Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza
documentazione di Apigee Edge.
Panoramica
La valutazione del rischio di Advanced API Security valuta continuamente le configurazioni dei proxy API e calcola i punteggi di sicurezza per aiutarti a identificare e risolvere le vulnerabilità nelle tue API.
La valutazione del rischio ti aiuta a:
- Applica standard di sicurezza coerenti a tutte le API.
- Rileva gli errori di configurazione nelle configurazioni dell'API.
- Migliora il tuo punteggio di sicurezza complessivo con le azioni consigliate.
- Esamina e risolvi rapidamente i problemi di sicurezza tramite una dashboard centralizzata.
Oltre a valutare il rischio attuale di ogni proxy, la valutazione del rischio può essere utilizzata per valutare la security posture delle API nel tempo. Un punteggio di valutazione variabile potrebbe indicare che il comportamento dell'API cambia di frequente, inclusi i proxy di cui è stato eseguito il deployment senza criteri di sicurezza necessari, modifiche ai flussi condivisi tramite deployment di hook di flusso e FlowCallout aggiunte ai criteri e modifiche al server di destinazione nell'ambiente o nei deployment di proxy.
Puoi accedere alla valutazione del rischio tramite la UI di Apigee, come descritto in questa pagina, o tramite API Punteggi e profili di sicurezza.
Vedi Ruoli richiesti per la valutazione del rischio per i ruoli necessari a eseguire le attività di valutazione del rischio.
Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.
Valutazione del rischio v1 e v2
La valutazione del rischio è disponibile in due versioni: Risk Assessment 1, in disponibilità generale, e Risk Assessment 2, in anteprima. L'utilizzo di è necessario il componente aggiuntivo Advanced API Security.
Le principali differenze tra le funzionalità v1 e v2 sono:
- La versione v2 include:
- Affidabilità migliorata, inclusi calcoli dei punteggi più rapidi con dati proxy recenti
- Calcolo del punteggio senza la necessità di collegare prima un profilo di sicurezza a un ambiente
- Presentazione dei punteggi semplificata, in base a una scala da 0% a 100%
- Il concetto di pesi di controllo della valutazione, non supportato dalla versione 1. Consulta: Concetti di valutazione del rischio e valutazione.
- Valutazioni aggiuntive rispetto alla versione 1, che controllano più norme durante il calcolo dei punteggi.
Ad esempio, la versione 1 supporta cinque criteri relativi all'autorizzazione e all'autenticazione, mentre la versione 2 ne supporta otto. Inoltre, la versione 2 include una categoria di gestione del traffico con norme associate ed esegue ulteriori controlli nelle norme, incluso l'attributo
continueOnError. - Controlli di flussi condivisi nidificati e hook di flusso a cinque livelli di nidificazione. v1 non valuta i criteri inclusi tramite il concatenamento dei flussi condiviso.
- Sostituzione dei punteggi target (punteggi del server di destinazione) con valutazioni basate su proxy e personalizzati. Se in un proxy viene utilizzato un Target, i punteggi di sicurezza per quel proxy includono per il server di destinazione.
- Profili personalizzati che utilizzano i nuovi controlli di valutazione della versione 2 e il profilo di sistema
google-default.
- La versione 2 non supporta:
- Valutazione della fonte basata sul traffico illecito.
- Al momento le metriche e il monitoraggio non sono supportati.
Valutazione dei rischi versione 2
Questa sezione descrive la valutazione del rischio v2, la nuova versione di Valutazione del rischio. Alcuni concetti e comportamenti di Valutazione del rischio differiscono tra la versione 1 e la versione 2. Per l'utilizzo con Valutazione del rischio v1, consulta Valutazione del rischio v1.
Concetti di valutazione del rischio v2 e metodologia di punteggio
I punteggi di sicurezza nella valutazione del rischio valutano il rischio per la sicurezza delle tue API in base ai delle valutazioni e dei pesi di sicurezza in un profilo di sicurezza.
Il punteggio della valutazione del rischio si basa su:
- Valutazioni e controlli di valutazione: i singoli controlli eseguiti sulla base dei proxy.
a cui viene assegnato il punteggio dei proxy. Ogni controllo ha anche un peso, che conferisce a un controllo un significato più o meno importante se valutato in base a un proxy. I pesi sono impostati su minore, moderato o grave per ogni controllo. Ogni peso ha un valore in punti che viene utilizzato per calcolare un punteggio:
- Minore: 1
- Moderato: 5
- Maggiore: 15
- Profilo di sicurezza: una raccolta di controlli di valutazione. con cui vengono valutati i proxy di cui è stato eseguito il deployment in un ambiente.
- Punteggio di sicurezza: il punteggio di un proxy dopo la valutazione in base a un profilo di sicurezza.
Il punteggio è un valore compreso tra 0% e 100%. 100% indica che il proxy è completamente conforme a la valutazione e non sono stati rilevati rischi in base ai controlli di valutazione.
Il punteggio di sicurezza è essenzialmente il totale di tutti i punti assegnati per i controlli di valutazione superati diviso per il totale dei punti potenziali nel profilo. Il punteggio è una media ponderata, pertanto più criteri sono presenti nel profilo di sicurezza, minore sarà l'impatto di ogni controllo di valutazione sul punteggio di sicurezza.
Il peso del controllo di valutazione influisce anche sul punteggio di sicurezza. Superiore ponderazioni hanno un impatto maggiore sul calcolo, mentre quelle inferiori hanno un impatto minore, se si utilizza il punto per ogni ponderazione. Se i pesi sono uguali per tutti i controlli di valutazione nel profilo di sicurezza (ad esempio quando tutti i controlli di valutazione hanno un peso medio), il punteggio di sicurezza viene calcolato come media regolare. - Gravità: un valore di gravità per ogni proxy valutato, in base al punteggio di sicurezza. I valori di gravità potenziale sono elevati (0-50%), medi (51-90%), bassi (91-99%) e minimi (100%/nessun rischio rilevato in base alle valutazioni nel profilo di sicurezza assegnato).
