本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
概览
Advanced API Security 风险评估会持续评估 API 代理配置并计算安全分数,以帮助识别和解决 API 中的漏洞。
风险评估可帮助您:
- 对所有 API 强制执行一致的安全标准。
- 检测 API 设置中的配置错误。
- 采取建议措施,提高整体安全分数。
- 通过集中式信息中心快速调查和解决安全问题。
除了评估每个代理的当前风险外,风险评估还可用于监控 API 在一段时间内的安全状况。如果评估分数波动很大,则可能表示 API 行为经常变化,包括部署的代理未使用必要的安全政策、通过部署流钩子和添加 FlowCallout 政策修改共享流,以及在环境或代理部署中更改目标服务器。
您可以通过 Apigee 界面(如本页面所述)或通过安全分数和配置文件 API 来访问风险评估。
如需了解执行风险评估任务所需的角色,请参阅风险评估所需的角色。
如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件。
风险评估 v1 和 v2
风险评估有两个版本:风险评估 v1(已正式发布)和风险评估 v2(处于预览版阶段)。使用任一版本都需要 Advanced API Security 插件。
v1 和 v2 之间的主要功能差异如下:
- v2 包含:
- 提高了可靠性,包括使用最新代理数据更快地计算分数
- 无需先将安全配置文件附加到环境即可计算分数
- 简化的分数呈现方式,基于 0% 到 100% 的比例
- 评估检查权重(v1 不支持)的概念。请参阅风险评估概念和评分。
- 对 v1 进行了额外评估,在计算分数时检查了更多政策。例如,v1 支持 5 个与授权和身份验证相关的政策,而 v2 支持 8 个。此外,v2 还包含一个包含关联政策的流量管理类别,并在政策中执行额外的检查,包括针对
continueOnError属性的检查。 - 检查嵌套共享流和流钩子的嵌套层级是否达到 5 层。v1 不会评估通过共享流链接包含的政策。
- 将目标分数(目标服务器分数)替换为基于代理的评估和建议。如果在代理中使用了目标,则该代理的安全分数也会包含目标服务器的分数。
- 使用新的 v2 评估检查以及
google-default系统配置文件的自定义配置文件。 - 使用 Cloud Monitoring 随时间推移监控安全分数和指标,并使用 Cloud Monitoring 提醒设置提醒。
- v2 不支持基于滥用流量的来源评估。
风险评估 v2
本部分介绍风险评估的新版本风险评估 v2。v1 和 v2 之间存在一些风险评估概念和行为差异。如需了解如何使用风险评估 v1,请参阅风险评估 v1。
风险评估 v2 概念和评分方法
风险评估安全分数会根据安全配置文件中的安全评估和权重分数来评估 API 的安全风险。
风险评估分数基于以下因素:
- 评估和评估检查:针对代理执行的各项检查,以及针对哪些代理进行评分。每个检查还具有权重,这会在根据代理进行评估时赋予检查更大或更小的权重。针对每项检查,权重设置为轻微、中等或严重。每个权重都有一个用于计算分数的点数值:
- 轻微:1
- 中等:5
- 严重:15
- 安全配置文件:一系列评估检查,用于评估环境中已部署的代理。
- 安全分数:代理在根据安全配置文件进行评估后得出的分数。
分数介于 0% 到 100% 之间。100% 表示代理完全符合评估要求,并且根据评估检查未发现任何风险。
安全分数本质上是通过评估检查获得的所有分数的总和除以个人资料中可能获得的总分。分数是加权平均值,因此安全配置文件中包含的政策越多,每个评估检查对安全分数的影响就越小。
评估检查权重也会影响安全分数。权重越高,对计算的影响就越大;权重越低,对计算的影响就越小,使用每个权重的点值。如果安全配置文件中的所有检查权重都相同(例如,所有检查的权重都为中等),则安全分数会按常规平均值计算。 - 严重程度:根据安全分数计算的每个已评估代理的严重程度值。 可能的严重级别值包括:高(0-50%)、中(51-90%)、低(91-99%)和极小(100%/根据分配的安全配置文件中的评估未发现任何风险)。
评估类别和检查
