name Beschreibung Empfehlung
Prüfung der Richtlinien zu Bedrohungen / threat-policies-check Prüfen Sie, ob eine der folgenden Richtlinien für Bedrohungen aktiviert ist: JSONThreatProtection, RegularExpressionProtection oder XMLThreatProtection. Fügen Sie Ihrem Proxy eine der erforderlichen Richtlinien zu Bedrohungen hinzu.
continueOnError-Prüfung in Bedrohungsrichtlinien / continue-on-error-threat-policies Prüfen Sie, ob das Feld continueOnError in allen Bedrohungsrichtlinien aktiviert ist, die im Proxy verwendet werden. Dabei wird geprüft, ob eine Bedrohungsrichtlinie verwendet wird. Diese Prüfung hat keine Auswirkungen, wenn im Proxy keine Bedrohungsrichtlinien vorhanden sind. Legen Sie für alle Bedrohungsrichtlinien, die im Proxy verwendet werden, continueOnError auf false fest.
JSONThreatProtection-Richtlinienprüfung / json-threat-protection-policy-check Prüfen Sie, ob die JSONThreatProtection verwendet wird. Fügen Sie dem Proxy die JSONThreatProtection-Richtlinie hinzu.
Prüfung der RegularExpressionProtection-Richtlinie / regex-protection-policy-check Prüfen Sie, ob die RegularExpressionProtection-Richtlinie verwendet wird. Fügen Sie dem Proxy die RegularExpressionProtection-Richtlinie hinzu.
Prüfung der XMLThreatProtection-Richtlinie / xml-threat-protection-policy-check Prüfen Sie, ob die XMLThreatProtection-Richtlinie verwendet wird. Fügen Sie dem Proxy die XMLThreatProtection-Richtlinie hinzu.
Traffic Prüft, ob Richtlinien zur Trafficverwaltung vorhanden sind.
Prüfung der Bewertung / Name Beschreibung Empfehlung
Prüfung der Richtlinien zur Trafficverwaltung / traffic-management-policies-check Prüfen Sie, ob eine der folgenden Richtlinien zur Traffic-Verwaltung aktiviert ist: LookupCache, Quota, ResponseCache oder SpikeArrest. Fügen Sie Ihrem Proxy eine der Traffic-Management-Richtlinien hinzu.
LookupCache-Richtlinienprüfung / lookup-cache-policy-check Prüfen Sie, ob die Richtlinie LookupCache aktiviert ist. Fügen Sie dem Proxy die LookupCache-Richtlinie hinzu.
Prüfung der Kontingentrichtlinie / quota-policy-check Prüfen Sie, ob die Kontingentrichtlinie verwendet wird. Fügen Sie dem Proxy die Kontingentrichtlinie hinzu.
ResponseCache-Richtlinienprüfung / response-cache-policy-check Prüfen Sie, ob die ResponseCache-Richtlinie verwendet wird. Fügen Sie dem Proxy die ResponseCache-Richtlinie hinzu.
SpikeArrest-Richtlinienprüfung / spike-arrest-policy-check Prüfen Sie, ob die SpikeArrest-Richtlinie verwendet wird. Fügen Sie dem Proxy die SpikeArrest-Richtlinie hinzu.

Richtlinienanhänge und Proxy-Sicherheitsbewertungen

Bei Proxy-Bewertungen basieren die Sicherheitsbewertungen auf den von Ihnen verwendeten Richtlinien. Wie diese Richtlinien bewertet werden, hängt davon ab, ob und wie sie mit Abläufen verknüpft sind:

  • Nur Richtlinien, die mit einem Ablauf (PreFlow, bedingter Ablauf, PostFlow in Proxys oder freigegebener Ablauf) verknüpft sind, wirken sich auf diese Punktzahlen aus. Richtlinien, die mit keinem Ablauf verknüpft sind, haben keine Auswirkungen auf diese Bewertungen.
  • Proxy-Punktzahlen berücksichtigen freigegebene Flows eines Proxys über Ablauf-Hooks und FlowCallout-Richtlinien im Proxy, wenn die FlowCallout-Richtlinie an einen Ablauf angehängt ist. Ist FlowCallout jedoch nicht mit einem Ablauf verknüpft, wirken sich Richtlinien aus dem verknüpften freigegebenen Ablauf nicht auf die Sicherheitsbewertungen aus.
  • Verkettete freigegebene Abläufe werden bis zu fünf Ebenen tief ausgewertet. Alle Richtlinien, die direkt im Proxy und in den ersten fünf Ebenen der freigegebenen Abläufe enthalten sind, werden auf den Sicherheitswert angerechnet.
  • Bei Richtlinien, die mit bedingten Abläufen verknüpft sind, berücksichtigt die Sicherheitspunktzahl nur, ob die Richtlinien vorhanden sind. Es wird nicht berücksichtigt, ob oder wie die Richtlinien zur Laufzeit erzwungen werden.

Sicherheitsprofile 2

Ein Sicherheitsprofil ist ein Satz von Sicherheitsbewertungen und ‑gewichtungen, anhand derer API-Proxys bewertet werden. Sie können entweder das Standardsicherheitsprofil von Apigee namens google-default verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die Sicherheitskategorien und Gewichtungen enthält, die Sie bewerten möchten.

Wenn Sie mit Sicherheitsprofilen arbeiten oder benutzerdefinierte Sicherheitsprofile erstellen, beachten Sie, dass mehrere Bewertungsüberprüfungen innerhalb einer Kategorie einzeln bewertet werden.

