Diese Seite wurde von der Cloud Translation API übersetzt.

Risikobewertung – Übersicht und Benutzeroberfläche

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Übersicht

Die Risikobewertung der erweiterten API-Sicherheit bewertet kontinuierlich API-Proxy-Konfigurationen und berechnet Sicherheitsbewertungen, um Sicherheitslücken in Ihren APIs zu identifizieren und zu beheben.

Die Risikobewertung hilft dabei:

Konsistente Sicherheitsstandards für alle APIs durchzusetzen
Fehlkonfigurationen in API-Einrichtungen zu erkennen.
Ihren Gesamtsicherheitsscore mit den empfohlenen Maßnahmen zu verbessern.
Sicherheitsprobleme über ein zentrales Dashboard schnell zu untersuchen und zu beheben

Sie können auf die Risikobewertung entweder über die Apigee-Benutzeroberfläche, wie auf dieser Seite beschrieben, oder über die Security Scores and Profiles API zugreifen.

Informationen zu den Rollen, die zum Ausführen von Risikobewertungsaufgaben erforderlich sind, finden Sie unter Erforderliche Rollen für die Risikobewertung.

Wenn Sie diese Funktion verwenden möchten, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Risikobewertung 1/2

Die Risikobewertung ist in zwei Versionen verfügbar: Risikobewertung 1, die allgemein verfügbar ist, und Risikobewertung 2, die sich in der Vorabversion befindet. Für die Verwendung beider Versionen ist das Add-on „Erweiterte API-Sicherheit“ erforderlich.

Die wichtigsten Funktionsunterschiede zwischen Version 1 und Version 2 sind:

Version 2 umfasst:
- Verbesserte Zuverlässigkeit, einschließlich schnellerer Bewertungsberechnung mit aktuellen Proxy-Daten
- Berechnung der Punktzahl, ohne zuerst ein Sicherheitsprofil an eine Umgebung anhängen zu müssen
- Vereinfachte Präsentation der Bewertung, basierend auf einer Skala von 0 % bis 100 %
- Das Konzept der Gewichte, das in Version 1 nicht vorhanden ist. Siehe Sicherheitsbewertungen und -gewichtungen.
- Zusätzliche Bewertungen gegenüber Version 1, die weitere Richtlinien bei der Berechnung von Punktzahlen prüfen. Beispiel: Version 1 unterstützt fünf autorisierungsbezogene Richtlinien, Version 2 acht. Außerdem enthält Version 2 eine Kategorie für die Traffic-Verwaltung mit zugehörigen Richtlinien und führt zusätzliche Richtlinienprüfungen durch, einschließlich des continueOnError-Attributs.
- Prüfung verschachtelter freigegebener Abläufe und Ablauf-Hooks mit bis zu fünf Verschachtelungsebenen. In Version 1 werden Richtlinien, die über die Verknüpfung freigegebener Abläufe eingebunden sind, nicht ausgewertet.
- Ersetzen von Zielbewertungen (Zielserverbewertungen) durch proxybasierte Bewertungen und Empfehlungen. Wenn ein Ziel in einem Proxy verwendet wird, enthalten die Sicherheitspunktzahlen für diesen Proxy auch die Punktzahl für den Zielserver.
Version 2 unterstützt folgende Elemente nicht:
- Bewertung der Quelle basierend auf missbräuchlichem Traffic.
- Benutzerdefinierte Profile. Derzeit wird in Version 2 nur das google-default-Profil unterstützt.
- Messwerte und Monitoring werden derzeit nicht unterstützt.

Risikobewertung – Version 2

In diesem Abschnitt wird die Version 2 der Risikobewertung beschrieben, die neue Version der Risikobewertung. Einige Konzepte und Verhaltensweisen der Risikobewertung unterscheiden sich zwischen Version 1 und Version 2. Informationen zur Verwendung mit der Risikobewertung 1 finden Sie unter Risikobewertung 1.

Um die Risikobewertung 2 zu verwenden, müssen Sie die folgenden Hauptkonzepte verstehen: Sicherheitsbewertungen/Schweregrade und Sicherheitsprofile.

Sicherheitsbewertungen/Schweregrade

Sicherheitsbewertungen schätzen die Sicherheit Ihrer APIs und basieren auf der bestandenen oder nicht bestandenen Ausgabe von Sicherheitsbewertungen und -gewichtungen im Sicherheitsprofil, das auf die Umgebung angewendet wird. Der Wert ist ein Wert zwischen 0 % und 100 %. 100 % bedeutet, dass der Proxy vollständig den Bewertungen entspricht und keine relevanten Risiken gefunden wurden.

Die Risikobewertung 2 bietet auch einen Schweregrad, der auf der Sicherheitspunktzahl basiert. Die möglichen Schweregrade sind hoch (0–50 %), mittel (51–90 %), niedrig (91–99 %) und minimal (100 %/kein Risiko basierend auf den Bewertungen im zugewiesenen Sicherheitsprofil).

Sicherheitspunktzahlen bewerten auch den Sicherheitsstatus Ihrer APIs im Zeitverlauf. Beispielsweise kann eine schwankende Punktzahl darauf hinweisen, dass sich das API-Verhalten häufig ändert, was vielleicht nicht erwünscht ist. Zu den Änderungen in einer Umgebung, die zu einem Rückgang der Punktzahl führen können, gehören:

Das Deployment von API-Proxys ohne die erforderlichen Sicherheitsrichtlinien.
Freigegebene Ablaufänderungen über Ablauf-Hook-Bereitstellungen und Ergänzungen der FlowCallout-Richtlinien.
Der Zielserver ändert sich in Umgebungs- oder Proxy-Bereitstellungen.