下表列出了可纳入安全配置文件的评估类别和单项检查。还会显示针对每项失败的评估的建议。
| 评估类别 | 说明 | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 身份验证 | 在本例中,“Auth”既表示授权,也表示身份验证。身份验证评估会检查您是否已部署授权政策和身份验证政策,以及身份验证政策的 continueOnError 属性是否已设置为 false。
|
|||||||||||||||||||||||||||||||||
| CORS | 检查 AssignMessage 政策中是否存在 CORS 政策或 CORS 标头。
|
|||||||||||||||||||||||||||||||||
| 中介 | 检查中介政策是否已启用。
|
|||||||||||||||||||||||||||||||||
| 目标 | 检查是否使用了目标服务器保护措施。如需了解目标服务器配置,请参阅跨后端服务器的负载均衡。
|
|||||||||||||||||||||||||||||||||
| 威胁 | 检查是否使用了威胁防范政策。
|
|||||||||||||||||||||||||||||||||
| 流量 | 检查您是否已部署流量管理政策。
|
政策附件和代理安全分数
对于代理评估,安全分数基于您使用的政策。 这些政策的评估方式取决于它们是否附加到流以及如何附加到流:
- 只有附加到流(前流、条件流、代理中的后流或共享流)的政策会影响分数。未附加到任何流的政策不会影响分数。
- 代理分数会考虑代理通过流钩子和代理中的 FlowCallout 政策调用的共享流,前提是 FlowCallout 政策已附加到流。但是,如果 FlowCallout 未附加到流,则其关联共享流中的政策不会影响安全分数。
- 链式共享流最多可评估五层深。直接包含在代理和前五个级别的共享数据流中的所有政策都会计入安全分数。
- 对于附加到条件流的政策,安全分数仅考虑政策是否存在,而不考虑在运行时是否或如何强制执行政策。
安全配置文件 v2
安全配置文件是一系列安全评估和权重,用于对 API 代理进行评分。您可以使用 Apigee 的默认安全配置文件(称为 google-default),也可以创建仅包含您要评估的安全类别和权重的自定义安全配置文件。
在使用安全配置文件或创建自定义安全配置文件时,请注意,类别中的多个评估检查会单独进行评估。
例如,如果安全配置文件中包含 3 项身份验证政策检查,而被评估的代理包含其中 1 项,则评分将包含找到的 1 项政策的全部分数,以及不存在的其他 2 项政策的 0 分。在此示例中,即使被评估的代理包含身份验证政策,也不会在身份验证政策检查方面获得满分。请注意,鉴于这种行为,安全分数解读和安全配置文件设计应谨慎。
默认安全配置文件
Advanced API Security 提供了包含所有评估的默认安全配置文件。如果您使用默认配置文件,则安全分数将基于所有类别。
默认安全配置文件 google-default 无法修改或删除。
自定义安全配置文件
您可以创建自定义安全配置文件,其中仅包含您选择的评估检查和权重,以便针对代理进行评估。如需了解如何通过 Apigee 界面创建和使用自定义安全配置文件,请参阅在 Apigee 界面中管理自定义配置文件。
对于自定义安全配置文件:
- 配置文件名称(也称为配置文件 ID)是必填字段,并会在列出配置文件时显示在摘要表格中。名称必须包含 1 到 63 个字符,可以是小写字母、数字 0-9 或连字符。第一个字符必须是小写字母。最后一个字符必须是小写字母或数字。 自定义安全配置文件必须具有唯一的名称,并且不得与现有配置文件名称重复。
- 配置文件说明是可选的,且不能超过 1,000 个字符。
监控条件和提醒
借助 Advanced API Security,您可以向风险评估添加监控条件。创建监控条件后,风险评估会将安全分数指标发布到 Cloud Monitoring。Cloud Monitoring 可以跟踪根据安全配置文件评估的代理的安全分数随时间的变化。
如需使用监控条件,请执行以下操作:
- 熟悉 Cloud Monitoring 功能。
- 确保您拥有管理监控条件所需的角色或权限。请参阅风险评估所需的角色。