Wenn in einem Sicherheitsprofil beispielsweise drei Authentifizierungsrichtlinienprüfungen vorhanden sind und der geprüfte Proxy eine davon enthält, umfasst die Bewertungsnote die vollen Punkte für die eine gefundene Richtlinie und null Punkte für die anderen beiden Richtlinien, die nicht vorhanden sind. In diesem Beispiel erhält der geprüfte Proxy nicht die volle Punktzahl für die Prüfung der Authentifizierungsrichtlinie, obwohl er eine Authentifizierungsrichtlinie enthält. Seien Sie bei der Interpretation des Sicherheitsbewertungsscores und der Erstellung des Sicherheitsprofils aufgrund dieses Verhaltens vorsichtig.

Standardsicherheitsprofil

Die erweiterte API-Sicherheit bietet ein Standardsicherheitsprofil, das alle Bewertungen enthält. Wenn Sie das Standardprofil verwenden, basieren die Sicherheitsbewertungen auf allen Kategorien.

Das Standardsicherheitsprofil google-default kann nicht bearbeitet oder gelöscht werden.

Benutzerdefiniertes Sicherheitsprofil

Sie können benutzerdefinierte Sicherheitsprofile erstellen, die nur die von Ihnen ausgewählten Bewertungsüberprüfungen und ‑gewichte enthalten, um sie anhand von Proxys zu bewerten. Eine Anleitung zum Erstellen und Verwenden benutzerdefinierter Sicherheitsprofile über die Apigee-Benutzeroberfläche finden Sie unter Benutzerdefinierte Profile in der Apigee-Benutzeroberfläche verwalten.

Für benutzerdefinierte Sicherheitsprofile:

  • Der Profilname (auch Profil-ID genannt) ist erforderlich und wird in der Zusammenfassungstabelle bei der Auflistung von Profilen angezeigt. Der Name muss 1 bis 63 Zeichen lang sein, wobei es sich um Kleinbuchstaben, um die Ziffern 0 bis 9 oder um Bindestriche handeln kann. Das erste Zeichen muss ein Kleinbuchstabe sein. Das letzte Zeichen muss ein Kleinbuchstabe oder eine Ziffer sein. Benutzerdefinierte Sicherheitsprofile müssen eindeutige Namen haben und dürfen nicht mit vorhandenen Profilnamen identisch sein.
  • Die Profilbeschreibung ist optional und darf 1.000 Zeichen nicht überschreiten.

Einschränkungen und bekannte Probleme bei Sicherheitsbewertungen der Version 2

Für Sicherheitsbewertungen gelten die folgenden Einschränkungen und bekannten Probleme:

  • Sicherheitspunktzahlen werden nur generiert, wenn in einer Umgebung Proxys bereitgestellt wurden.
  • Neu bereitgestellte Proxys und neu aktivierte Organisationen und Umgebungen zeigen Bewertungen nicht sofort an.
  • Sie können maximal 100 benutzerdefinierte Profile pro Organisation erstellen.
  • Benachrichtigungen über neue Bewertungsberechnungen und Punktzahlen werden derzeit nicht unterstützt.

Datenverzögerungen

Die Daten, auf denen die Sicherheitswerte von Advanced API Security basieren, haben die folgenden Verarbeitungszeiträume, bevor Ergebnisse verfügbar werden:

  • Wenn Sie Advanced API Security zum ersten Mal in einer Organisation aktivieren, dauert es einige Zeit, bis Bewertungen für vorhandene Proxys und Ziele in einer Umgebung angezeigt werden. Als Richtlinie sollten Sie eine Wartezeit von 30 bis 90 Minuten bei Organisationen mit Abo und weniger Zeit bei einem „Pay-as-you-go“-Tarif erwarten.
  • Es kann mindestens 60 Sekunden und bei sehr großen Umgebungen bis zu 5 Minuten dauern, bis neue Ereignisse, die sich auf Proxys (Bereitstellung und Aufhebung der Bereitstellung) und Ziele (Erstellen, Aktualisieren, Löschen) in einer Umgebung beziehen, in der Bewertung der Umgebung widergespiegelt werden.

Risikobewertungen in der Apigee-Benutzeroberfläche aufrufen

Auf der Seite Risikobewertung werden Punktzahlen angezeigt, mit denen die Sicherheit Ihrer API in den einzelnen Umgebungen gemessen wird.

So öffnen Sie die Seite Risikobewertung:

  1. Öffnen Sie die Apigee-UI in der Cloud Console.
  2. Wählen Sie Erweiterte API-Sicherheit > Risikobewertung aus.

Dadurch wird die Seite Risikobewertung angezeigt:

Hauptseite der Risikobewertung

Die Seite enthält die folgenden Abschnitte:

  • Umgebung: Wählen Sie die Umgebung aus, in der Sie Bewertungen aufrufen möchten.
  • Sicherheitsprofil: Wählen Sie das Standardprofil (google-default) oder ein benutzerdefiniertes Profil aus, falls verfügbar. Weitere Informationen zu Sicherheitsprofilen finden Sie unter Sicherheitsprofile.
  • Bereitgestellte Proxys nach Schweregrad: Nachdem die Umgebung festgelegt wurde, wird auf der Seite eine Zusammenfassung der Schweregrade über die Proxys in dieser Umgebung hinweg angezeigt. Weitere Informationen finden Sie unter Konzepte und Bewertung der Risikobewertung.
  • Bewertungsdetails: Zeigt das Sicherheitsprofil, Datum und Uhrzeit der Bewertung, die Gesamtzahl der bewerteten Konfigurationen und die Gesamtzahl der bereitgestellten Proxys für die ausgewählte Umgebung an. Die Gesamtzahl der geprüften Konfigurationen entspricht der Gesamtzahl der durchgeführten Prüfungen. Diese Anzahl kann höher sein als die Anzahl der Bewertungen in einem Profil. Bei einigen Bewertungen, z. B. bei der Prüfung, ob das Attribut „continueOnError“ auf false festgelegt ist, wird auch geprüft, ob die zugehörigen Richtlinien vorhanden und aktiviert sind.
  • Bereitgestellte Proxys: Eine Zusammenfassung der bereitgestellten Proxys in der Umgebung und derer Risikobewertungen:

    • Proxy: Name des Proxys.
    • Schweregrad: Der Schweregrad der Risikobewertung für den Proxy. Weitere Informationen finden Sie unter Sicherheitsbewertungen/Schweregrade.