Categorie e controlli di valutazione
Questa tabella mostra le categorie di valutazione e i singoli controlli che possono essere inclusi nei profili di sicurezza. Mostra inoltre consigli su come risolvere le valutazioni non riuscite per ciascuna.
| Categoria valutazione | Descrizione | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Auth | In questo caso, "Auth" indica sia l'autorizzazione che l'autenticazione. Valutazioni delle autorizzazioni
controlla se sono attivi criteri di autorizzazione e autenticazione e se
L'attributo continueOnError per i criteri di autenticazione è impostato su false.
|
|||||||||||||||||||||||||||||||||
| CORS | Controlla se nel criterio AssignMessage è presente un criterio CORS o un'intestazione CORS.
|
|||||||||||||||||||||||||||||||||
| Mediazione | Consente di verificare se è stata attivata una norma di mediazione.
|
|||||||||||||||||||||||||||||||||
| Target | Controlla se vengono utilizzate le protezioni del server di destinazione. Per informazioni sul server di destinazione
per la configurazione, consulta
Caricamento
del deployment tra i server di backend.
|
|||||||||||||||||||||||||||||||||
| Minaccia | Controlla se vengono utilizzati i criteri di prevenzione delle minacce.
|
|||||||||||||||||||||||||||||||||
| Traffico | Controlla se sono presenti criteri di gestione del traffico.
|
Punteggi di sicurezza del proxy e collegamento dei criteri
Per le valutazioni del proxy, i punteggi di sicurezza si basano sui criteri che utilizzi. Il modo in cui queste policy vengono valutate dipende dal fatto che siano collegate ai flussi e da come siano collegate ai flussi:
- Solo i criteri associati a un flusso (pre-flusso, flusso condizionale, post-flusso nei proxy o flusso condiviso) influiscono sui punteggi. I criteri non collegati a nessun flusso non influisce sui punteggi.
- I punteggi proxy prendono in considerazione i flussi condivisi chiamati da un proxy tramite gli hook di flusso e i criteri FlowCallout nel proxy, a condizione che il criterio FlowCallout sia associato a un flusso. Tuttavia, se FlowCallout non è associato a un flusso, i criteri del flusso condiviso collegato non influiscono sui punteggi di sicurezza.
- I flussi condivisi concatenati vengono valutati fino a cinque livelli. Tutti i criteri inclusi direttamente nel proxy e nei primi cinque livelli dei flussi condivisi vengono conteggiati ai fini del punteggio di sicurezza.
- Per i criteri associati ai flussi condizionali, i punteggi di sicurezza tengono conto solo della presenza dei criteri, non se o come vengono applicati in fase di esecuzione.
Profili di sicurezza versione 2
Un profilo di sicurezza è un insieme
valutazioni e ponderazioni della sicurezza
a cui assegnare un punteggio per i proxy API. Puoi utilizzare il profilo di sicurezza predefinito di Apigee, denominato google-default, oppure creare un profilo di sicurezza personalizzato che contenga solo le categorie di sicurezza e i relativi pesi che vuoi valutare.
Quando lavori con i profili di sicurezza o crei profili di sicurezza personalizzati, tieni presente che più all'interno di una categoria vengono valutati individualmente.
Ad esempio, se in un profilo di sicurezza sono presenti tre controlli dei criteri di autenticazione e il proxy valutato ne include uno, il punteggio della valutazione includerà i punti completi per il criterio trovato e zero punti per gli altri due criteri non presenti. In questo esempio, il proxy valutato non riceverebbe il massimo dei punti per i controlli dei criteri di autenticazione anche se include un criterio di autenticazione. Essere attento all'interpretazione del punteggio di sicurezza e alla progettazione del profilo di sicurezza dato questo comportamento.
Profilo di sicurezza predefinito
Advanced API Security fornisce un profilo di sicurezza predefinito che contiene tutte le valutazioni. Quando utilizzi il profilo predefinito, i punteggi di sicurezza si basano su tutte le categorie.
Il profilo di sicurezza predefinito, google-default, non può essere modificato o eliminato.
Profilo di sicurezza personalizzato
Puoi creare profili di sicurezza personalizzati che includono solo i controlli e i pesi di valutazione scelti per la valutazione rispetto ai proxy. Per istruzioni su come creare e utilizzare profili di sicurezza personalizzati dalla UI di Apigee, vedi Gestisci i profili personalizzati nella UI di Apigee.
Per i profili di sicurezza personalizzati:
- Il nome del profilo (chiamato anche ID profilo) è obbligatorio e viene visualizzato nella tabella di riepilogo quando vengono elencati i profili. Il nome deve contenere da 1 a 63 caratteri, che possono essere in minuscolo lettere, numeri 0-9 o trattini. Il primo carattere deve essere una lettera minuscola. L'ultimo carattere deve essere una lettera minuscola o un numero. I profili di sicurezza personalizzati devono avere nomi univoci e non possono duplicare i nomi dei profili esistenti.
- La descrizione del profilo è facoltativa e non può superare i 1000 caratteri.
Limitazioni e problemi noti sui punteggi di sicurezza v2
I punteggi di sicurezza presentano le seguenti limitazioni e i seguenti problemi noti:
- I punteggi di sicurezza vengono generati solo se in un ambiente sono stati implementati proxy.
- I proxy di cui è stato eseguito il deployment di recente e le organizzazioni e gli ambienti abilitati di recente non vengono immediatamente mostra i punteggi.
- Per i profili personalizzati, puoi creare un massimo di 100 profili personalizzati per organizzazione.
- Al momento non è supportata la notifica di nuovi calcoli e punteggi di valutazione.
Ritardi nei dati
I dati dei punteggi di sicurezza Advanced API Security presentano le seguenti caratteristiche di elaborazione prima che siano disponibili i risultati:
- Quando abiliti Advanced API Security in un'organizzazione per la prima volta, ci vuole tempo prima che i punteggi per i proxy e gli obiettivi esistenti riflesso in un ambiente. Come regola generale, sono necessari dai 30 ai 90 minuti per l'abbonamento per le organizzazioni e di tempo per le organizzazioni con pagamento a consumo.