- 使用 Apigee 界面或 API 创建和管理监控条件。请参阅在 Apigee 界面中管理监控条件和提醒和在 API 中管理监控条件。
创建监控条件后,您可以使用 Cloud Monitoring 提醒,针对条件指标设置监控提醒。
如需通过 Apigee 界面创建监控提醒,请参阅在 Apigee 界面中管理监控条件和提醒。 如需了解 Advanced API Security 中的提醒以及如何管理监控提醒,请参阅安全提醒。
风险评估 v2 的限制和已知问题
安全分数存在以下限制和已知问题:
- 仅当环境已部署代理时,系统才会生成安全分数。
- 新部署的代理以及新启用的组织和环境不会立即显示分数。 如需了解相关信息,请参阅数据延迟。
- 对于自定义配置文件,您最多可以为每个组织创建 100 个自定义配置文件。
- 目前不支持通知新的评估计算结果和分数。
- 对于范围和安全配置文件组合,只能存在一个监控条件。如果某个个人资料已是所选范围的现有监控条件的一部分,系统会显示一条警告消息,并阻止创建新条件。
- 系统只会监控已部署的代理。如果监控条件中包含的代理处于未部署状态,则系统不会监控该代理,并且该代理也不会在监控条件详情中显示为受监控状态。 在重新部署时,系统会自动监控代理,并在监控条件详细信息中显示为“已监控”。
- 每个组织最多可创建 1,000 个安全监控条件。
- 由安全监控条件跟踪的新得分最多可能需要 5 分钟才能显示在 Cloud Monitoring 中。
- Cloud Monitoring 会将安全分数保留最多 6 周。请参阅数据保留。
数据延迟
Advanced API Security 分数所基于的数据在结果可用之前有以下处理窗口:
- 在组织中首次启用 Advanced API Security 后,现有代理和目标的分数需要一段时间才能在环境中体现。作为参考,订阅组织预计需要 30 到 90 分钟,而随用随付组织需要的时间更短。
- 与环境中的代理(部署和取消部署)和目标(创建、更新、删除)相关的新事件至少需要 60 秒,最多需要 5 分钟(对于非常大的环境),才能在环境的分数中体现。
在 Apigee 界面中查看风险评估
风险评估页面显示可衡量 API 在每个环境中的安全性的分数。
如需打开风险评估页面,请执行以下操作:
在 Google Cloud 控制台中,前往 Advanced API Security > 风险评估页面。
此时将显示风险评估页面:
该页面包含以下部分:
- 环境:选择要查看评估的环境。
- 安全配置文件:选择默认配置文件 (
google-default) 或自定义配置文件(如果有)。如需了解安全配置文件,请参阅安全配置文件。 - 按严重级别部署的代理:设置环境后,该页面会显示该环境中所有代理的严重级别摘要。请参阅风险评估概念和评分。
- 评估详情:显示所选环境的安全配置文件、评估日期和时间、评估的总配置数以及已部署的总代理数。评估的配置总数反映了执行的“检查”总数。此计数可能高于配置文件中的评估数量;某些评估(例如验证“continueOnError”属性是否已设为
false)还会检查相关政策是否已就位并已启用。 - 已部署的代理:环境中已部署的代理及其风险评估分数的摘要:
在 Apigee 界面中管理自定义配置文件
本部分介绍如何使用 Apigee 界面查看、创建、修改和删除自定义配置文件。请注意,安全分数限制中列出了自定义配置文件的限制。
首先,请在 Apigee 界面中查看风险评估。
创建和修改自定义配置文件
在“风险评估”屏幕上,选择安全配置文件标签页。如需修改现有配置文件,请点击配置文件名称以查看配置文件详情,然后点击修改。或者,您也可以从该配置文件对应行中的“操作”菜单中选择修改。
如需创建新的自定义配置文件,请点击安全配置文件列表中的 + 创建。
创建或修改自定义配置文件时,您可以设置以下值:
- 名称:安全配置文件的名称。请确保该名称在项目中是唯一的。
- 说明:(可选)安全配置文件的说明。
- 评估检查和评估权重:针对代理进行评估的一个或多个评估检查,以及每个检查的权重。如需查看可用的评估检查列表,请参阅风险评估概念和评分。如需向配置文件添加其他评估检查和权重,请点击 + 添加。如需删除某个检查/权重对,请点击该对应的行中的垃圾桶图标。
配置文件重复