Auswirkungen von Richtlinien auf Proxy-Security Scores

Für Proxybewertungen basieren die Sicherheitspunktzahlen auf den von Ihnen verwendeten Richtlinien. Wie diese Richtlinien bewertet werden, hängt davon ab, ob und wie sie mit Abläufen verknüpft sind:

Nur Richtlinien, die mit einem Ablauf (PreFlow, bedingter Ablauf, PostFlow in Proxys oder freigegebener Ablauf) verknüpft sind, wirken sich auf diese Punktzahlen aus. Richtlinien, die mit keinem Ablauf verknüpft sind, haben keine Auswirkungen auf diese Bewertungen.
Proxy-Punktzahlen berücksichtigen freigegebene Flows eines Proxys über Ablauf-Hooks und FlowCallout-Richtlinien im Proxy, wenn die FlowCallout-Richtlinie an einen Ablauf angehängt ist. Ist FlowCallout jedoch nicht mit einem Ablauf verknüpft, wirken sich Richtlinien aus dem verknüpften freigegebenen Ablauf nicht auf die Sicherheitsbewertungen aus.
Verkettete freigegebene Abläufe werden bis zu fünf Ebenen tief ausgewertet. Alle Richtlinien, die direkt im Proxy und in den ersten fünf Ebenen freigegebener Abläufe enthalten sind, werden auf die Sicherheitspunktzahl angerechnet.
Bei Richtlinien, die mit bedingten Abläufen verknüpft sind, berücksichtigt die Sicherheitspunktzahl nur, ob die Richtlinien vorhanden sind. Es wird nicht berücksichtigt, ob oder wie die Richtlinien zur Laufzeit erzwungen werden.

Sicherheitsbewertungen und Gewichtungen

Die Sicherheitspunktzahlen basieren auf den hier aufgeführten Bewertungskategorien.

Diese Bewertungen basieren auch auf der Gewichtung pro Kategorie, die sich je nach Profil unterscheidet. Die Gewichtung wird pro Kategorie in einem Profil auf „wichtig“, „mittel“ oder „gering“ festgelegt. So können Sie die Auswirkungen der Regel auf die Bewertung beeinflussen. Wenn eine Bewertung in einer Kategorie mit hoher Gewichtung nicht besteht, hat das eine stärkere negative Auswirkung als bei einer Kategorie mit mittlerer oder geringer Gewichtung.

Bewertungskategorie	Beschreibung	Gewicht	Empfehlung
Autorisierung	Prüft, ob eine Autorisierungsrichtlinie vorhanden ist.	Schwerwiegend	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: AccessControl BasicAuth HMAC JWS- oder JWT-Richtlinie OAuth ValidateSAMLAssertion VerifyAPIKey
Autorisierung	Prüft, ob das Attribut „continueOnError“ für Autorisierungsrichtlinien auf `false` festgelegt ist. Dabei wird auch geprüft, ob eine Autorisierungsrichtlinie vorhanden ist.	Schwerwiegend	Legen Sie für die verwendeten Autorisierungsrichtlinien „continueOnError“ auf `false` fest.
CORS	Prüft, ob eine CORS-Richtlinie oder ein CORS-Header in der AssignMessage-Richtlinie vorhanden ist.	Schwerwiegend	Fügen Sie Ihrem Proxy eine CORS hinzu.
Mediation	Prüft, ob eine Mediationsrichtlinie vorhanden ist.	Schwerwiegend	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: OASValidation SOAPMessageValidation
Ziel	Prüft, ob eine Einweg- oder mTLS-Richtlinie vorhanden ist. Hinweis: Die Prüfung ist bestanden, wenn entweder mTLS oder SSL aktiviert ist.	Schwerwiegend	Konfigurieren Sie die Sicherheit auf den Zielservern: Zielserver für TLS/SSL konfigurieren
Ziel	Prüft, ob „enforce“ (erzwingen) für die strenge SSL-Erzwingung auf `true` gesetzt ist. Dabei wird auch geprüft, ob eine SSL-Richtlinie vorhanden ist.	Schwerwiegend	Konfigurieren Sie das Feld „enforce“ für strenges SSL zwischen Apigee und den Zielen. Weitere Informationen finden Sie unter Strenge SSL-Durchsetzung konfigurieren.
Bedrohung	Prüft, ob eine Richtlinie zum Schutz vor Bedrohungen vorhanden ist.	Schwerwiegend	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: JSONThreatProtection RegularExpressionProtection XMLThreatProtection
Bedrohung	Prüft, ob das Attribut „continueOnError“ für Richtlinien zum Schutz vor Bedrohungen auf `false` gesetzt ist. Dabei wird auch geprüft, ob eine Bedrohungsrichtlinie vorhanden ist.	Schwerwiegend	Legen Sie für alle verwendeten Richtlinien zu Bedrohungen „continueOnError“ auf `false` fest.
Traffic-Verwaltung	Prüft, ob eine Richtlinie zur Trafficverwaltung vorhanden ist.	Schwerwiegend	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: LookupCache ResponseCache Kontingent SpikeArrest

Sicherheitsprofile 2

Ein Sicherheitsprofil besteht aus einer Reihe von Sicherheitsbewertungen und Gewichtungen, anhand derer APIs bewertet werden.

Standardsicherheitsprofil

Die erweiterte API-Sicherheit bietet ein Standardsicherheitsprofil, das alle Bewertungen enthält. Wenn Sie das Standardprofil verwenden, basieren die Sicherheitspunktzahlen auf allen Kategorien.