- Nuovi eventi correlati ai proxy (deployment e annullamento del deployment) i target (creazione, aggiornamento, eliminazione) in un ambiente richiedono almeno 60 secondi e fino a 5 minuti (per ambienti molto grandi) per riflettere nel punteggio dell'ambiente.
Visualizza le valutazioni dei rischi nella UI di Apigee
La pagina Valutazione del rischio mostra i punteggi che misurano la sicurezza della tua API in ogni ambiente.
Per aprire la pagina Valutazione del rischio:
- Apri l'UI di Apigee nella console Cloud.
- Seleziona Advanced API Security > (Sicurezza avanzata delle API) > Valutazione del rischio.
Viene visualizzata la pagina Valutazione del rischio:
La pagina è composta dalle seguenti sezioni:
- Ambiente: seleziona l'ambiente in cui visualizzare le valutazioni.
- Profilo di sicurezza. Seleziona il profilo predefinito (
google-default) o una profilo personalizzato, se disponibile. Vedi Profili di sicurezza per informazioni sui profili di sicurezza. - proxy di cui è stato eseguito il deployment per gravità: una volta impostato l'ambiente, la pagina mostra un riepilogo le gravità tra i proxy nell'ambiente. Consulta Concetti e punteggi della valutazione del rischio.
- Dettagli della valutazione: mostra il profilo di sicurezza, la data e l'ora della valutazione, il totale
configurazioni valutate e il totale dei proxy di cui è stato eseguito il deployment per l'ambiente selezionato. Il numero totale di configurazioni valutate riflette il numero totale di "controlli" eseguiti. Questo conteggio
potrebbe essere superiore al numero di valutazioni in un profilo; alcune valutazioni,
come la verifica che l'attributo "continueOnError" sia impostato su
false, controllano anche se i criteri correlati sono implementati e abilitati. - Proxy di cui è stato eseguito il deployment: un riepilogo dei proxy di cui è stato eseguito il deployment nell'ambiente e dei relativi rischi.
punteggi di valutazione:
- Proxy: nome del proxy.
- Gravità: la gravità della valutazione del rischio per il proxy. Per informazioni, consulta Scori e severità della sicurezza.
- Punteggio: il punteggio della valutazione del rischio per il proxy. Consulta: Concetti di valutazione del rischio e valutazione per le informazioni.
- Revisione: la revisione del proxy in base alla quale è stato valutato il punteggio.
- Valutazioni non riuscite per peso: il numero di valutazioni non riuscite raggruppate per peso. peso nella valutazione.
- Consigli: consigli specifici per migliorare il punteggio sul proxy. Fai clic sul numero per visualizzare i consigli.
Gestire i profili personalizzati nell'interfaccia utente di Apigee
Questa sezione mostra come visualizzare, creare, modificare ed eliminare profili personalizzati utilizzando la UI di Apigee. Tieni presente limitazioni per i profili personalizzati elencati in Limitazioni dei punteggi di sicurezza.
Inizia con Visualizzazione delle valutazioni dei rischi nella UI di Apigee.
Creare e modificare profili personalizzati
Nella schermata Valutazione del rischio, seleziona la scheda Profili di sicurezza. Per modificare un modello esistente Profilo, fai clic sul nome del profilo per visualizzare i dettagli e seleziona Modifica. In alternativa, puoi selezionare Modifica dal menu Azioni nella riga del profilo in questione.
Per creare un nuovo profilo personalizzato, fai clic su + Crea nell'elenco dei profili di sicurezza.
Quando crei o modifichi un profilo personalizzato, puoi impostare i seguenti valori:
- Nome: il nome del profilo di sicurezza. Assicurati che sia univoco per il progetto.
- (Facoltativo) Descrizione. Una descrizione del profilo di sicurezza.
- Controlli di valutazione e Ponderazioni valutazione: uno o più controlli di valutazione per e un peso per ciascuno. Consulta Concetti e punteggi della valutazione del rischio per un elenco dei controlli di valutazione disponibili. Per aggiungere ulteriori controlli e pesi di valutazione al profilo, fai clic su + Aggiungi. Per eliminare una coppia di controllo/peso, fai clic sull'icona del cestino nella riga corrispondente.
Profili duplicati
Per duplicare un profilo esistente (per creare un nuovo profilo personalizzato), seleziona Duplica dal menu Azioni nella riga del profilo oppure fai clic sul nome del profilo nell'elenco dei profili per visualizzarne i metadati e poi fai clic su Duplica.
Il nome del nuovo profilo personalizzato non può corrispondere al profilo duplicato. Consulta Profilo di sicurezza personalizzato per i requisiti di denominazione dei profili di sicurezza.
Eliminare i profili personalizzati
Per eliminare un profilo personalizzato esistente, seleziona Elimina dal menu Azioni nella riga relativa a il profilo o fare clic sul nome nell'elenco per visualizzarne i metadati. e fai clic su Elimina.
Tieni presente che non puoi eliminare il profilo di sistema predefinito (google-default).
L'eliminazione di un profilo personalizzato ha effetto immediato e rimuove la possibilità di valutare i proxy rispetto al profilo o visualizzare le valutazioni precedenti rispetto a quel profilo personalizzato.
Valutazione dei rischi v1
Questa sezione descrive la valutazione del rischio v1. Per informazioni sulla versione 2 della valutazione del rischio, consulta Valutazione del rischio 2.
Punteggi di sicurezza
I punteggi di sicurezza valutano la sicurezza delle tue API, oltre alla loro strategia di sicurezza nel tempo. Ad esempio, un punteggio molto fluttuante potrebbe indicare che il comportamento dell'API è frequente il che potrebbe non essere auspicabile. Le modifiche in un ambiente che potrebbero causare il calo del punteggio includono:
- Deployment di molti proxy API senza i criteri di sicurezza necessari.