    • Punktzahl: Die Risikobewertung für den Proxy. Weitere Informationen finden Sie unter Konzepte und Bewertung der Risikobewertung.
    • Version: Die Proxyversion, für die die Bewertung vorgenommen wurde.
    • Fehlgeschlagene Bewertungen nach Gewichtung: Die Anzahl der fehlgeschlagenen Bewertungen, gruppiert nach Gewichtung.
    • Empfehlungen: Konkrete Empfehlungen zur Verbesserung des Werts für den Proxy. Klicken Sie auf die Nummer, um die Empfehlungen aufzurufen.

Benutzerdefinierte Profile in der Apigee-Benutzeroberfläche verwalten

In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Profile über die Apigee-Benutzeroberfläche aufrufen, erstellen, bearbeiten und löschen. Beachten Sie die Einschränkungen für benutzerdefinierte Profile, die unter Einschränkungen von Sicherheitspunktzahlen aufgeführt sind.

Sehen Sie sich zuerst die Risikobewertungen in der Apigee-Benutzeroberfläche an.

Benutzerdefinierte Profile erstellen und bearbeiten

Wählen Sie auf dem Bildschirm „Risikobewertung“ den Tab Sicherheitsprofile aus. Wenn Sie ein vorhandenes Profil bearbeiten möchten, klicken Sie auf den Profilnamen, um die Profildetails aufzurufen, und dann auf Bearbeiten. Alternativ können Sie in der Zeile für das Profil im Aktionsmenü die Option Bearbeiten auswählen.

Wenn Sie ein neues benutzerdefiniertes Profil erstellen möchten, klicken Sie in der Liste der Sicherheitsprofile auf + Erstellen.

Liste der Sicherheitsprofile

Wenn Sie ein benutzerdefiniertes Profil erstellen oder bearbeiten, können Sie die folgenden Werte festlegen:

  • Name: Der Name des Sicherheitsprofils. Er muss für das Projekt eindeutig sein.
  • Beschreibung: (optional). Eine Beschreibung für das Sicherheitsprofil.
  • Bewertungsüberprüfungen und Bewertungsgewichte: Eine oder mehrere Bewertungsüberprüfungen, die anhand von Proxys bewertet werden sollen, und ein Gewicht für jede. Eine Liste der verfügbaren Bewertungsüberprüfungen finden Sie unter Konzepte und Bewertung der Risikobewertung. Wenn Sie dem Profil weitere Prüfungen und Gewichtungen hinzufügen möchten, klicken Sie auf + Hinzufügen. Wenn Sie ein Paar aus Kontrollkästchen und Gewicht löschen möchten, klicken Sie in der entsprechenden Zeile auf das Papierkorbsymbol.

Doppelte Profile

Wenn Sie ein vorhandenes Profil duplizieren möchten (um ein neues benutzerdefiniertes Profil zu erstellen), wählen Sie in der Zeile für das Profil im Aktionsmenü die Option Duplizieren aus. Sie können auch in der Liste der Profile auf den Profilnamen klicken, um die Profilmetadaten aufzurufen, und dann auf Duplizieren klicken.

Der Name des neuen benutzerdefinierten Profils darf nicht mit dem duplizierten Profil übereinstimmen. Informationen zu den Anforderungen an die Benennung von Sicherheitsprofilen finden Sie unter Benutzerdefiniertes Sicherheitsprofil.

Benutzerdefinierte Profile löschen

Wenn Sie ein vorhandenes benutzerdefiniertes Profil löschen möchten, wählen Sie in der Zeile für das Profil im Aktionsmenü die Option Löschen aus oder klicken Sie in der Liste der Profile auf den Profilnamen, um die Profilmetadaten aufzurufen, und dann auf Löschen.

Das Standardsystemprofil (google-default) kann nicht gelöscht werden.

Das Löschen eines benutzerdefinierten Profils ist sofort wirksam. Es ist dann nicht mehr möglich, Proxys anhand dieses Profils zu bewerten oder frühere Bewertungen anhand dieses benutzerdefinierten Profils aufzurufen.

Risikobewertung 1

In diesem Abschnitt wird die Risikobewertung 1 beschrieben. Informationen zur Risikobewertung 2 finden Sie unter Risikobewertung 2.

Sicherheitspunktzahlen

Sicherheitspunktzahlen bewerten die Sicherheit Ihrer APIs sowie deren Sicherheitsstatus im Zeitverlauf. Beispielsweise kann eine stark schwankende Punktzahl darauf hinweisen, dass sich das API-Verhalten häufig ändert, was vielleicht nicht erwünscht ist. Zu den Änderungen in einer Umgebung, die zu einem Rückgang der Punktzahl führen können, gehören:

  • Das Deployment vieler API-Proxys ohne die erforderlichen Sicherheitsrichtlinien.
  • Ein Anstieg des Missbrauchs-Traffics aus schädlichen Quellen.