Einschränkungen von Sicherheitspunktzahlen (Version 2)

Für Sicherheitspunktzahlen gelten die folgenden Einschränkungen:

Sicherheitspunktzahlen werden nur generiert, wenn eine Umgebung Proxys hat.
Neu bereitgestellte Proxys und neu aktivierte Organisationen und Umgebungen zeigen Bewertungen nicht sofort an.
Das Profil google-default ist derzeit das einzige verfügbare Sicherheitsprofil. Benutzerdefinierte Sicherheitsprofile werden aktuell nicht unterstützt.

Datenverzögerungen

Die Daten, auf denen die Sicherheitswerte von Advanced API Security basieren, haben die folgenden Verarbeitungszeiträume, bevor Ergebnisse verfügbar werden:

Wenn Sie Advanced API Security zum ersten Mal in einer Organisation aktivieren, dauert es einige Zeit, bis Bewertungen für vorhandene Proxys und Ziele in einer Umgebung angezeigt werden. Als Richtlinie sollten Sie eine Wartezeit von 30 bis 90 Minuten bei Organisationen mit Abo und weniger Zeit bei einem „Pay-as-you-go“-Tarif erwarten.
Es kann mindestens 60 Sekunden und bei sehr großen Umgebungen bis zu 5 Minuten dauern, bis neue Ereignisse, die sich auf Proxys (Bereitstellung und Aufhebung der Bereitstellung) und Ziele (Erstellen, Aktualisieren, Löschen) in einer Umgebung beziehen, in der Bewertung der Umgebung widergespiegelt werden.

Risikobewertungen in der Apigee-Benutzeroberfläche aufrufen

Auf der Seite Risikobewertung werden Punktzahlen angezeigt, mit denen die Sicherheit Ihrer API in den einzelnen Umgebungen gemessen wird.

So öffnen Sie die Seite Risikobewertung:

Öffnen Sie die Apigee-UI in der Cloud Console.
Wählen Sie Erweiterte API-Sicherheit > Risikobewertung aus.

Dadurch wird die Seite Risikobewertung angezeigt:

Die Seite enthält die folgenden Abschnitte:

Umgebung: Wählen Sie die Umgebung aus, in der Sie Bewertungen ansehen möchten.
Sicherheitsprofil: google-default ist derzeit das einzige verfügbare Sicherheitsprofil.
Bereitgestellte Proxys nach Schweregrad: Nachdem die Umgebung festgelegt wurde, wird auf der Seite eine Zusammenfassung der Schweregrade über die Proxys in dieser Umgebung hinweg angezeigt. Weitere Informationen finden Sie unter Sicherheitsbewertungen/Schweregrade.
Bewertungsdetails: Zeigt das Sicherheitsprofil, Datum und Uhrzeit der Bewertung, die Gesamtzahl der bewerteten Konfigurationen und die Gesamtzahl der bereitgestellten Proxys für die ausgewählte Umgebung an. Die Gesamtzahl der geprüften Konfigurationen entspricht der Gesamtzahl der durchgeführten Prüfungen. Diese Anzahl kann höher sein als die Anzahl der Bewertungen in einem Profil. Bei einigen Bewertungen, z. B. bei der Prüfung, ob das Attribut „continueOnError“ auf false festgelegt ist, wird auch geprüft, ob die zugehörigen Richtlinien vorhanden und aktiviert sind.
Bereitgestellte Proxys: Eine Zusammenfassung der bereitgestellten Proxys in der Umgebung und derer Risikobewertungen:
- Proxy: Name des Proxys.
- Schweregrad: Der Schweregrad der Risikobewertung für den Proxy. Weitere Informationen finden Sie unter Sicherheitsbewertungen/Schweregrade.
- Punktzahl: Der Wert der Risikobewertung für den Proxy. Weitere Informationen finden Sie unter Sicherheitsbewertungen/Schweregrade.
  Hinweis: Kann für eine Umgebung aufgrund der Beschränkungen von Sicherheitspunktzahlen keine Bewertung berechnet werden, so wird in der Spalte "Punktzahl" "Punktzahl kann nicht berechnet werden" angezeigt.
- Überarbeitung: Die Proxy-Überarbeitung, mit der die Punktzahl bewertet wurde.
- Fehlgeschlagene Bewertungen nach Gewichtung: Die Anzahl der fehlgeschlagenen Bewertungen, gruppiert nach Gewichtung.
- Empfehlungen: Konkrete Empfehlungen zur Verbesserung des Werts für den Proxy. Klicken Sie auf die Zahl, um die Empfehlungen aufzurufen.

Risikobewertung 1

In diesem Abschnitt wird die Risikobewertung 1 beschrieben. Informationen zur Risikobewertung 2 finden Sie unter Risikobewertung 2.

Sicherheitspunktzahlen

Sicherheitspunktzahlen bewerten die Sicherheit Ihrer APIs sowie deren Sicherheitsstatus im Zeitverlauf. Beispielsweise kann eine stark schwankende Punktzahl darauf hinweisen, dass sich das API-Verhalten häufig ändert, was vielleicht nicht erwünscht ist. Zu den Änderungen in einer Umgebung, die zu einem Rückgang der Punktzahl führen können, gehören:

Das Deployment vieler API-Proxys ohne die erforderlichen Sicherheitsrichtlinien.
Ein Anstieg des Missbrauchs-Traffics aus schädlichen Quellen.

Die Beobachtung von Änderungen der Sicherheitspunktzahlen im Zeitverlauf ist ein guter Indikator für unerwünschte oder verdächtige Aktivitäten in der Umgebung.

Sicherheitspunktzahlen werden anhand Ihres Sicherheitsprofils berechnet, das die Sicherheitskategorien angibt, die Ihre Bewertungen bewerten sollen. Sie können das Standardsicherheitsprofil von Apigee verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die Sicherheitskategorien enthält, die Ihnen am wichtigsten sind.