如需复制现有配置文件(以创建新的自定义配置文件),请从该配置文件所在行中的“操作”菜单中选择复制,或点击配置文件列表中的配置文件名称以查看配置文件元数据,然后点击复制。
新自定义配置文件的名称不能与重复的配置文件相同。如需了解安全配置文件的命名要求,请参阅自定义安全配置文件。
删除自定义配置文件
如需删除现有的自定义配置文件,请从该配置文件所在行的“操作”菜单中选择删除,或点击配置文件列表中的配置文件名称以查看配置文件元数据,然后点击删除。
请注意,您无法删除默认系统配置文件 (google-default)。
删除自定义配置文件后,系统会立即生效,并且您将无法针对该配置文件评估代理或查看针对该自定义配置文件的之前评估。
通过 Apigee 界面管理监控条件和提醒
本部分介绍如何使用 Apigee 界面查看、创建、修改和删除监控条件,以及创建监控提醒。如需了解此功能,请参阅监控条件和提醒。
首先,请在 Apigee 界面中查看风险评估,然后选择监控条件标签页。
查看、创建和修改监控条件
主页面会列出所有现有的监控条件。如需查看现有监控条件的详细信息,请点击相应监控条件所在行中的受监控的代理/已部署的总代理数值。如需修改现有条件,请从相应监控条件所在行的“操作”菜单中选择修改。如需创建新的监控条件,请点击结果列表上方的 + 创建监控条件。
监控条件包括以下设置:
- 环境:创建监控条件的环境。创建监控条件后无法修改。
- 安全配置文件/配置文件:用于评估的安全配置文件。
- 条件:是否从环境中
Include all或Include指定代理。如果选择了Include,请选中代理名称旁边的复选框,以选择要包含的每个代理。
查看监控指标
在 Cloud Monitoring 中查看监控条件的指标。如需查看指标,请点击相应监控条件所在行中的查看。
删除监控条件
如需删除现有的监控条件,请从该监控条件所在行的操作菜单中选择删除,然后确认。
Cloud Monitoring 指标在停止发布之前会略有延迟。
创建监控提醒
如需创建新的监控提醒,请从相应监控条件所在行的操作菜单中选择创建监控提醒。此操作会将您带到 Google Cloud 控制台中的 Cloud Monitoring 提醒页面,并根据监控条件预先填充一些值。如需了解详情,请参阅安全提醒。
风险评估 v1
本部分介绍风险评估 v1。如需了解风险评估 v2,请参阅风险评估 v2。
安全分数
安全分数用于评估 API 的安全性以及一段时间内的安全状况。 例如,分数波动很大可能表示 API 行为经常变化,这可能不是您希望的行为。可能导致分数下降的环境变化包括:
- 在没有必要的安全政策的情况下部署许多 API 代理。
- 来自恶意来源的滥用行为流量激增。
观察安全分数随时间变化的情况,这些情况可以很好地反映环境中任何不需要的活动或可疑活动。
安全分数是根据您的安全配置文件计算得出的,安全配置文件指定您希望评估的安全类别。您可以使用 Apigee 的默认安全配置文件,也可以创建仅包含对您最重要的安全类别的自定义安全配置文件。
安全分数评估类型
有三种评估类型会影响 Advanced API Security 计算的总体安全分数:
来源评估:评估使用 Advanced API Security 检测规则检测到的滥用行为流量。“滥用行为”是指向 API 发送请求以实现 API 的预期用途以外的用途。
- 代理评估:评估代理在以下方面实施各种安全政策的情况:
- 中介:检查是否为环境中的所有代理配置了以下中介政策之一:OASValidation 或 SOAPMessageValidation。
- 安全:
- 授权:检查是否为环境中的所有代理配置了以下授权政策之一:
- CORS:检查是否配置了 CORS。
- 威胁:检查是否为环境中的所有代理配置了以下政策之一: XMLThreatProtection 或 JSONThreatProtection。
如需了解详情,请参阅政策如何影响代理安全分数。
- 目标评估:检查是否已使用环境中的目标服务器配置双向传输层安全协议 (mTLS)。
每种评估类型都会获得自己的分数。总分是各个评估类型的分数平均值。
政策如何影响代理安全分数
对于代理评估,安全分数基于您使用的政策。这些政策的评估方式取决于它们是否附加到流以及如何附加到流:
- 只有附加到流(前流、条件流、代理中的后流或共享流)的政策会影响分数。未附加到任何流的政策不会影响分数。
- 代理分数会考虑代理通过流钩子和代理中的 FlowCallout 政策调用的共享流,前提是 FlowCallout 政策已附加到流。但是,如果 FlowCallout 未附加到流,则其关联共享流中的政策不会影响安全分数。
- 不支持共享流程链。在计算安全分数时,系统不会评估通过共享流链接添加的政策。
- 对于附加到条件流的政策,安全分数仅考虑政策是否存在,而不考虑在运行时是否或如何强制执行政策。
安全配置文件
安全配置文件是您希望对 API 进行评分所根据的一组安全类别(下面有述)。 配置文件可以包含任何安全类别的子集。 如需查看环境的安全分数,您需要先将安全配置文件附加到环境。您可以使用 Apigee 的默认安全配置文件,也可以创建仅包含您重要的安全类别的自定义安全配置文件。
默认安全配置文件
Advanced API Security 提供了包含所有安全类别的默认安全配置文件。如果您使用默认配置文件,则安全分数将基于所有类别。
自定义安全配置文件
借助自定义安全配置文件,您可以仅根据希望包含在分数中的安全类别来确定安全分数。请参阅创建和修改安全配置文件,了解如何创建自定义配置文件。
安全类别
安全分数基于下文所述的安全类别的评估。
| 类别 | 说明 | 建议 |
|---|---|---|
| 滥用行为 | 检查滥用行为,其中包括将请求发送到 API 以实现其预期用途以外的用途,例如大量请求、数据抓取和与授权相关的滥用行为。 | 请参阅滥用行为建议 |
| 授权 | 检查您是否已部署授权政策。 | 将以下政策之一添加到您的代理: |
| CORS | 检查您是否已部署 CORS 政策。 | 向您的代理添加 CORS 政策。 |
| MTLS | 检查您是否已为目标服务器配置 mTLS(双向传输层安全协议)。 | 请参阅目标服务器 mTLS 配置。 |
| 中介 | 检查您是否已部署中介政策。 | 将以下政策之一添加到您的代理: |
| 威胁 | 检查您是否已部署威胁防范政策。 | 将以下政策之一添加到您的代理: |
安全分数 v1 的限制
安全分数具有以下限制:
- 您最多可以为每个组织创建 100 个自定义配置文件。
- 仅当环境具有代理、目标服务器和流量时,系统才会生成安全分数。
- 新部署的代理不会立即显示分数。
数据延迟
Advanced API Security 分数所基于的数据因数据处理方式而存在以下延迟:
- 在组织中启用 Advanced API Security 后,现有代理和目标的得分最多可能需要 6 小时才能在环境中体现。
- 与环境中的代理(部署和取消部署)和目标(创建、更新、删除)相关的新事件最多可能需要 6 小时才能在环境的分数中体现。
- 数据进入 Apigee Analytics 流水线的平均延迟时间为 15 到 20 分钟。因此,来源分数滥用行为数据大约有 15 到 20 分钟的处理延迟。
打开风险评估页面
风险评估页面显示可衡量 API 在每个环境中的安全性的分数。
加载风险评估页面可能需要几分钟时间。如果环境有大量流量,并且代理和目标数量较多,则页面的加载时间会更长。
Cloud 控制台中的 Apigee
如需打开风险评估页面,请执行以下操作:
在 Google Cloud 控制台中,前往 Advanced API Security > 风险评估页面。
此时将显示风险评估页面:
该页面有两个标签页,在以下各部分中进行了介绍:
- 安全分数:查看安全分数。
- 安全配置文件:查看、创建和修改安全配置文件。
查看安全分数
如需查看安全分数,请点击安全分数标签。
请注意,在附加安全配置文件之前,系统不会计算环境的分数,如将安全配置文件附加到环境中所述。Apigee 提供默认安全政策,或者您可以创建自定义配置文件,如创建和修改安全配置文件中所述。
安全分数表显示以下列:
- 环境:计算分数的环境。
- 风险级别:环境的风险级别,可以是低、中等或严重。
- 安全分数:环境的总分数,共 1200 分。
- 建议总数:提供的建议数量。
- 配置文件:附加的安全配置文件的名称。
- 上次更新日期:安全分数的最新更新日期。
- 操作:点击环境所在行中的三点状菜单,以执行以下操作:
- 附加配置文件:将安全配置文件附加到环境。
- 分离配置文件:从环境中分离安全配置文件。
将安全配置文件附加到环境
如需查看环境的安全分数,您必须先按以下方式将安全配置文件附加到环境:
- 在操作下,点击环境所在行中的三点状菜单。
- 点击附加配置文件。
- 在附加配置文件对话框中:
- 点击配置文件字段,然后选择要附加的配置文件。如果您尚未创建自定义安全配置文件,则唯一可用的配置文件是默认配置文件。
- 点击分配。
当您将安全配置文件应用到环境后,Advanced API Security 会立即开始评估和评分。请注意,显示分数可能需要几分钟的时间。
总分根据三种评估类型的各项分数计算得出:
- 来源评估
- 代理评估
- 目标评估
请注意,所有分数都在 200 - 1200 范围内。评估分数越高,安全风险越低。
查看分数
将安全配置文件附加到环境后,您便可以在该环境中查看分数和建议。为此,请在安全分数主页面中点击该环境对应的行。这会显示环境的分数,如下所示:
该视图会显示四个标签页:
概览
概览标签页显示以下内容:
- 每项评估的重要信息:
- 来源评估、代理评估和目标评估的摘要,包括:
- 每种评估类型的最新分数。
- 来源评估窗格会显示检测到的滥用行为流量和 IP 地址计数。
- 代理评估和目标评估窗格显示这些评估的风险级别。
- 点击任意摘要窗格中的查看评估详情可查看该评估类型的详细信息:
- 评估历史记录:以图表形式显示环境在最近一段时间内(可选择 3 天或 7 天)的每日总分数。默认情况下,图表会显示 3 天。该图表还显示了同一时间段内的平均总分数。
请注意,只有需要评估的类型才会计算评估类型分数。例如,如果没有目标服务器,则不会报告目标的分数。
来源评估
点击来源评估标签页,查看环境的评估详细信息。
点击评估详情右侧的展开图标,查看最近一段时间(可选择 3 天或 7 天)的来源评估图表。
来源窗格会显示一个包含以下信息的表:
- 类别:评估的类别。
- 风险级别:类别的风险级别。
- 安全分数:滥用行为类别的安全分数。
- 建议数:类别的建议数量。
来源详情
来源详情窗格会显示环境中检测到的滥用行为流量的详细信息,包括:
- 流量详情:
- 检测到的流量:来自被检测为滥用行为来源的 IP 地址的 API 调用次数。
- 总流量:API 调用的总次数。
- 检测到的 IP 地址数量:被检测为滥用行为来源的不同 IP 地址的数量。
- 观察开始时间 (UTC):流量监控时间段的开始时间,采用世界协调时间 (UTC)。
- 观察结束时间 (UTC):流量监控时间段的结束时间,采用世界协调时间 (UTC)。
- 评估日期:评估的日期和时间。
- 提高分数的建议。如需查看有关处理滥用行为的流量的更多建议,请参阅滥用行为建议。
如需创建安全操作来处理来源评估引发的问题,请点击 Create Security Action 按钮。
代理评估
API 代理评估会计算环境中所有代理的分数。如需查看代理评估,请点击代理评估标签页:
代理窗格会显示一个包含以下信息的表:
- 代理:正在评估的代理。
- 风险级别:代理的风险级别。
- 安全分数:代理的安全分数。
- 需要注意:可提高代理分数的待处理评估类别。
- 建议数:代理的建议数量。
点击表中的代理名称,以打开代理编辑器,您可以在其中根据建议更改代理。
代理建议
如果某个代理的分数较低,您可以在建议窗格中查看该代理的分数提高建议。如需查看代理的建议,请在代理窗格中点击代理对应的需要注意列。
此时会显示建议窗格:
- 评估日期:评估的日期和时间。
- 提高分数的建议。
目标评估
目标评估会计算环境中每个目标服务器的双向传输层安全协议 (mTLS) 分数。目标分数的分配方式如下:
- 不存在 TLS:200
- 存在单向 TLS:900
- 存在双向或 mTLS:1200
如需查看目标评估,请点击目标评估标签页:
目标窗格会显示以下信息:
- 目标:目标的名称。
- 风险级别:目标的风险级别。
- 安全分数:目标的安全分数。
- 需要注意:可提高目标分数的待处理评估类别。
- 建议数:目标的建议数量。
点击表中的目标名称,打开 Apigee 界面中管理 > 环境页面的目标服务器标签页,您可以在其中可将建议的操作应用于目标。
目标建议
如果某个目标服务器的分数较低,您可以在建议窗格中查看该目标的分数提高建议。如需查看目标的建议,请在目标窗格中点击目标对应的需要注意列。
此时会显示建议窗格:
- 评估日期:评估的日期和时间。
- 提高分数的建议。
创建和修改安全配置文件
安全配置文件标签页会显示安全配置文件列表,其中包含以下信息:
- 名称:配置文件的名称。
- 类别:配置文件中包含的安全类别。
- 说明:个人资料的可选说明。
- 环境:配置文件关联的环境。如果此列为空,则配置文件不会附加到任何环境。
- 上次更新时间 (UTC):上次更新配置文件的日期和时间。
- 操作:包含以下内容的菜单:
查看安全配置文件的详细信息
如需查看安全配置文件的详细信息,请在配置文件的行中点击其名称。这将显示配置文件的详细信息,如下所示。
详细信息标签页中的第一行显示修订版本 ID:配置文件的最新修订版本号。当您修改配置文件并更改其安全类别时,修订版本 ID 会增加 1。但是,仅更改配置文件的说明不会增加修订版本 ID。
以下各行显示安全配置文件标签页中配置文件所对应的行中显示的信息。
配置文件详细信息视图还包含两个标记为修改和删除的按钮,可用于修改或删除安全配置文件。
历史记录
如需查看配置文件的历史记录,请点击历史记录标签页。此时会显示配置文件的所有修订版本的列表。对于每个修订版本,列表都会显示以下内容:
- 修订版本 ID:修订版本号。
- 类别:配置文件的修订版本中包含的安全类别。
- 上次更新时间(世界协调时间 (UTC)):创建修订版本的日期和时间 (UTC)。
创建自定义安全配置文件
如需创建新的自定义安全配置文件,请执行以下操作:
- 点击页面顶部的创建。
- 在打开的对话框中,输入以下内容:
- 名称:配置文件的名称。 该名称必须包含 1 到 63 个小写字母、数字或连字符,并且必须以字母开头,以字母或数字结尾。该名称必须与任何现有配置文件的名称不同。
- (可选)说明:配置文件的说明。
- 在类别字段中,选择要包含在配置文件中的评估类别。
修改自定义安全配置文件
如需修改自定义安全配置文件,请执行以下操作:
- 在安全配置文件所在行的末尾,点击操作菜单。
- 选择修改。
- 在修改安全配置文件页面中,您可以更改:
- 说明:安全配置文件的可选说明。
- 类别:为配置文件选择的安全类别。点击下拉菜单,然后在菜单中选择或取消选择所选类别以更改所选类别。
- 点击确定。
删除自定义安全配置文件
如需删除安全配置文件,请点击配置文件所在行末尾的操作,然后选择删除。请注意,删除配置文件也会将其从所有环境中分离。
经典版 Apigee 界面
如需打开安全分数视图,请执行以下操作:
- 打开经典版 Apigee 界面。
- 依次选择分析 > API 安全性 > 安全分数。
此时将显示安全分数视图:
请注意,在将安全配置文件附加到环境之前,系统不会计算环境的分数。Apigee 提供默认安全政策,或者您可以使用 Apigee API 创建自定义配置文件。如需了解详情,请参阅使用自定义安全配置文件。
在上图中,integration 环境未附加安全配置文件,因此配置文件名称列会显示该环境未设置。
安全分数表显示以下列:
- 环境:计算分数的环境。
- 最新分数:环境的最新总分数,共 1200 分。
- 风险级别:风险级别,可以是低、中或严重。
- 建议总数:提供的建议数量。每个建议对应需要注意表中的一行。
- 配置文件名称:安全配置文件的名称。
- 评估日期:计算安全性分数的最新日期。
将安全配置文件附加到环境
如需查看环境的安全分数,您必须先按以下方式将安全配置文件附加到环境:
- 在操作下,点击环境所在行中的三点状菜单。
- 点击附加配置文件。
- 在附加配置文件对话框中:
- 点击配置文件字段,然后选择要附加的配置文件。如果您尚未创建自定义安全配置文件,则唯一可用的配置文件是默认配置文件。
- 点击分配。
当您将安全配置文件应用到环境后,Advanced API Security 会立即开始评估和评分。请注意,显示分数可能需要几分钟的时间。
下图显示了附加了默认安全配置文件的环境的安全分数视图:
环境的行现在会显示最新的安全分数、风险级别、针对安全操作的建议数量以及分数的评估日期。
总分根据三种评估类型的各项分数计算得出:
- 来源评估
- 代理评估
- 目标评估
请注意,所有分数都在 200 - 1200 范围内。分数越高,安全评估结果越好。
查看分数
将安全配置文件附加到环境后,您便可以在该环境中查看分数和建议。为此,请在主安全分数视图中点击该环境对应的行。这会显示环境的分数,如下所示:
该视图会显示:
- 来源、代理和目标的最新分数。 点击上面任何窗格中的查看评估详细信息可查看相应类型的评估。
- 环境分数历史记录,其中以图表形式显示环境在过去 5 天内的每日总分数,以及同一时间段内的平均总分数。
- 需要注意表,其中列出了您可以提高安全性的 API 评估类型。
请注意,只有需要评估的类型才会计算评估类型分数。例如,如果没有目标服务器,则不会报告目标的分数。
以下部分介绍了如何查看每种类型的评估:
“需要注意”表
上面显示的需要注意表列出了分数低于 1200 的 API 组件,以及:
- 相应类别的最新分数
- 组件的风险级别,可以是低、中等或严重
- 评估日期
- 评估类型
查看建议
对于表中的每一行,Advanced API Security 提供了提高分数的建议。您可以在评估详细信息视图中查看针对每种类型(来源、代理或目标)的建议,如以下部分中所述:
您可以通过以下任一方式打开评估详情视图:
- 点击 Security Scores(安全性分数)主视图的任何窗格中的 View Assessment Details(查看评估详细信息)。
- 在需要注意表中,执行以下操作:
- 展开表中的类别组:
- 点击要查看其建议的类别。此时系统会打开建议对应的评估详情视图。
- 展开表中的类别组:
来源评估
来源评估会计算环境的滥用行为分数。“滥用行为”是指向 API 发送请求以实现 API 的预期用途以外的用途。
要查看来源评估,请点击来源窗格中的查看,以打开 API 来源评估视图:
来源分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新分数。
来源建议
如果某个类别的分数较低,您可以查看有关改进该类别的建议。如需查看滥用行为类别的建议,请点击它在评估详情表中的行。此时会在建议窗格中显示建议。
要展开滥用行为的详细信息,请点击查看详情。系统会打开滥用行为检测页面中的 Detected Traffic(检测到的流量)视图。Detected Traffic(检测到的流量)视图显示有关检测到的滥用行为的详细信息。
查看详情行下方会显示“建议”窗格:
- 显示建议:“阻止或允许由滥用行为检测所识别的流量”。
- 操作行显示滥用行为建议文档的链接。
代理评估
API 代理评估会计算环境中所有代理的分数。要查看代理评估,请点击代理窗格中的查看,以打开 API 代理评估视图:
代理分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新分数。
代理建议
如果某个代理的分数较低,您可以查看有关改进该代理的建议。例如,如需查看 hellooauth2 代理的建议,请点击评估详情表中的相应行。此时会在建议窗格中显示建议。下面显示了其中两个建议。
目标评估
目标评估会计算环境中每个目标服务器的 mTLS 分数。目标分数的分配方式如下:
- 不存在 TLS:200
- 存在单向 TLS:900
- 存在双向或 mTLS:1200
如需查看目标评估,请点击目标窗格中的查看,以打开 API 目标评估视图:
目标分数历史记录显示过去 5 天的分数及其平均值和最新分数。评估详情表显示评估的各个类别的最新分数。
目标建议
如果某个目标服务器的分数较低,您可以查看有关改进该目标服务器的建议。如需查看目标服务器的评估,请点击其所在的行。此时会在建议窗格中显示建议。
滥用行为建议
如果来源分数较低,Apigee 建议您查看检测到滥用行为的 IP。然后,如果您同意来自这些 IP 的流量存在滥用行为,请使用安全操作页面阻止来自作为滥用行为来源的 IP 地址的请求。
如需详细了解滥用行为,您可以使用以下任一资源:
- 滥用行为检测页面,其中显示了与滥用行为相关的安全突发事件信息。
- 安全报告页面。
例如,您可创建以下报告:
- 聊天机器人的 IP 地址,如 示例:聊天机器人 IP 地址报告中所述。
- 按 bot_reason 划分的聊天机器人流量,如 示例:依据聊天机器人原因报告划分的聊天机器人流量中所述。