Die Beobachtung von Änderungen der Sicherheitspunktzahlen im Zeitverlauf ist ein guter Indikator für unerwünschte oder verdächtige Aktivitäten in der Umgebung.

Sicherheitspunktzahlen werden anhand Ihres Sicherheitsprofils berechnet, das die Sicherheitskategorien angibt, die Ihre Bewertungen bewerten sollen. Sie können das Standardsicherheitsprofil von Apigee verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die Sicherheitskategorien enthält, die Ihnen am wichtigsten sind.

Bewertungstypen der Sicherheitspunktzahlen

Es gibt drei Bewertungstypen, die zur Gesamtsicherheitspunktzahl beitragen, der von der Advanced API Security berechnet wird:

  • Quellbewertung: Bewertet den erkannten Missbrauchs-Traffic mithilfe der Erkennungsregeln von Advanced API Security. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

  • Proxybewertung: Es wird geprüft, wie gut Proxys verschiedene Schutzrichtlinien in den folgenden Bereichen implementiert haben:

    Weitere Informationen finden Sie unter Auswirkungen von Richtlinien auf Proxy-Security Scores.

  • Zielbewertung: Prüft, ob mTLS (Mutual Transport Layer Security) mit den Zielservern in der Umgebung konfiguriert ist.

Jedem dieser Bewertungstypen wird eine eigene Punktzahl zugewiesen. Die Gesamtpunktzahl ist der Durchschnitt der Punktzahlen der einzelnen Bewertungstypen.

Auswirkungen von Richtlinien auf Proxy-Security Scores

Bei Proxy-Bewertungen basieren die Sicherheitsbewertungen auf den von Ihnen verwendeten Richtlinien. Wie diese Richtlinien bewertet werden, hängt davon ab, ob und wie sie mit Abläufen verknüpft sind:

  • Nur Richtlinien, die mit einem Ablauf (PreFlow, bedingter Ablauf, PostFlow in Proxys oder freigegebener Ablauf) verknüpft sind, wirken sich auf diese Punktzahlen aus. Richtlinien, die mit keinem Ablauf verknüpft sind, haben keine Auswirkungen auf diese Bewertungen.
  • Proxy-Punktzahlen berücksichtigen freigegebene Flows eines Proxys über Ablauf-Hooks und FlowCallout-Richtlinien im Proxy, wenn die FlowCallout-Richtlinie an einen Ablauf angehängt ist. Ist FlowCallout jedoch nicht mit einem Ablauf verknüpft, wirken sich Richtlinien aus dem verknüpften freigegebenen Ablauf nicht auf die Sicherheitsbewertungen aus.
  • Die Verkettung von freigegebenen Abläufen wird nicht unterstützt. Richtlinien, die über die gemeinsame Ablaufverkettung angeschlossen sind, werden bei der Berechnung der Sicherheitsbewertung nicht berücksichtigt.
  • Bei Richtlinien, die mit bedingten Abläufen verknüpft sind, berücksichtigt die Sicherheitspunktzahl nur, ob die Richtlinien vorhanden sind. Es wird nicht berücksichtigt, ob oder wie die Richtlinien zur Laufzeit erzwungen werden.

Sicherheitsprofile

Ein Sicherheitsprofil ist ein Satz von Sicherheitskategorien (unten beschrieben), nach denen Ihre APIs bewertet werden sollen. Ein Profil kann eine beliebige Teilmenge der Sicherheitskategorien enthalten. Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst der Umgebung ein Sicherheitsprofil hinzufügen. Sie können entweder das Standardsicherheitsprofil von Apigee verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die für Sie wichtigen Sicherheitskategorien enthält.

Standardsicherheitsprofil

Advanced API Security bietet ein Standardsicherheitsprofil, das alle Sicherheitskategorien enthält. Wenn Sie das Standardprofil verwenden, basieren die Sicherheitspunktzahlen auf allen Kategorien.

Benutzerdefiniertes Sicherheitsprofil

Mit benutzerdefinierten Sicherheitsprofilen können Sie die Sicherheitspunktzahlen nur auf die Sicherheitskategorien abstimmen, die Sie in der Bewertung berücksichtigen möchten. Informationen zum Erstellen eines benutzerdefinierten Profils finden Sie unter Sicherheitsprofile erstellen und bearbeiten.

Sicherheitskategorien

Sicherheitspunktzahlen basieren auf einer Bewertung der unten beschriebenen Sicherheitskategorien.

Kategorie Beschreibung Empfehlung
Missbrauch Prüfung auf Missbrauch, wobei als Missbrauch sämtliche Anfragen gelten, die an die API gesendet werden, aber nicht für den Zweck der API vorgesehen sind. Hierzu zählen beispielsweise eine große Anzahl an Anfragen, Datenextraktion und Missbrauch im Zusammenhang mit der Autorisierung. Siehe Empfehlungen bei Missbrauch
Autorisierung Prüft, ob eine Autorisierungsrichtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:
CORS Prüft, ob eine CORS-Richtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine CORS hinzu.
MTLS Prüft, ob mTLS (Mutual Transport Layer Security) für den Zielserver konfiguriert ist. Siehe mTLS-Konfiguration des Zielservers.
Mediation Prüft, ob eine Mediationsrichtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:
Bedrohung Prüft, ob eine Richtlinie zum Schutz vor Bedrohungen vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:

Einschränkungen von Sicherheitspunktzahlen (Version 1)

Für Sicherheitspunktzahlen gelten die folgenden Einschränkungen:

  • Sie können bis zu 100 benutzerdefinierte Profile pro Organisation erstellen.
  • Sicherheitspunktzahlen werden nur generiert, wenn eine Umgebung Proxys, Zielserver und Traffic enthält.
  • Neu bereitgestellte Proxys zeigen nicht sofort Punktzahlen an.