Bewertungstypen der Sicherheitspunktzahlen

Es gibt drei Bewertungstypen, die zur Gesamtsicherheitspunktzahl beitragen, der von der Advanced API Security berechnet wird:

Quellbewertung: Bewertet den erkannten Missbrauchs-Traffic mithilfe der Erkennungsregeln von Advanced API Security. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

Hinweis: Quellpunktzahlen werden auf Grundlage eines Zeitfensters berechnet, das um 0:00 Uhr (UTC) am aktuellen Tag beginnt und zu der aktuellen Zeit endet.
Proxybewertung: Es wird geprüft, wie gut Proxys verschiedene Schutzrichtlinien in den folgenden Bereichen implementiert haben:
- Mediation: Prüfen Sie, ob eine der folgenden Mediationsrichtlinien für alle Proxys in der Umgebung konfiguriert ist: OASValidation oder SOAPMessageValidation.
- Sicherheit:
  - Autorisierung: Prüfen Sie, ob für alle Proxys in der Umgebung eine der folgenden Autorisierungsrichtlinien konfiguriert ist:
  - CORS: Prüft, ob CORS konfiguriert ist.
  - Bedrohung: Prüfen Sie, ob für alle Proxys in der Umgebung eine der folgenden Richtlinien konfiguriert ist: XMLThreatProtection oder JSONThreatProtection.
Weitere Informationen finden Sie unter Auswirkungen von Richtlinien auf Proxy-Security Scores.
Zielbewertung: Prüft, ob mTLS (Mutual Transport Layer Security) mit den Zielservern in der Umgebung konfiguriert ist.

Jedem dieser Bewertungstypen wird eine eigene Punktzahl zugewiesen. Die Gesamtpunktzahl ist der Durchschnitt der Punktzahlen der einzelnen Bewertungstypen.

Auswirkungen von Richtlinien auf Proxy-Security Scores

Nur Richtlinien, die mit einem Ablauf (PreFlow, bedingter Ablauf, PostFlow in Proxys oder freigegebener Ablauf) verknüpft sind, wirken sich auf diese Punktzahlen aus. Richtlinien, die mit keinem Ablauf verknüpft sind, haben keine Auswirkungen auf diese Bewertungen.
Proxy-Punktzahlen berücksichtigen freigegebene Flows eines Proxys über Ablauf-Hooks und FlowCallout-Richtlinien im Proxy, wenn die FlowCallout-Richtlinie an einen Ablauf angehängt ist. Ist FlowCallout jedoch nicht mit einem Ablauf verknüpft, wirken sich Richtlinien aus dem verknüpften freigegebenen Ablauf nicht auf die Sicherheitsbewertungen aus.
Die Verkettung von freigegebenen Abläufen wird nicht unterstützt. Richtlinien, die über die gemeinsame Ablaufverkettung angeschlossen sind, werden bei der Berechnung der Sicherheitsbewertung nicht berücksichtigt.
Bei Richtlinien, die mit bedingten Abläufen verknüpft sind, berücksichtigt die Sicherheitspunktzahl nur, ob die Richtlinien vorhanden sind. Es wird nicht berücksichtigt, ob oder wie die Richtlinien zur Laufzeit erzwungen werden.

Sicherheitsprofile

Ein Sicherheitsprofil ist ein Satz von Sicherheitskategorien (unten beschrieben), nach denen Ihre APIs bewertet werden sollen. Ein Profil kann eine beliebige Teilmenge der Sicherheitskategorien enthalten. Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst der Umgebung ein Sicherheitsprofil hinzufügen. Sie können entweder das Standardsicherheitsprofil von Apigee verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die für Sie wichtigen Sicherheitskategorien enthält.

Standardsicherheitsprofil

Advanced API Security bietet ein Standardsicherheitsprofil, das alle Sicherheitskategorien enthält. Wenn Sie das Standardprofil verwenden, basieren die Sicherheitspunktzahlen auf allen Kategorien.

Benutzerdefiniertes Sicherheitsprofil

Mit benutzerdefinierten Sicherheitsprofilen können Sie die Sicherheitspunktzahlen nur auf die Sicherheitskategorien abstimmen, die Sie in der Bewertung berücksichtigen möchten. Informationen zum Erstellen eines benutzerdefinierten Profils finden Sie unter Sicherheitsprofile erstellen und bearbeiten.

Sicherheitskategorien

Sicherheitspunktzahlen basieren auf einer Bewertung der unten beschriebenen Sicherheitskategorien.

Kategorie	Beschreibung	Empfehlung
Missbrauch	Prüfung auf Missbrauch, wobei als Missbrauch sämtliche Anfragen gelten, die an die API gesendet werden, aber nicht für den Zweck der API vorgesehen sind. Hierzu zählen beispielsweise eine große Anzahl an Anfragen, Datenextraktion und Missbrauch im Zusammenhang mit der Autorisierung.	Siehe Empfehlungen bei Missbrauch
Autorisierung	Prüft, ob eine Autorisierungsrichtlinie vorhanden ist.	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: JWS- oder JWT-Richtlinie OAuth BasicAuth VerifyAPIKey
CORS	Prüft, ob eine CORS-Richtlinie vorhanden ist.	Fügen Sie Ihrem Proxy eine CORS hinzu.
mTLS	Prüft, ob mTLS (Mutual Transport Layer Security) für den Zielserver konfiguriert ist.	Siehe mTLS-Konfiguration des Zielservers.
Mediation	Prüft, ob eine Mediationsrichtlinie vorhanden ist.	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: OASValidation SOAPMessageValidation
Bedrohung	Prüft, ob eine Richtlinie zum Schutz vor Bedrohungen vorhanden ist.	Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu: XMLThreatProtection JSONThreatProtection

Einschränkungen von Sicherheitspunktzahlen (Version 1)

Für Sicherheitspunktzahlen gelten die folgenden Einschränkungen:

Sie können bis zu 100 benutzerdefinierte Profile pro Organisation erstellen.
Sicherheitspunktzahlen werden nur generiert, wenn eine Umgebung Proxys, Zielserver und Traffic enthält.
Neu bereitgestellte Proxys zeigen nicht sofort Punktzahlen an.