- Un picco nel traffico di abusi da fonti dannose.
L'osservazione delle variazioni dei punteggi di sicurezza nel tempo fornisce un buon indicatore di eventuali attività indesiderate o مشکوک nell'ambiente.
I punteggi di sicurezza sono calcolati in base al tuo profilo di sicurezza, che specifica le categorie di sicurezza che vuoi valutare. Puoi usare la piattaforma profilo di sicurezza predefinito oppure puoi crearne uno personalizzato le categorie di sicurezza più importanti per te.
Tipi di valutazione dei punteggi di sicurezza
Esistono tre tipi di valutazioni che contribuiscono al punteggio di sicurezza complessivo calcolato dalla Sicurezza delle API avanzata:
Valutazione dell'origine: valuta il traffico di abuso rilevato utilizzando le regole di rilevamento di Advanced API Security. "Abuso" si riferisce a richieste inviate all'API per scopi diversi da quelli per cui l'API è destinata.
- Valutazione dei proxy: valuta l'efficacia con cui i proxy hanno implementato diversi criteri di sicurezza nelle seguenti aree:
- Mediazione: controlla se uno dei seguenti criteri di mediazione è configurato per tutti i proxy nell'ambiente: OASValidation o SOAPMessageValidation.
- Sicurezza:
- Autorizzazione: verifica se uno dei seguenti criteri di autorizzazione è configurato per tutti i proxy nell'ambiente:
- CORS: controlla se CORS è configurato.
- Minaccia: controlla se uno dei seguenti criteri è configurato per tutti i proxy dell'ambiente: XMLThreatProtection o JSONThreatProtection.
Vedi In che modo i criteri influiscono sulla sicurezza del proxy per ulteriori informazioni.
- Valutazione del target: verifica se il protocollo mTLS (mutual Transport Layer Security) è configurato con i server di destinazione nell'ambiente.
A ciascuno di questi tipi di valutazione viene assegnato un punteggio. Il punteggio complessivo è la media dei punteggi dei singoli tipi di valutazione.
In che modo i criteri influiscono sui punteggi di sicurezza dei proxy
Per le valutazioni proxy, i punteggi di sicurezza si basano sui criteri che utilizzi. Il modo in cui queste policy vengono valutate dipende dal fatto che siano collegate ai flussi e da come siano collegate ai flussi:
- Solo i criteri associati a un flusso (pre-flusso, flusso condizionale, post-flusso nei proxy o flusso condiviso) influiscono sui punteggi. I criteri non collegati a nessun flusso non influisce sui punteggi.
- I punteggi dei proxy prendono in considerazione i flussi condivisi chiamati da un proxy tramite gli hook di flusso e i criteri FlowCallout nel proxy, a condizione che il criterio FlowCallout sia associato a un flusso. Tuttavia, se FlowCallout non è associato a un flusso, i criteri del flusso condiviso collegato non influiscono sui punteggi di sicurezza.
- Il concatenamento dei flussi condiviso non è supportato. I criteri inclusi tramite la catena di flussi condivisi non vengono valutati durante il calcolo dei punteggi di sicurezza.
- Per i criteri collegati ai flussi condizionali, i punteggi di sicurezza tengono conto solo la presenza dei criteri; non prende in considerazione se o come le norme vengono applicate in fase di runtime.
Profili di sicurezza
Un profilo di sicurezza è un insieme di categorie di sicurezza (descritte seguenti) in base ai quali vuoi che venga assegnato un punteggio alle tue API. Un profilo può contenere qualsiasi sottoinsieme delle categorie di sicurezza. Per visualizzare i punteggi di sicurezza di un ambiente, devi prima collegare un profilo di sicurezza all'ambiente. Puoi usare il database predefinito profilo di sicurezza personalizzato oppure puoi crearne uno personalizzato che contiene solo le categorie di sicurezza che consideri importanti.
Profilo di sicurezza predefinito
Advanced API Security fornisce un profilo di sicurezza predefinito che contiene tutte le categorie di sicurezza. Se utilizzi il profilo predefinito, i punteggi di sicurezza si baseranno su tutte le categorie.
Profilo di sicurezza personalizzato
I profili di sicurezza personalizzati ti consentono di basare i punteggi di sicurezza solo sulle categorie di sicurezza che vuoi includere nel punteggio. Consulta: Crea e modifica i profili di sicurezza per scoprire come fare. per creare un profilo personalizzato.
Categorie di sicurezza
I punteggi di sicurezza si basano su una valutazione delle categorie di sicurezza descritte di seguito.
| Categoria | Descrizione | Consiglio |
|---|---|---|
| Comportamenti illeciti | Verifica la presenza di abusi, che includono eventuali richieste inviate all'API per scopi diversi da quelli previsti, ad esempio volumi elevati di richieste, scraping dei dati e abusi relativi all'autorizzazione. | Leggi i consigli su comportamenti illeciti. |
| Autorizzazione | Controlla se è stato implementato un criterio di autorizzazione. | Aggiungi uno dei seguenti criteri al proxy: |
| CORS | Controlla se hai un criterio CORS. | Aggiungi un criterio CORS al proxy. |
| MTLS | Controlla se hai configurato mTLS (mutual Transport Layer Security) per il server di destinazione. | Consulta: Configurazione mTLS del server di destinazione. |
| Mediazione | Controlla se hai implementato un criterio di mediazione. | Aggiungi uno dei seguenti criteri ai proxy: |
| Minaccia | Verifica se è in atto un criterio di protezione dalle minacce. | Aggiungi uno dei seguenti criteri ai tuoi proxy: |
Limitazioni dei punteggi di sicurezza v1
I punteggi di sicurezza presentano le seguenti limitazioni:
- Puoi creare fino a 100 profili personalizzati per organizzazione.
- I punteggi di sicurezza vengono generati solo se un ambiente dispone di proxy, server di destinazione e traffico.