Datenverzögerungen

Die Daten, auf denen die Sicherheitswerte von Advanced API Security basieren, haben aufgrund der Art und Weise, wie die Daten verarbeitet werden, die folgenden Verzögerungen:

  • Wenn Sie Advanced API Security in einer Organisation aktivieren, kann es bis zu sechs Stunden dauern, bis die Punktzahlen für vorhandene Proxys und Ziele in einer Umgebung angezeigt werden.
  • Es kann bis zu 6 Stunden dauern, bis neue Ereignisse, die sich auf Proxys (Bereitstellung und Aufhebung der Bereitstellung) und Ziele (Erstellen, Aktualisieren, Löschen) in einer Umgebung beziehen, in der Bewertung der Umgebung widergespiegelt werden.
  • Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Dadurch kommt es bei der Bewertung der Missbrauchsdaten zu einer Verarbeitungsverzögerung von etwa 15 bis 20 Minuten.

Seite Risikobewertung öffnen

Auf der Seite Risikobewertung werden Punktzahlen angezeigt, mit denen die Sicherheit Ihrer API in den einzelnen Umgebungen gemessen wird.

Das Laden der Seite Risikobewertung kann einige Minuten dauern. Das Laden der Seite dauert in Umgebungen mit hohem Traffic und einer großen Anzahl von Proxys und Zielen länger.

Apigee in der Cloud Console

So öffnen Sie die Seite Risikobewertung:

  1. Öffnen Sie die Apigee-UI in der Cloud Console.
  2. Wählen Sie Erweiterte API-Sicherheit > Risikobewertung aus.

Dadurch wird die Seite Risikobewertung angezeigt:

Hauptseite der Risikobewertung

Die Seite hat zwei Tabs, die in den folgenden Abschnitten beschrieben werden:

Sicherheitspunktzahlen ansehen

Klicken Sie auf den Tab Sicherheitspunktzahlen, um die Sicherheitspunktzahlen aufzurufen.

Für einer Umgebung werden keine Punktzahlen berechnet, bis Sie ein Sicherheitsprofil anhängen, wie unter Sicherheitsprofil an eine Umgebung anhängen beschrieben. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können ein benutzerdefiniertes Profil erstellen, wie unter Sicherheitsprofile erstellen und bearbeiten beschrieben.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

  • Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
  • Risikostufe: Die Risikostufe für die Umgebung. Sie kann niedrig, moderat oder hoch sein.
  • Sicherheitspunktzahl: Die Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
  • Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen.
  • Profil: Der Name des angehängten Sicherheitsprofils.
  • Zuletzt aktualisiert: Das letzte Datum, an dem die Sicherheitspunktzahlen aktualisiert wurden.
  • Aktionen: Klicken Sie auf das Dreipunkt-Menü in der Zeile, damit die Umgebung folgende Aktionen ausführen kann:
    • Profil anhängen: Hängen Sie die Umgebung an ein Sicherheitsprofil an.
    • Profil trennen: Trennen Sie ein Sicherheitsprofil von der Umgebung.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

  1. Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
  2. Klicken Sie auf Profil anhängen.
  3. Gehen Sie im Dialogfeld Profil anhängen so vor:
    1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
    2. Klicken Sie auf Zuweisen.

Wenn Sie ein Sicherheitsprofil in einer Umgebung anhängen, beginnt die erweiterte API-Sicherheit sofort mit der Bewertung und der Vergabe der Punktzahl. Beachten Sie, dass es einige Minuten dauern kann, bis die Punktzahl angezeigt wird.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

  • Quellbewertung
  • Proxybewertung
  • Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher die Bewertung, desto geringer das Sicherheitsrisiko.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu auf der Hauptseite Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Grafik: Sicherheitspunktzahlen in einer Umgebung.

In der Ansicht werden vier Tabs angezeigt:

Übersicht

Auf dem Tab Übersicht wird Folgendes angezeigt:

  • Wichtige Highlights für jede Bewertung:
    • Proxy: Zeigt die beste Empfehlung für Proxys in der Umgebung an. Klicken Sie auf Proxy bearbeiten, um den Proxy-Editor von Apigee zu öffnen. Dort können Sie die Empfehlung implementieren.
    • Ziel: Zeigt die beste Empfehlung für Ziele in der Umgebung an. Klicken Sie auf Zielserver anzeigen, um den Tab Zielserver auf der Seite Verwaltung > Umgebungen in der Apigee-Benutzeroberfläche zu öffnen.
    • Quelle: Zeigt den erkannten Missbrauchstraffic an. Klicken Sie auf Erkannter Traffic, um den Tab Erkannter Traffic auf der Seite zur Missbrauchserkennung aufzurufen.
  • Zusammenfassungen für Quellbewertung, Proxybewertung und Zielbewertung, einschließlich:
    • Die neueste Punktzahl für jeden Bewertungstyp.
    • Im Bereich Quellbewertung werden der erkannte Missbrauch und der IP-Adressbereich angezeigt.
    • Die Bereiche Proxybewertung und Zielbewertung zeigen das Risikoniveau für diese Bewertungen an.
  • Klicken Sie in einem der Zusammenfassungsbereiche auf Prüfungsdetails ansehen, um die Details für diesen Bewertungstyp aufzurufen:
  • Bewertungsverlauf: Zeigt ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in einem letzten Zeitraum an, der 3 Tage oder 7 Tage betragen kann. Standardmäßig werden in der Grafik drei Tage angezeigt. In dem Diagramm wird auch die durchschnittliche Gesamtpunktzahl über denselben Zeitraum angezeigt.