Datenverzögerungen

Die Daten, auf denen die Sicherheitswerte von Advanced API Security basieren, haben aufgrund der Art und Weise, wie die Daten verarbeitet werden, die folgenden Verzögerungen:

Wenn Sie Advanced API Security in einer Organisation aktivieren, kann es bis zu sechs Stunden dauern, bis die Punktzahlen für vorhandene Proxys und Ziele in einer Umgebung angezeigt werden.
Es kann bis zu 6 Stunden dauern, bis neue Ereignisse, die sich auf Proxys (Bereitstellung und Aufhebung der Bereitstellung) und Ziele (Erstellen, Aktualisieren, Löschen) in einer Umgebung beziehen, in der Bewertung der Umgebung widergespiegelt werden.
Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Dadurch kommt es bei der Bewertung der Missbrauchsdaten zu einer Verarbeitungsverzögerung von etwa 15 bis 20 Minuten.

Seite Risikobewertung öffnen

Auf der Seite Risikobewertung werden Punktzahlen angezeigt, mit denen die Sicherheit Ihrer API in den einzelnen Umgebungen gemessen wird.

Das Laden der Seite Risikobewertung kann einige Minuten dauern. Das Laden der Seite dauert in Umgebungen mit hohem Traffic und einer großen Anzahl von Proxys und Zielen länger.

Apigee in der Cloud Console

So öffnen Sie die Seite Risikobewertung:

Öffnen Sie die Apigee-UI in der Cloud Console.
Wählen Sie Erweiterte API-Sicherheit > Risikobewertung aus.

Dadurch wird die Seite Risikobewertung angezeigt:

Die Seite hat zwei Tabs, die in den folgenden Abschnitten beschrieben werden:

Sicherheitspunktzahlen: Sicherheitswerte ansehen.
Sicherheitsprofile: Sicherheitsprofile ansehen, erstellen und bearbeiten.

Sicherheitspunktzahlen ansehen

Klicken Sie auf den Tab Sicherheitspunktzahlen, um die Sicherheitspunktzahlen aufzurufen.

Für einer Umgebung werden keine Punktzahlen berechnet, bis Sie ein Sicherheitsprofil anhängen, wie unter Sicherheitsprofil an eine Umgebung anhängen beschrieben. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können ein benutzerdefiniertes Profil erstellen, wie unter Sicherheitsprofile erstellen und bearbeiten beschrieben.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
Risikostufe: Die Risikostufe für die Umgebung. Sie kann niedrig, moderat oder hoch sein.
Sicherheitspunktzahl: Die Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
Hinweis: Sie können oben auf der Seite auf Punktzahlen aktualisieren klicken, um die Punktzahlen mit den neuesten Daten neu zu berechnen.

Hinweis: Wenn für die Umgebung aufgrund desBeschränkungen von Sicherheitspunktzahlen wird die Spalte "Punktzahl" Zugriff nicht möglich anzeigen.
Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen.
Profil: Der Name des angehängten Sicherheitsprofils.
Zuletzt aktualisiert: Das letzte Datum, an dem die Sicherheitspunktzahlen aktualisiert wurden.
Aktionen: Klicken Sie auf das Dreipunkt-Menü in der Zeile, damit die Umgebung folgende Aktionen ausführen kann:
- Profil anhängen: Hängen Sie die Umgebung an ein Sicherheitsprofil an.
- Profil trennen: Trennen Sie ein Sicherheitsprofil von der Umgebung.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
Klicken Sie auf Profil anhängen.
Gehen Sie im Dialogfeld Profil anhängen so vor:
1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
2. Klicken Sie auf Zuweisen.

Wenn Sie ein Sicherheitsprofil in einer Umgebung anhängen, beginnt die erweiterte API-Sicherheit sofort mit der Bewertung und der Vergabe der Punktzahl. Beachten Sie, dass es einige Minuten dauern kann, bis die Punktzahl angezeigt wird.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

Quellbewertung
Proxybewertung
Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher die Bewertung, desto geringer das Sicherheitsrisiko.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu auf der Hauptseite Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Grafik: Sicherheitspunktzahlen in einer Umgebung.

In der Ansicht werden vier Tabs angezeigt:

Übersicht
Quellbewertung
Proxybewertung
Zielbewertung

Übersicht

Auf dem Tab Übersicht wird Folgendes angezeigt:

Wichtige Highlights für jede Bewertung:
- Proxy: Zeigt die beste Empfehlung für Proxys in der Umgebung an. Klicken Sie auf Proxy bearbeiten, um den Proxy-Editor von Apigee zu öffnen. Dort können Sie die Empfehlung implementieren.
- Ziel: Zeigt die beste Empfehlung für Ziele in der Umgebung an. Klicken Sie auf Zielserver anzeigen, um den Tab Zielserver auf der Seite Verwaltung > Umgebungen in der Apigee-Benutzeroberfläche zu öffnen.
- Quelle: Zeigt den erkannten Missbrauchstraffic an. Klicken Sie auf Erkannter Traffic, um den Tab Erkannter Traffic auf der Seite zur Missbrauchserkennung aufzurufen.
Zusammenfassungen für Quellbewertung, Proxybewertung und Zielbewertung, einschließlich:
- Die neueste Punktzahl für jeden Bewertungstyp.
- Im Bereich Quellbewertung werden der erkannte Missbrauch und der IP-Adressbereich angezeigt.
- Die Bereiche Proxybewertung und Zielbewertung zeigen das Risikoniveau für diese Bewertungen an.
Klicken Sie in einem der Zusammenfassungsbereiche auf Prüfungsdetails ansehen, um die Details für diesen Bewertungstyp aufzurufen:
Bewertungsverlauf: Zeigt ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in einem letzten Zeitraum an, der 3 Tage oder 7 Tage betragen kann. Standardmäßig werden in der Grafik drei Tage angezeigt. In dem Diagramm wird auch die durchschnittliche Gesamtpunktzahl über denselben Zeitraum angezeigt.