- I proxy appena implementati non mostrano immediatamente i punteggi.
Ritardi nei dati
I dati su cui si basano i punteggi di sicurezza della piattaforma di sicurezza delle API avanzata presentano i seguenti ritardi, a causa del modo in cui vengono elaborati:
- Quando abiliti Advanced API Security in un'organizzazione, possono essere necessarie fino a 6 ore prima che i punteggi riflesso in un ambiente.
- Nuovi eventi correlati ai proxy (deployment e annullamento del deployment) i target (creazione, aggiornamento, eliminazione) in un ambiente possono richiedere fino a 6 ore per riflettere nel punteggio dell'ambiente.
- I dati che fluiscono nella pipeline di Apigee Analytics presentano un ritardo medio di massimo 15-20 minuti. Di conseguenza, i dati sugli abusi relativi ai punteggi delle origini hanno un ritardo di elaborazione di circa 15-20 minuti.
Apri la pagina Valutazione del rischio.
La pagina Valutazione del rischio mostra i punteggi che misurano la sicurezza della tua API in ogni completamente gestito di Google Cloud.
Potrebbero essere necessari alcuni minuti per visualizzare la pagina Valutazione del rischio da caricare. Il caricamento della pagina richiederà più tempo per gli ambienti con un elevato volume di traffico e un numero elevato di proxy e target.
Apigee nella console Cloud
Per aprire la pagina Valutazione del rischio:
- Apri l'UI di Apigee nella console Cloud.
- Seleziona Sicurezza API avanzata > Valutazione dei rischi.
Viene visualizzata la pagina Valutazione del rischio:
La pagina contiene due schede, descritte nelle sezioni seguenti:
- Punteggi di sicurezza: visualizza i punteggi di sicurezza.
- Profili di sicurezza: visualizza, crea e modifica i profili di sicurezza.
Visualizzare i punteggi di sicurezza
Per visualizzare i punteggi di sicurezza, fai clic sulla scheda Punteggi di sicurezza.
Tieni presente che non vengono calcolati punteggi per un ambiente finché non colleghi un profilo di sicurezza, come descritto in Collegare un profilo di sicurezza a un ambiente. Apigee fornisce un criterio di sicurezza predefinito oppure puoi creare un profilo personalizzato, come descritto in Creare e modificare i profili di sicurezza.
La tabella Punteggi di sicurezza mostra le seguenti colonne:
- Ambiente: l'ambiente in cui vengono calcolati i punteggi.
- Livello di rischio: il livello di rischio per l'ambiente, che può essere basso, moderato o elevato.
- Punteggio di sicurezza: il punteggio totale dell'ambiente su 1200.
- Consigli totali: il numero di consigli forniti.
- Profilo: il nome del profilo di sicurezza allegato.
- Ultimo aggiornamento: la data più recente in cui sono stati aggiornati i punteggi di sicurezza.
- Azioni: fai clic sul menu con tre puntini nella riga dell'ambiente per eseguire le seguenti azioni:
- Allega profilo: allega un profilo di sicurezza all'ambiente.
- Scollega profilo: scollega un profilo di sicurezza dall'ambiente.
collega un profilo di sicurezza a un ambiente
Per visualizzare i punteggi di sicurezza per un ambiente, devi prima collegare un profilo di sicurezza all'ambiente come segue:
- In Azioni, fai clic sul menu con tre puntini nella riga relativa all'ambiente.
- Fai clic su Allega profilo.
- Nella finestra di dialogo Collega profilo:
- Fai clic sul campo Profilo e seleziona il profilo da allegare. Se non disponi ha creato un profilo di sicurezza personalizzato, l'unico profilo disponibile è predefinito.
- Fai clic su Assegna.
Quando colleghi un profilo di sicurezza a un ambiente, Advanced API Security viene avviato immediatamente la valutazione e l'assegnazione dei punteggi. Tieni presente che la visualizzazione del punteggio potrebbe richiedere alcuni minuti.
Il punteggio complessivo viene calcolato a partire dai singoli punteggi nei tre tipi di valutazione:
- Valutazione della fonte
- Valutazione del proxy
- Valutazione del target
Tieni presente che tutti i punteggi sono compresi tra 200 e 1200. Punteggi di valutazione più elevati indicano un rischio di sicurezza inferiore.
Visualizza i punteggi
Dopo aver collegato un profilo di sicurezza a un ambiente, puoi visualizzare i punteggi e i consigli nell'ambiente. Per farlo, fai clic sulla riga relativa all'ambiente nella pagina principale Scori di sicurezza. Vengono visualizzati i punteggi per l'ambiente, come mostrato di seguito:
La visualizzazione mostra quattro schede:
Panoramica
La scheda Panoramica mostra quanto segue:
- Principali caratteristiche di ogni test:
- Proxy: mostra il principale suggerimento per i proxy nell'ambiente. Fai clic su Modifica proxy per aprire Editor proxy Apigee, dove puoi implementare il suggerimento.
- Target: mostra il consiglio principale per i target nell'ambiente. Fai clic su Visualizza i server di destinazione. per aprire Obiettivo Scheda Server in Gestione > Ambienti nella UI di Apigee.
- Sorgente: mostra il traffico illecito rilevato. Fai clic su Traffico rilevato per visualizzare Traffico rilevato della pagina Rilevamento di abusi.
- Riepiloghi per Valutazione della fonte, Valutazione del proxy e Valutazione del target.
tra cui:
- Il punteggio più recente per ogni tipo di valutazione.
- Il riquadro Valutazione della fonte mostra l'abuso rilevato il traffico e gli indirizzi IP.
- I riquadri Valutazione proxy e Valutazione target mostrano il livello di rischio per queste valutazioni.