Beachten Sie, dass eine Punktzahl nur dann für den Bewertungstyp berechnet wird, wenn etwas bewertet werden muss. Sind beispielsweise keine Zielserver vorhanden, wird keine Punktzahl für Ziele gemeldet.

Quellbewertung

Klicken Sie auf den Tab Quellbewertung, um die Bewertungsdetails für die Umgebung aufzurufen.

Quellbewertungsbereich.

Klicken Sie rechts neben Bewertungsdetails auf das Erweiterungssymbol, um ein Diagramm der Quellbewertung für einen letzten Zeitraum aufzurufen. Sie können drei Tage oder sieben Tage festlegen.

Im Bereich Quelle wird eine Tabelle mit den folgenden Informationen angezeigt:

  • Kategorie: Die Kategorie für die Bewertung.
  • Risikostufe: Die Risikostufe für die Kategorie.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für die Missbrauchskategorie.
  • Empfehlungen: Die Anzahl der Empfehlungen für die Kategorie.
Quelldetails

Im Bereich Quelldetails werden Details zum erkannten Missbrauchstraffic in der Umgebung angezeigt, einschließlich

  • Trafficdetails:
    • Erkannter Traffic: Die Anzahl der API-Aufrufe, die von einer IP-Adresse stammen, die als Missbrauchsquelle erkannt wurde.
    • Gesamter Traffic: Die Gesamtzahl der durchgeführten API-Aufrufe.
    • Anzahl erkannter IP-Adressen:Die Anzahl verschiedener IP-Adressen, die als Missbrauchsquellen erkannt wurden.
    • Beobachtungszeit (UTC): Die Startzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
    • Ende der Beobachtung (UTC): Die Endzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
  • Bewertungsdatum: Datum und Uhrzeit der Bewertung.
  • Die Empfehlung zur Verbesserung der Punktzahl. Weitere Empfehlungen zum Umgang mit Missbrauchstraffic finden Sie unter Empfehlungen bei Missbrauch.

Klicken Sie auf die Schaltfläche Sicherheitsaktion erstellen, um eine Sicherheitsaktion zum Behandeln von Problemen zu erstellen, die von der Quellbewertung ausgelöst werden.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung auf den Tab Proxybewertung:

Bereich "Proxybewertung“

Im Bereich Proxy wird eine Tabelle mit den folgenden Informationen angezeigt:

  • Proxy: Der zu bewertende Proxy.
  • Risikostufe: Die Risikostufe für den Proxy.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für den Proxy.
  • Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für den Proxy zu verbessern.
  • Empfehlungen: Die Anzahl der Empfehlungen für den Proxy.

Klicken Sie in der Tabelle auf den Namen eines Proxys, um den Proxy-Editor zu öffnen, in dem Sie empfohlene Änderungen am Proxy vornehmen können.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Proxy auf die Spalte Prüfung erforderlich, um die Empfehlungen für einen Proxy aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

  • Bewertungsdatum: Datum und Uhrzeit der Bewertung.
  • Die Empfehlung zur Verbesserung der Punktzahl.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert (Mutual Transport Layer Security). Zielpunktzahlen werden so zugewiesen:

  • Kein TLS vorhanden: 200
  • One-Way-TLS vorhanden: 900
  • Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung auf den Tab Zielbewertung:

Bereich "Zielbewertung".

Im Bereich Ziel werden die folgenden Informationen angezeigt:

  • Ziel: Der Name des Ziels.
  • Risikostufe: Die Risikostufe für das Ziel.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für das Ziel.
  • Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für das Ziel zu verbessern.
  • Empfehlungen: Die Anzahl der Empfehlungen für das Ziel.

Klicken Sie in der Tabelle auf den Namen eines Ziels, um den Tab Zielserver in der Apigee-Benutzeroberfläche auf der Seite Verwaltung > Umgebungen zu öffnen. die empfohlenen Aktionen auf das Ziel anwenden.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Ziel in die Spalte Prüfung erforderlich, um die Empfehlungen für ein Ziel aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

  • Bewertungsdatum: Datum und Uhrzeit der Bewertung.
  • Die Empfehlung zur Verbesserung der Punktzahl.

Sicherheitsprofile erstellen und bearbeiten

Wählen Sie zum Erstellen oder Bearbeiten eines -Sicherheitsprofils den Tab Sicherheitsprofile aus.

Tab "Sicherheitsprofile".

Der Tab Sicherheitsprofile zeigt eine Liste der Sicherheitsprofile an, einschließlich der folgenden Informationen:

  • Name: Der Name des Profils.
  • Kategorien: Die im Profil enthaltenen Sicherheitskategorien.
  • Beschreibung: Die optionale Beschreibung des Profils.
  • Umgebungen: Die Umgebungen, an die das Profil angehängt ist. Wenn diese Spalte leer ist, wird das Profil keiner Umgebung zugeordnet.
  • Zuletzt aktualisiert (UTC): Das Datum und die Uhrzeit der letzten Aktualisierung der Aktion.
  • Aktionen: Ein Menü mit folgenden Elementen:

Details eines Sicherheitsprofils ansehen

Klicken Sie auf den Namen eines Sicherheitsprofils in der Zeile für das Profil, um die Details aufzurufen. Daraufhin werden die Profildetails wie unten dargestellt angezeigt.