Beachten Sie, dass eine Punktzahl nur dann für den Bewertungstyp berechnet wird, wenn etwas bewertet werden muss. Sind beispielsweise keine Zielserver vorhanden, wird keine Punktzahl für Ziele gemeldet.

Quellbewertung

Klicken Sie auf den Tab Quellbewertung, um die Bewertungsdetails für die Umgebung aufzurufen.

Quellbewertungsbereich.

Klicken Sie rechts neben Bewertungsdetails auf das Erweiterungssymbol, um ein Diagramm der Quellbewertung für einen letzten Zeitraum aufzurufen. Sie können drei Tage oder sieben Tage festlegen.

Im Bereich Quelle wird eine Tabelle mit den folgenden Informationen angezeigt:

Kategorie: Die Kategorie für die Bewertung.
Risikostufe: Die Risikostufe für die Kategorie.
Sicherheitspunktzahl: Die Sicherheitspunktzahl für die Missbrauchskategorie.
Hinweis: Quellwertungen werden auf Grundlage eines Zeitfensters berechnet, das um 0:00 Uhr (UTC) am aktuellen Tag beginnt und zu der aktuellen Zeit endet.
Empfehlungen: Die Anzahl der Empfehlungen für die Kategorie.

Quelldetails

Im Bereich Quelldetails werden Details zum erkannten Missbrauchstraffic in der Umgebung angezeigt, einschließlich

Trafficdetails:
- Erkannter Traffic: Die Anzahl der API-Aufrufe, die von einer IP-Adresse stammen, die als Missbrauchsquelle erkannt wurde.
- Gesamter Traffic: Die Gesamtzahl der durchgeführten API-Aufrufe.
- Anzahl erkannter IP-Adressen:Die Anzahl verschiedener IP-Adressen, die als Missbrauchsquellen erkannt wurden.
- Beobachtungszeit (UTC): Die Startzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
- Ende der Beobachtung (UTC): Die Endzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
Bewertungsdatum: Datum und Uhrzeit der Bewertung.
Die Empfehlung zur Verbesserung der Punktzahl. Weitere Empfehlungen zum Umgang mit Missbrauchstraffic finden Sie unter Empfehlungen bei Missbrauch.

Klicken Sie auf die Schaltfläche Sicherheitsaktion erstellen, um eine Sicherheitsaktion zum Behandeln von Problemen zu erstellen, die von der Quellbewertung ausgelöst werden.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung auf den Tab Proxybewertung:

Bereich "Proxybewertung“

Im Bereich Proxy wird eine Tabelle mit den folgenden Informationen angezeigt:

Proxy: Der zu bewertende Proxy.
Risikostufe: Die Risikostufe für den Proxy.
Sicherheitspunktzahl: Die Sicherheitspunktzahl für den Proxy.
Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für den Proxy zu verbessern.
Empfehlungen: Die Anzahl der Empfehlungen für den Proxy.

Klicken Sie in der Tabelle auf den Namen eines Proxys, um den Proxy-Editor zu öffnen, in dem Sie empfohlene Änderungen am Proxy vornehmen können.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Proxy auf die Spalte Prüfung erforderlich, um die Empfehlungen für einen Proxy aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

Bewertungsdatum: Datum und Uhrzeit der Bewertung.
Die Empfehlung zur Verbesserung der Punktzahl.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert (Mutual Transport Layer Security). Zielpunktzahlen werden so zugewiesen:

Kein TLS vorhanden: 200
One-Way-TLS vorhanden: 900
Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung auf den Tab Zielbewertung:

Bereich "Zielbewertung".

Im Bereich Ziel werden die folgenden Informationen angezeigt:

Ziel: Der Name des Ziels.
Risikostufe: Die Risikostufe für das Ziel.
Sicherheitspunktzahl: Die Sicherheitspunktzahl für das Ziel.
Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für das Ziel zu verbessern.
Empfehlungen: Die Anzahl der Empfehlungen für das Ziel.

Klicken Sie in der Tabelle auf den Namen eines Ziels, um den Tab Zielserver in der Apigee-Benutzeroberfläche auf der Seite Verwaltung > Umgebungen zu öffnen. die empfohlenen Aktionen auf das Ziel anwenden.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Ziel in die Spalte Prüfung erforderlich, um die Empfehlungen für ein Ziel aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

Bewertungsdatum: Datum und Uhrzeit der Bewertung.
Die Empfehlung zur Verbesserung der Punktzahl.

Sicherheitsprofile erstellen und bearbeiten

Wählen Sie zum Erstellen oder Bearbeiten eines -Sicherheitsprofils den Tab Sicherheitsprofile aus.