- Fai clic su Visualizza dettagli valutazione. in uno dei riquadri di riepilogo per visualizzare i dettagli relativi al tipo di valutazione in questione:
- Cronologia valutazioni, che mostra un grafico dei punteggi totali giornalieri per l'ambiente in un periodo di tempo recente, che puoi scegliere di essere di 3 o 7 giorni. Per impostazione predefinita, il grafico mostra 3 giorni. Il grafico mostra anche il punteggio totale medio per lo stesso periodo.
Tieni presente che un punteggio viene calcolato per il tipo di valutazione solo se c'è qualcosa da valutare. Ad esempio, se non sono presenti server target, non verrà riportato alcun punteggio per Target.
Valutazione della fonte
Fai clic sulla scheda Valutazione della fonte per visualizzare i dettagli della valutazione per l'ambiente.
Fai clic sull'icona di espansione a destra di Dettagli valutazione per visualizzare un grafico della fonte in un recente periodo di tempo, che puoi scegliere di 3 o 7 giorni.
Il riquadro Origine mostra una tabella con le seguenti informazioni:
- Categoria: la categoria per la valutazione.
- Livello di rischio: il livello di rischio per la categoria.
- Punteggio di sicurezza: il punteggio di sicurezza per la categoria di abuso.
- Consigli: il numero di consigli per la categoria.
Dettagli origine
Il riquadro Dettagli origine mostra i dettagli del traffico illecito rilevato nell'ambiente. tra cui:
- Dettagli sul traffico:
- Traffico rilevato: il numero di chiamate API provenienti da un indirizzo IP che è stato rilevato come fonte di abusi.
- Traffico totale: il numero totale di chiamate API effettuate.
- Conteggio indirizzi IP rilevati:il numero di indirizzi IP distinti che sono stati rilevate come fonti di abuso.
- Ora di inizio dell'osservazione (UTC): l'ora di inizio nel fuso orario UTC del periodo in cui si è verificato il traffico. è stato monitorato.
- Ora di fine dell'osservazione (UTC): l'ora di fine nel fuso orario UTC del periodo in cui il traffico. è stato monitorato.
- Data della valutazione: la data e l'ora in cui è stata effettuata la valutazione.
- Il consiglio per migliorare il punteggio. Per ulteriori informazioni, leggi i consigli sui comportamenti illeciti. Consigli sulla gestione del traffico illecito.
Per creare un'azione di sicurezza per gestire i problemi sollevati dalla valutazione dell'origine, fai clic sul pulsante Crea azione di sicurezza.
Valutazione proxy
La valutazione del proxy API calcola i punteggi per tutti i proxy nell'ambiente. Per visualizzare la valutazione del proxy, fai clic sulla scheda Proxy Assessment (Valutazione proxy):
Il riquadro Proxy mostra una tabella con le seguenti informazioni:
- Proxy: il proxy in fase di valutazione.
- Livello di rischio: il livello di rischio per il proxy.
- Punteggio di sicurezza: il punteggio di sicurezza del proxy.
- Richiede attenzione: le categorie di valutazione che devono essere gestite per migliorare il punteggio per il proxy.
- Consigli: il numero di consigli per il proxy.
Fai clic sul nome di un proxy nella tabella per aprire il Editor proxy, dove puoi apportare le modifiche consigliate al proxy.
Suggerimenti sui proxy
Se un proxy ha un punteggio basso, puoi visualizzare i consigli per migliorarlo nel riquadro Consigli. Per visualizzare i suggerimenti per un proxy, fai clic sulla colonna Richiede attenzione per il proxy nel riquadro Proxy.
Viene visualizzato il riquadro Consigli:
- Data della valutazione:la data e l'ora in cui è stata effettuata la valutazione.
- Il consiglio per migliorare il punteggio.
Valutazione del target
La valutazione del target calcola un punteggio di sicurezza del livello di trasporto mutuale (mTLS) per ogni server target nell'ambiente. I punteggi target vengono assegnati come segue:
- Nessun TLS presente: 200
- TLS unidirezionale presente: 900
- Bidirezionale o mTLS presente: 1200
Per visualizzare la valutazione del target, fai clic sulla scheda Valutazione target:
Il riquadro Target mostra le seguenti informazioni:
- Target: il nome del target.
- Livello di rischio: il livello di rischio per il target.
- Punteggio di sicurezza: il punteggio di sicurezza per il target.
- Richiede attenzione: le categorie di valutazione che devono essere gestite per migliorare il punteggio per il target.
- Consigli: il numero di consigli per il target.
Fai clic sul nome di un target nella tabella per aprire la scheda Server target nella pagina Gestione > Ambienti dell'interfaccia utente di Apigee, dove puoi applicare le azioni consigliate al target.
Suggerimenti per il targeting
Se un server di destinazione ha un punteggio basso, puoi visualizzare i consigli per migliorarlo nel riquadro Consigli. Per visualizzare i consigli per un target, fai clic sulla colonna Richiede attenzione relativa al target nel riquadro Target.
Viene visualizzato il riquadro Consigli:
- Data della valutazione:la data e l'ora in cui è stata effettuata la valutazione.
- Il consiglio per migliorare il punteggio.
Creare e modificare i profili di sicurezza
Per creare o modificare un profilo di sicurezza, seleziona la scheda Profili di sicurezza.
La scheda Profili di sicurezza mostra un elenco di sicurezza profili, incluse le seguenti informazioni:
- Nome:il nome del profilo.
- Categorie: le categorie di sicurezza incluse nel profilo.
- Descrizione: la descrizione facoltativa del profilo.
- Ambienti: gli ambienti a cui è associato il profilo. Se questa colonna è vuota, il profilo non è associato a nessun ambiente.
- Ultimo aggiornamento (UTC): la data e l'ora dell'ultimo aggiornamento del profilo.
- Azioni:un menu con le seguenti voci:
Visualizzare i dettagli di un profilo di sicurezza
Per visualizzare i dettagli di un profilo di sicurezza, fai clic sul nome nella riga corrispondente. Vengono visualizzati i dettagli del profilo come mostrato di seguito.
La prima riga della scheda Dettagli mostra l'ID revisione: il numero della revisione più recente del profilo. Quando modifichi un profilo e cambi le categorie di sicurezza, l'ID revisione viene aumentato di 1. Tuttavia, la semplice modifica della descrizione del profilo senza aumentare l'ID revisione.
Le righe riportate di seguito mostrano le stesse informazioni mostrate nella riga del profilo nella scheda Profili di sicurezza.
La visualizzazione dei dettagli del profilo contiene anche due pulsanti etichettati Modifica ed Elimina, che puoi utilizzare per modificare o eliminare un profilo di sicurezza.
Cronologia
Per visualizzare la cronologia del profilo, fai clic sulla scheda Cronologia. Viene visualizzato un elenco di tutte le revisioni del profilo. Per ogni revisione, l'elenco mostra:
- ID revisione: il numero di revisione.
- Categorie: le categorie di sicurezza incluse nella revisione del profilo.
- Ultimo aggiornamento (UTC): la data e l'ora in UTC al momento della creazione della revisione.
Creare un profilo di sicurezza personalizzato
Per creare un nuovo profilo di sicurezza personalizzato:
- Fai clic su Crea nella parte superiore della pagina.
- Nella finestra di dialogo visualizzata, inserisci quanto segue:
- Nome: il nome del profilo. Il nome deve essere composto da 1 a 63 lettere minuscole, numeri o trattini e deve iniziare con una lettera e terminare con una lettera o un numero. La deve essere diverso da quello di qualsiasi profilo esistente.
- (Facoltativo) Descrizione: una descrizione del profilo.
- Nel campo Categorie, seleziona le categorie di valutazione che vuoi includere il profilo.
Modificare un profilo di sicurezza personalizzato
Per modificare un profilo di sicurezza personalizzato:
- Alla fine della riga del profilo di sicurezza, fai clic sul menu Azioni.
- Seleziona Modifica.
- Nella pagina Modifica profilo di sicurezza, puoi modificare:
- Descrizione: la descrizione facoltativa del profilo di sicurezza.
- Categorie: le categorie di sicurezza selezionate per il profilo. Fai clic sul menu a discesa e modifica le categorie selezionate selezionandole o deselezionandole nel menu.
- Fai clic su OK.
Eliminare un profilo di sicurezza personalizzato
Per eliminare un profilo di sicurezza, fai clic su Azioni alla fine della riga del profilo e seleziona Elimina. Tieni presente che l'eliminazione di un profilo comporta anche il suo scollegamento da tutti gli ambienti.
UI classica di Apigee
Per aprire la visualizzazione Punteggi di sicurezza:
- Apri l'interfaccia utente Apigee classica.
- Seleziona Analizza > Sicurezza delle API > Punteggi di sicurezza.
Viene visualizzata la visualizzazione Punteggi di sicurezza:
Tieni presente che non vengono calcolati punteggi per un ambiente finché non colleghi un profilo di sicurezza all'ambiente. Apigee fornisce un criterio di sicurezza predefinito oppure puoi creare un profilo personalizzato utilizzando l'API Apigee. Consulta: Utilizza un tag profilo di sicurezza personalizzato per maggiori dettagli.
Nell'immagine sopra, nessun profilo di sicurezza è stato associato a integration
dell'ambiente di rete,
Nella colonna Nome profilo viene visualizzato Non impostato per quell'ambiente.
La tabella Scori di sicurezza mostra le seguenti colonne:
- Ambiente: l'ambiente in cui vengono calcolati i punteggi.
- Punteggio più recente: il punteggio totale più recente per l'ambiente, su 1200.
- Livello di rischio: il livello di rischio, che può essere basso, moderato o grave.
- Consigli totali: il numero di consigli forniti. Ciascuna suggerimento corrisponde a una riga nella tabella Richiede attenzione.
- Nome profilo: il nome del profilo di sicurezza.
- Data della valutazione: l'ultima data in cui sono stati calcolati i punteggi di sicurezza.
collega un profilo di sicurezza a un ambiente
Per visualizzare i punteggi di sicurezza per un ambiente, devi prima collegare un profilo di sicurezza all'ambiente come segue:
- In Azioni, fai clic sul menu con tre puntini nella riga dell'ambiente.
- Fai clic su Allega profilo.
- Nella finestra di dialogo Collega profilo:
- Fai clic sul campo Profilo e seleziona il profilo da allegare. Se non disponi ha creato un profilo di sicurezza personalizzato, l'unico profilo disponibile è predefinito.
- Fai clic su Assegna.
Quando colleghi un profilo di sicurezza a un ambiente, Advanced API Security viene avviato immediatamente la valutazione e l'assegnazione dei punteggi. Tieni presente che la visualizzazione del punteggio potrebbe richiedere alcuni minuti.
L'immagine seguente mostra la visualizzazione Punteggi di sicurezza con un ambiente con l'impostazione predefinita profilo di sicurezza allegato:
La riga relativa all'ambiente ora mostra il punteggio di sicurezza più recente, il livello di rischio, il numero di consigli per le azioni di sicurezza da intraprendere e la data della valutazione del punteggio.
Il punteggio complessivo viene calcolato dai singoli punteggi nei tre tipi di valutazione:
- Valutazione della fonte
- Valutazione del proxy
- Valutazione del target
Tieni presente che tutti i punteggi rientrano nell'intervallo 200-1200. Più alto è il punteggio, migliore sarà e la valutazione della sicurezza.
Visualizza i punteggi
Dopo aver collegato un profilo di sicurezza a un ambiente, puoi visualizzare i punteggi e i consigli nell'ambiente. Per farlo, fai clic sulla riga relativa all'ambiente nella sezione Punteggi di sicurezza principali vista. Vengono visualizzati i punteggi per l'ambiente, come mostrato di seguito:
Viene visualizzata la visualizzazione:
- Gli ultimi punteggi per Sorgenti, Proxy e Destinazioni. Fai clic su Visualizza dettagli valutazione in uno di questi riquadri per visualizzare la valutazione per quel tipo.
- Cronologia dei punteggi dell'ambiente, che mostra un grafico dei punteggi totali giornalieri per l'ambiente negli ultimi 5 giorni, nonché il punteggio totale medio nello stesso periodo.
- La tabella Richiede attenzione, che elenca i tipi di valutazione delle API in cui puoi migliorare la sicurezza.
Tieni presente che un punteggio viene calcolato per il tipo di valutazione solo se c'è qualcosa da valutare. Ad esempio, se non sono presenti server target, non verrà riportato alcun punteggio per Target.
Le seguenti sezioni descrivono come visualizzare le valutazioni per ogni tipo:
Tabella Richiede attenzione
La tabella Richiede attenzione mostrata sopra, elenca le categorie API i cui punteggi sono inferiore a 1200, insieme a:
- Il punteggio più recente per la categoria
- Il livello di rischio per la categoria, che può essere basso, moderato o grave
- La data della valutazione
- Il tipo di valutazione
Visualizza i suggerimenti
Per ogni riga della tabella, Advanced API Security fornisce un suggerimento per migliorare il punteggio. Puoi visualizzare i consigli nelle visualizzazioni Dettagli valutazione per ciascuno dei tipi Origini, Proxy o Destinazioni, come descritto nelle seguenti sezioni:
Puoi aprire una visualizzazione Dettagli test in uno dei seguenti modi:
- Fai clic su Visualizza dettagli valutazione in uno qualsiasi dei riquadri dei punteggi di sicurezza principali. vista.
- Nella tabella Richiede attenzione:
- Espandi il gruppo di categorie nella tabella:
- Fai clic sulla categoria per cui vuoi visualizzare il consiglio. Si apre visualizzazione dei dettagli della valutazione corrispondente al consiglio.
- Espandi il gruppo di categorie nella tabella:
Valutazione della fonte
La valutazione della fonte calcola un punteggio di abuso per completamente gestito di Google Cloud. Per "abuso" si intendono le richieste inviate all'API per scopi diversi da quelli previsti per l'API.
Per visualizzare la valutazione della fonte, fai clic su Visualizza nel riquadro Origini. per aprire la vista Valutazione origine API:
La Cronologia del punteggio sorgente mostra i punteggi degli ultimi 5 giorni, insieme a media e punteggio più recente. Viene visualizzata la tabella Dettagli test gli ultimi punteggi individuali delle categorie della valutazione.
Suggerimenti sulle fonti
Se una categoria ha un punteggio basso, puoi visualizzare i consigli per migliorarla. Per visualizzare un consiglio relativo alla categoria di abuso, fai clic sulla relativa riga nella Tabella Dettagli valutazione. Il consiglio viene visualizzato nel riquadro Consigli.
Per visualizzare i dettagli dell'abuso, fai clic su Visualizza dettagli. Viene visualizzata la visualizzazione Traffico rilevato nella pagina Rilevamento abusi. La visualizzazione Traffico rilevato mostra informazioni dettagliate sugli abusi rilevati.
Sotto la riga Visualizza dettagli, il riquadro Consigli mostra:
- Il consiglio: "Blocca o consenti il traffico identificato da il rilevamento di abusi". .
- La riga Azioni mostra un link alla documentazione relativa ai consigli per gli abusi.
Valutazione proxy
La valutazione del proxy API calcola i punteggi per tutti proxy nell'ambiente. Per visualizzare la valutazione del proxy, fai clic su Visualizza nel riquadro Proxy per aprire la vista Valutazione proxy API:
La Cronologia dei punteggi del proxy mostra i punteggi degli ultimi 5 giorni, nonché la media e il punteggio più recente. Viene visualizzata la tabella Dettagli test gli ultimi punteggi individuali delle categorie della valutazione.
Consigli sui proxy
Se un proxy ha un punteggio basso, puoi visualizzare i consigli per migliorarlo. Ad esempio, per visualizzare i consigli per il proxy hellooauth2, fai clic sulla relativa riga nella tabella dei dettagli della valutazione. Mostra i consigli nella scheda Consigli. riquadro. Due di questi sono mostrati di seguito.
Valutazione del target
La valutazione del target calcola un punteggio mTLS per ogni server di destinazione nell'ambiente. I punteggi target vengono assegnati come segue:
- Nessun TLS presente: 200
- TLS unidirezionale presente: 900
- È presente mTLS o crittografia bidirezionale: 1200
Per visualizzare il test di destinazione, fai clic su Visualizza nel riquadro Destinazioni per aprire la vista Valutazione target API:
La cronologia punteggio target mostra i punteggi degli ultimi 5 giorni, insieme a media e punteggio più recente. La tabella Dettagli valutazione mostra gli ultimi punteggi individuali per le categorie della valutazione.
Suggerimenti per il targeting
Se un server di destinazione ha un punteggio basso, puoi visualizzare i consigli per migliorarlo. Per visualizzare la valutazione di un server di destinazione, fai clic sulla riga corrispondente. Il consiglio viene visualizzato nel riquadro Consigli.
Consigli per gli abusi
Se il punteggio dell'origine è basso, Apigee consiglia di esaminare gli IP per i quali è stato commesso un abuso rilevato. Quindi, se sei d'accordo che il traffico proveniente da questi IP è illecito, utilizza Pagina Azioni di sicurezza per bloccare le richieste da indirizzi IP che sono sorgenti di traffico illecito.
Per ulteriori informazioni sull'abuso, puoi utilizzare una delle seguenti risorse:
- La pagina Rilevamento di comportamenti illeciti, che mostra informazioni sugli incidenti di sicurezza che implicano un traffico illecito.
- La pagina Report sulla sicurezza.
Ad esempio, puoi creare i seguenti report:
- gli indirizzi IP dei bot, come descritto in Ad esempio, il report sugli indirizzi IP dei bot.
- Traffico generato da bot per bot_reason, come descritto in Esempio: report sul traffico generato da bot per motivo del bot.