Details zum Sicherheitsprofil.

In der ersten Zeile des Tabs Details wird die Überarbeitungs-ID angezeigt: die neueste Überarbeitungsnummer des Profils. Wenn Sie ein Profil bearbeiten und seine Sicherheitskategorien ändern, wird die Überarbeitungs-ID um 1 erhöht. Das Ändern der Profilbeschreibung erhöht jedoch nicht die Überarbeitungs-ID.

Die Zeilen in denen in der Zeile für das Profil auf dem Tab Sicherheitsprofile dieselben Informationen angezeigt werden.

Die Ansicht mit den Profildetails enthält auch zwei Schaltflächen mit den Labels Bearbeiten und Löschen, die Sie zum Bearbeiten oder verwenden können. Sicherheitsprofil löschen.

Verlauf

Klicken Sie auf den Tab Verlauf, um den Verlauf des Profils aufzurufen. Dadurch wird eine Liste aller Überarbeitungen des Profils angezeigt. Für jede Überarbeitung wird Folgendes in der Liste angezeigt:

  • Überarbeitungs-ID: Die Überarbeitungsnummer.
  • Kategorien: Die Sicherheitskategorien, die in dieser Überarbeitung des Profils enthalten sind.
  • Zuletzt aktualisiert (UTC): Datum und Uhrzeit in UTC, zu der die Überarbeitung erstellt wurde.

Benutzerdefiniertes Sicherheitsprofil erstellen

So erstellen Sie ein neues benutzerdefiniertes Sicherheitsprofil:

  1. Klicken Sie oben auf der Seite auf Erstellen.
  2. Geben Sie im daraufhin geöffneten Dialogfeld die folgenden Informationen ein:
    • Name: Der Name des Profils. Der Name muss aus 1 bis 63 Kleinbuchstaben, Ziffern oder Bindestrichen bestehen und mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden. Der Name muss sich vom Namen eines vorhandenen Profils unterscheiden.
    • (Optional) Beschreibung: Eine Beschreibung des Profils.
    • Wählen Sie im Feld Kategorien die Bewertungskategorien aus, die Sie in das Profil aufnehmen möchten.

Benutzerdefiniertes Sicherheitsprofil bearbeiten

So bearbeiten Sie ein benutzerdefiniertes Sicherheitsprofil:

  1. Klicken Sie am Ende der Zeile für das Sicherheitsprofil auf das Menü Aktionen.
  2. Wählen Sie Bearbeiten aus.
  3. Auf der Seite Sicherheitsprofil bearbeiten können Sie Folgendes ändern:
    • Beschreibung: Die optionale Beschreibung des Sicherheitsprofils.
    • Kategorien: Die für das Profil ausgewählten Sicherheitskategorien. Klicken Sie auf das Drop-down-Menü und ändern Sie die ausgewählten Kategorien, indem Sie sie im Menü auswählen oder die Auswahl aufheben.
  4. Klicken Sie auf OK.

Benutzerdefiniertes Sicherheitsprofil löschen

Zum Löschen eines Sicherheitsprofils klicken Sie am Ende der Zeile für das Profil auf Aktionen und wählen Sie Löschen aus. Wenn Sie ein Profil löschen, wird es auch von allen Umgebungen getrennt.

Klassische Apigee-UI

So öffnen Sie die Ansicht Sicherheitspunktzahlen:

  1. Öffnen Sie die klassische Apigee-Benutzeroberfläche.
  2. Wählen Sie Analysieren > API-Sicherheit > Sicherheitspunktzahlenaus.

Dadurch wird die Ansicht Sicherheitspunktzahlen angezeigt:

Hauptansicht der Sicherheitspunktzahlen.

Für eine Umgebung werden keine Punktzahlen berechnet, bis Sie an die Umgebung ein Sicherheitsprofil anhängen. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können mit der Apigee API ein benutzerdefiniertes Profil erstellen. Weitere Informationen finden Sie unter Benutzerdefiniertes Sicherheitsprofil verwenden.

In der obigen Abbildung wurde kein Sicherheitsprofil an die Umgebung integration angehängt, sodass in der Spalte Profilname für diese Umgebung Nicht festgelegt angezeigt wird.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

  • Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
  • Neueste Punktzahl: Die neueste Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
  • Risikostufe: Die Risikostufe (niedrig, moderat oder hoch).
  • Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen. Jede Empfehlung entspricht einer Zeile in der Tabelle Prüfung erforderlich.
  • Profilname: Der Name des Sicherheitsprofils.
  • Bewertungsdatum: Das letzte Datum, an dem die Sicherheitspunktzahlen berechnet wurden.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

  1. Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
  2. Klicken Sie auf Profil anhängen.
  3. Gehen Sie im Dialogfeld Profil anhängen so vor:
    1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
    2. Klicken Sie auf Zuweisen.

Wenn Sie ein Sicherheitsprofil in einer Umgebung anhängen, beginnt die erweiterte API-Sicherheit sofort mit der Bewertung und der Vergabe der Punktzahl. Beachten Sie, dass es einige Minuten dauern kann, bis die Punktzahl angezeigt wird.

Die folgende Abbildung zeigt die Ansicht Sicherheitspunktzahlen mit einer Umgebung, an die das Standardsicherheitsprofil angehängt ist:

Grafik: Hauptfenster der Sicherheitspunktzahlen mit einem angehängten Sicherheitsprofil.