Der Tab Sicherheitsprofile zeigt eine Liste der Sicherheitsprofile an, einschließlich der folgenden Informationen:

Name: Der Name des Profils.
Kategorien: Die im Profil enthaltenen Sicherheitskategorien.
Beschreibung: Die optionale Beschreibung des Profils.
Umgebungen: Die Umgebungen, an die das Profil angehängt ist. Wenn diese Spalte leer ist, wird das Profil keiner Umgebung zugeordnet.
Zuletzt aktualisiert (UTC): Das Datum und die Uhrzeit der letzten Aktualisierung der Aktion.
Aktionen: Ein Menü mit folgenden Elementen:
- Bearbeiten: Das Profil bearbeiten.
- Löschen: Löschen Sie das Profil.

Details eines Sicherheitsprofils ansehen

Klicken Sie auf den Namen eines Sicherheitsprofils in der Zeile für das Profil, um die Details aufzurufen. Daraufhin werden die Profildetails wie unten dargestellt angezeigt.

In der ersten Zeile des Tabs Details wird die Überarbeitungs-ID angezeigt: die neueste Überarbeitungsnummer des Profils. Wenn Sie ein Profil bearbeiten und seine Sicherheitskategorien ändern, wird die Überarbeitungs-ID um 1 erhöht. Das Ändern der Profilbeschreibung erhöht jedoch nicht die Überarbeitungs-ID.

Die Zeilen in denen in der Zeile für das Profil auf dem Tab Sicherheitsprofile dieselben Informationen angezeigt werden.

Die Ansicht mit den Profildetails enthält auch zwei Schaltflächen mit den Labels Bearbeiten und Löschen, die Sie zum Bearbeiten oder verwenden können. Sicherheitsprofil löschen.

Protokoll

Klicken Sie auf den Tab Verlauf, um den Verlauf des Profils aufzurufen. Dadurch wird eine Liste aller Überarbeitungen des Profils angezeigt. Für jede Überarbeitung wird Folgendes in der Liste angezeigt:

Überarbeitungs-ID: Die Überarbeitungsnummer.
Kategorien: Die Sicherheitskategorien, die in dieser Überarbeitung des Profils enthalten sind.
Zuletzt aktualisiert (UTC): Datum und Uhrzeit in UTC, zu der die Überarbeitung erstellt wurde.

Benutzerdefiniertes Sicherheitsprofil erstellen

So erstellen Sie ein neues benutzerdefiniertes Sicherheitsprofil:

Klicken Sie oben auf der Seite auf Erstellen.
Geben Sie im daraufhin geöffneten Dialogfeld die folgenden Informationen ein:
- Name: Der Name des Profils. Der Name muss aus 1 bis 63 Kleinbuchstaben, Ziffern oder Bindestrichen bestehen und mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden. Der Name muss sich vom Namen eines vorhandenen Profils unterscheiden.
- (Optional) Beschreibung: Eine Beschreibung des Profils.
- Wählen Sie im Feld Kategorien die Bewertungskategorien aus, die Sie in das Profil aufnehmen möchten.

Benutzerdefiniertes Sicherheitsprofil bearbeiten

So bearbeiten Sie ein benutzerdefiniertes Sicherheitsprofil:

Klicken Sie am Ende der Zeile für das Sicherheitsprofil auf das Menü Aktionen.
Wählen Sie Bearbeiten aus.
Auf der Seite Sicherheitsprofil bearbeiten können Sie Folgendes ändern:
- Beschreibung: Die optionale Beschreibung des Sicherheitsprofils.
- Kategorien: Die für das Profil ausgewählten Sicherheitskategorien. Klicken Sie auf das Drop-down-Menü und ändern Sie die ausgewählten Kategorien, indem Sie sie im Menü auswählen oder die Auswahl aufheben.
Klicken Sie auf OK.

Benutzerdefiniertes Sicherheitsprofil löschen

Zum Löschen eines Sicherheitsprofils klicken Sie am Ende der Zeile für das Profil auf Aktionen und wählen Sie Löschen aus. Wenn Sie ein Profil löschen, wird es auch von allen Umgebungen getrennt.

Klassische Apigee-UI

So öffnen Sie die Ansicht Sicherheitspunktzahlen:

Öffnen Sie die klassische Apigee-Benutzeroberfläche.
Wählen Sie Analysieren > API-Sicherheit > Sicherheitspunktzahlenaus.

Dadurch wird die Ansicht Sicherheitspunktzahlen angezeigt:

Hauptansicht der Sicherheitspunktzahlen.

Für eine Umgebung werden keine Punktzahlen berechnet, bis Sie an die Umgebung ein Sicherheitsprofil anhängen. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können mit der Apigee API ein benutzerdefiniertes Profil erstellen. Weitere Informationen finden Sie unter Benutzerdefiniertes Sicherheitsprofil verwenden.

In der obigen Abbildung wurde kein Sicherheitsprofil an die Umgebung integration angehängt, sodass in der Spalte Profilname für diese Umgebung Nicht festgelegt angezeigt wird.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
Neueste Punktzahl: Die neueste Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
Risikostufe: Die Risikostufe (niedrig, moderat oder hoch).
Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen. Jede Empfehlung entspricht einer Zeile in der Tabelle Prüfung erforderlich.
Profilname: Der Name des Sicherheitsprofils.
Bewertungsdatum: Das letzte Datum, an dem die Sicherheitspunktzahlen berechnet wurden.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
Klicken Sie auf Profil anhängen.
Gehen Sie im Dialogfeld Profil anhängen so vor:
1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
2. Klicken Sie auf Zuweisen.

Die folgende Abbildung zeigt die Ansicht Sicherheitspunktzahlen mit einer Umgebung, an die das Standardsicherheitsprofil angehängt ist:

Die Zeile für die Umgebung lokal zeigt nun die neueste Sicherheitspunktzahl, das Risikoniveau, die Anzahl der Empfehlungen für Sicherheitsmaßnahmen und das Bewertungsdatum der Punktzahl an.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

Quellbewertung
Proxybewertung
Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher der Wert, desto besser die Sicherheitsbewertung.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu in der Hauptansicht Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Die Ansicht wird angezeigt:

Die neuesten Punktzahlen für Quellen, Proxys und Ziele. Klicken Sie in einem dieser Bereiche auf Prüfungsdetails ansehen, um die Bewertung für diesen Typ aufzurufen.
Verlauf von Umgebungswerten: Es werden ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in den letzten 5 Tagen sowie die durchschnittliche Gesamtpunktzahl im selben Zeitraum angezeigt.
In der Tabelle „Prüfung erforderlich“ sind die Bewertungstypen Ihrer APIs aufgeführt, bei denen Sie die Sicherheit verbessern können.

In den folgenden Abschnitten wird beschrieben, wie Sie die Bewertungen für jeden Typ aufrufen:

Quellbewertung
Proxybewertung
Zielbewertung

Tabelle „Prüfung erforderlich“

In der oben aufgeführten Tabelle Prüfung erforderlich werden die API-Kategorien aufgelistet, deren Punktzahlen unter 1200 liegen, zusammen mit:

Die neueste Punktzahl für die Kategorie
Der Risikostufe für die Kategorie: niedrig, moderat oder hoch
Dem Prüfungsdatum
Dem Bewertungstyp

Empfehlungen abrufen

Advanced API Security bietet für jede Zeile in der Tabelle eine Empfehlung zur Verbesserung der Punktzahl. Sie können sich die Empfehlungen in den Ansichten Bewertungsdetails für jeden Typ (Quellen, Proxys oder Ziele) ansehen, wie in den folgenden Abschnitten beschrieben:

Quellempfehlungen
Proxyempfehlungen
Zielempfehlungen

Sie haben folgende Möglichkeiten, um die Ansicht Bewertungsdetails zu öffnen:

Klicken Sie in einem der Bereiche der Hauptansicht Sicherheitspunktzahlen auf Bewertungsdetails ansehen.
In der Tabelle „Prüfung erforderlich“:
1. Maximieren Sie die Kategoriengruppe in der Tabelle:
2. Klicken Sie auf die Kategorie, für die Sie die Empfehlung aufrufen möchten. Dadurch wird die Ansicht mit den Bewertungsdetails geöffnet, die der Empfehlung entspricht.

Quellbewertung

Die Quellbewertung berechnet eine Missbrauchspunktzahl für die Umgebung. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

Klicken Sie im Bereich Quellen auf Ansehen, um die Ansicht API-Quellbewertung zu öffnen:

Quellbewertungsbereich.

Im Quellpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Quellempfehlungen

Wenn eine Kategorie eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Um eine Empfehlung für die Kategorie Missbrauch anzuzeigen, klicken Sie auf die entsprechende Zeile in der Tabelle Bewertungsdetails. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Grafik: Empfehlung bei Missbrauch im Bereich „Empfehlungen“.

Klicken Sie auf Details ansehen, um sich die Details des Missbrauchs genauer anzusehen. Dadurch wird die Ansicht Erkannter Traffic auf der Seite Missbrauchserkennung geöffnet. In der Ansicht Erkannter Traffic werden detaillierte Informationen zu erkanntem Missbrauch angezeigt.

Unterhalb der Zeile Details ansehen wird der Bereich "Empfehlungen" angezeigt:

Die Empfehlung "Durch Missbrauchserkennung identifizierten Traffic blockieren oder zulassen" wird angezeigt.
In der Zeile Aktionen wird ein Link zur Dokumentation für Empfehlungen bei Missbrauch angezeigt.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung im Bereich Proxys auf Ansehen, um die Ansicht API-Proxybewertung zu öffnen:

Bereich "Proxybewertung“

Im Proxy-Punktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Wenn Sie beispielsweise Empfehlungen für den Proxy hellooauth2 aufrufen möchten, klicken Sie auf die entsprechende Zeile in der Tabelle hellooauth2. Daraufhin werden die Empfehlungen im Bereich Empfehlungen angezeigt. Zwei davon werden unten dargestellt.

Proxyempfehlung.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert. Zielpunktzahlen werden so zugewiesen:

Kein TLS vorhanden: 200
One-Way-TLS vorhanden: 900
Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung im Bereich Ziele auf Anzeigen, um die Ansicht API-Zielbewertung zu öffnen:

Bereich "Zielbewertung".

Im Zielpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Klicken Sie auf die entsprechende Zeile, um die Bewertung eines Zielservers einzusehen. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Proxyempfehlung.

Missbrauchsempfehlungen

Wenn die Quellpunktzahl niedrig ist, empfiehlt Apigee, die IP-Adressen zu prüfen, bei denen Missbrauch erkannt wurde. Wenn Sie zustimmen, dass der Traffic von diesen IP-Adressen missbräuchlich ist, verwenden Sie die Seite Sicherheitsaktionen, um Anfragen von IP-Adressen zu blockieren, die Missbrauchstraffic darstellen.

Weitere Informationen zum Missbrauch finden Sie in den folgenden Ressourcen:

Auf der Seite Missbrauchserkennung werden Informationen zu Sicherheitsvorfällen mit Missbrauch des Traffics angezeigt.
Die Seite Sicherheitsberichte. Sie können beispielsweise die folgenden Berichte erstellen:
- IP-Adressen von Bots, wie unter Beispiel: Bericht „Bot-IP-Adressen“ beschrieben.
- Bot-Traffic nach bot_reason, wie unter Beispiel: Bot-Traffic nach Bot-Grundbericht beschrieben.