Die Zeile für die Umgebung lokal zeigt nun die neueste Sicherheitspunktzahl, das Risikoniveau, die Anzahl der Empfehlungen für Sicherheitsmaßnahmen und das Bewertungsdatum der Punktzahl an.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

  • Quellbewertung
  • Proxybewertung
  • Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher der Wert, desto besser die Sicherheitsbewertung.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu in der Hauptansicht Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Grafik: Sicherheitspunktzahlen in einer Umgebung.

Die Ansicht wird angezeigt:

  • Die neuesten Punktzahlen für Quellen, Proxys und Ziele. Klicken Sie in einem dieser Bereiche auf Prüfungsdetails ansehen, um die Bewertung für diesen Typ aufzurufen.
  • Verlauf von Umgebungswerten: Es werden ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in den letzten 5 Tagen sowie die durchschnittliche Gesamtpunktzahl im selben Zeitraum angezeigt.
  • In der Tabelle „Prüfung erforderlich“ sind die Bewertungstypen Ihrer APIs aufgeführt, bei denen Sie die Sicherheit verbessern können.

Beachten Sie, dass eine Punktzahl nur dann für den Bewertungstyp berechnet wird, wenn etwas bewertet werden muss. Sind beispielsweise keine Zielserver vorhanden, wird keine Punktzahl für Ziele gemeldet.

In den folgenden Abschnitten wird beschrieben, wie Sie die Bewertungen für jeden Typ aufrufen:

Tabelle „Prüfung erforderlich“

In der oben aufgeführten Tabelle Prüfung erforderlich werden die API-Kategorien aufgelistet, deren Punktzahlen unter 1200 liegen, zusammen mit:

  • Die neueste Punktzahl für die Kategorie
  • Der Risikostufe für die Kategorie: niedrig, moderat oder hoch
  • Dem Prüfungsdatum
  • Dem Bewertungstyp

Empfehlungen aufrufen

Advanced API Security bietet für jede Zeile in der Tabelle eine Empfehlung zur Verbesserung der Punktzahl. Sie können sich die Empfehlungen in den Ansichten Bewertungsdetails für jeden Typ (Quellen, Proxys oder Ziele) ansehen, wie in den folgenden Abschnitten beschrieben:

Sie haben folgende Möglichkeiten, um die Ansicht Bewertungsdetails zu öffnen:

  • Klicken Sie in einem der Bereiche der Hauptansicht Sicherheitspunktzahlen auf Bewertungsdetails ansehen.
  • In der Tabelle „Prüfung erforderlich“:
    1. Maximieren Sie die Kategoriengruppe in der Tabelle:

      Auth-Zeile in der Tabelle "Prüfung erforderlich".

    2. Klicken Sie auf die Kategorie, für die Sie die Empfehlung aufrufen möchten. Dadurch wird die Ansicht mit den Bewertungsdetails geöffnet, die der Empfehlung entspricht.

Quellbewertung

Die Quellbewertung berechnet eine Missbrauchspunktzahl für die Umgebung. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

Klicken Sie im Bereich Quellen auf Ansehen, um die Ansicht API-Quellbewertung zu öffnen:

Quellbewertungsbereich.

Im Quellpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Quellempfehlungen

Wenn eine Kategorie eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Um eine Empfehlung für die Kategorie Missbrauch anzuzeigen, klicken Sie auf die entsprechende Zeile in der Tabelle Bewertungsdetails. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Grafik: Empfehlung bei Missbrauch im Bereich „Empfehlungen“.

Klicken Sie auf Details ansehen, um sich die Details des Missbrauchs genauer anzusehen. Dadurch wird die Ansicht Erkannter Traffic auf der Seite Missbrauchserkennung geöffnet. In der Ansicht Erkannter Traffic werden detaillierte Informationen zu erkanntem Missbrauch angezeigt.

Unterhalb der Zeile Details ansehen wird der Bereich "Empfehlungen" angezeigt:

  • Die Empfehlung "Durch Missbrauchserkennung identifizierten Traffic blockieren oder zulassen" wird angezeigt.
  • In der Zeile Aktionen wird ein Link zur Dokumentation für Empfehlungen bei Missbrauch angezeigt.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung im Bereich Proxys auf Ansehen, um die Ansicht API-Proxybewertung zu öffnen:

Bereich "Proxybewertung“

Im Proxy-Punktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Wenn Sie beispielsweise Empfehlungen für den Proxy hellooauth2 aufrufen möchten, klicken Sie auf die entsprechende Zeile in der Tabelle Bewertungsdetails. Daraufhin werden die Empfehlungen im Bereich Empfehlungen angezeigt. Zwei davon werden unten dargestellt.

Proxyempfehlung.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert. Zielpunktzahlen werden so zugewiesen:

  • Kein TLS vorhanden: 200
  • One-Way-TLS vorhanden: 900
  • Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung im Bereich Ziele auf Anzeigen, um die Ansicht API-Zielbewertung zu öffnen:

Bereich "Zielbewertung".

Im Zielpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Klicken Sie auf die entsprechende Zeile, um die Bewertung eines Zielservers einzusehen. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Proxyempfehlung.

Missbrauchsempfehlungen

Wenn die Quellpunktzahl niedrig ist, empfiehlt Apigee, die IP-Adressen zu prüfen, bei denen Missbrauch erkannt wurde. Wenn Sie zustimmen, dass der Traffic von diesen IP-Adressen missbräuchlich ist, verwenden Sie die Seite Sicherheitsaktionen, um Anfragen von IP-Adressen zu blockieren, die Missbrauchstraffic darstellen.

Weitere Informationen zum Missbrauch finden Sie in den folgenden Ressourcen: