Ringkasan dan UI penilaian risiko

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat dokumentasi Apigee Edge.

Ringkasan

Penilaian risiko Advanced API Security terus mengevaluasi konfigurasi proxy API dan menghitung skor keamanan untuk membantu mengidentifikasi dan mengatasi kerentanan di API Anda.

Penilaian risiko membantu Anda:

  • Terapkan standar keamanan yang konsisten di semua API.
  • Mendeteksi kesalahan konfigurasi dalam penyiapan API.
  • Tingkatkan skor keamanan Anda secara keseluruhan dengan tindakan yang disarankan.
  • Selidiki dan selesaikan masalah keamanan dengan cepat melalui dasbor terpusat.

Selain menilai risiko saat ini dari setiap proxy, penilaian risiko dapat digunakan untuk menilai postur keamanan API Anda dari waktu ke waktu. Skor penilaian yang berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, termasuk proxy yang di-deploy tanpa kebijakan keamanan yang diperlukan, modifikasi alur bersama melalui deployment hook alur dan penambahan kebijakan FlowCallout, serta perubahan server target di deployment lingkungan atau proxy.

Anda dapat mengakses penilaian risiko melalui UI Apigee, seperti yang dijelaskan di halaman ini, atau melalui Security scores and profiles API.

Lihat Peran yang diperlukan untuk penilaian risiko untuk mengetahui peran yang diperlukan untuk melakukan tugas penilaian risiko.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk mengetahui informasi selengkapnya, lihat Mengelola add-on Advanced API Security.

Penilaian Risiko v1 dan v2

Penilaian Risiko tersedia dalam dua versi: Penilaian Risiko v1, yang tersedia secara umum, dan Penilaian Risiko v2, yang sedang dalam pratinjau. Penggunaan salah satu versi tersebut memerlukan add-on Advanced API Security.

Perbedaan fitur utama antara v1 dan v2 adalah:

  • v2 mencakup:
    • Keandalan yang lebih baik, termasuk penghitungan skor yang lebih cepat dengan data proxy terbaru
    • Penghitungan skor tanpa perlu melampirkan profil keamanan ke lingkungan terlebih dahulu
    • Presentasi skor yang disederhanakan, berdasarkan skala 0% hingga 100%
    • Konsep bobot pemeriksaan penilaian, yang tidak didukung v1. Lihat Konsep dan penskoran penilaian risiko.
    • Penilaian tambahan pada v1, yang memeriksa lebih banyak kebijakan saat menghitung skor. Misalnya, v1 mendukung lima kebijakan terkait otorisasi dan autentikasi, sedangkan v2 mendukung delapan kebijakan. Selain itu, v2 menyertakan kategori Pengelolaan Traffic dengan kebijakan terkait dan melakukan pemeriksaan tambahan dalam kebijakan, termasuk untuk atribut continueOnError.
    • Memeriksa alur bersama bertingkat dan hook alur hingga lima tingkat bertingkat. v1 tidak mengevaluasi kebijakan yang disertakan melalui rantai alur bersama.
    • Penggantian skor target (skor server target) dengan penilaian dan rekomendasi berbasis proxy. Jika Target digunakan di proxy, skor keamanan untuk proxy tersebut juga mencakup skor untuk Server Target.
    • Profil kustom menggunakan pemeriksaan penilaian v2 baru serta profil sistem google-default.
  • v2 tidak mendukung:
    • Penilaian sumber berdasarkan traffic yang melanggar.
    • Metrik dan Monitoring tidak didukung untuk saat ini.

Penilaian Risiko v2

Bagian ini menjelaskan Penilaian Risiko v2, versi baru Penilaian Risiko. Beberapa konsep dan perilaku Penilaian Risiko berbeda antara v1 dan v2. Untuk penggunaan dengan Penilaian Risiko v1, lihat Penilaian Risiko v1.

Konsep dan metodologi penskoran Penilaian Risiko v2

Skor keamanan penilaian risiko menilai risiko keamanan API Anda berdasarkan penskoran penilaian keamanan dan bobot dalam profil keamanan.

Penilaian risiko didasarkan pada:

  • Penilaian dan pemeriksaan penilaian: Pemeriksaan individual yang dilakukan terhadap proxy, dan proxy mana yang diberi skor. Setiap pemeriksaan juga memiliki bobot, yang memberikan signifikansi lebih atau kurang pada pemeriksaan saat dinilai terhadap proxy. Bobot ditetapkan pada minor, sedang, atau utama untuk setiap pemeriksaan. Setiap bobot memiliki nilai poin yang digunakan untuk menghitung skor:
    • Minor: 1
    • Sedang: 5
    • Utama: 15
  • Profil keamanan: Kumpulan pemeriksaan penilaian, yang digunakan untuk menilai proxy yang di-deploy di lingkungan.
  • Skor keamanan: Skor untuk proxy setelah penilaian terhadap profil keamanan.

    Skor adalah nilai antara 0% dan 100%. 100% menunjukkan bahwa proxy sepenuhnya mematuhi penilaian dan tidak ada risiko yang ditemukan berdasarkan pemeriksaan penilaian.

    Skor keamanan pada dasarnya adalah total semua poin yang diberikan untuk pemeriksaan penilaian yang lulus dibagi dengan total poin potensial dalam profil. Skor ini adalah rata-rata berbobot, sehingga makin banyak kebijakan yang dimiliki profil keamanan, makin kecil dampak setiap pemeriksaan penilaian terhadap skor keamanan.

    Bobot pemeriksaan penilaian juga memengaruhi skor keamanan. Bobot yang lebih tinggi memiliki lebih banyak dampak pada penghitungan dan bobot yang lebih rendah memiliki lebih sedikit dampak, menggunakan nilai titik untuk setiap bobot. Jika bobotnya sama untuk semua pemeriksaan penilaian dalam profil keamanan (seperti saat semua pemeriksaan penilaian memiliki bobot sedang), skor keamanan akan dihitung sebagai rata-rata reguler.

  • Tingkat keparahan: Nilai tingkat keparahan untuk setiap proxy yang dinilai, berdasarkan skor keamanan. Nilai potensi keparahannya adalah tinggi (0-50%), sedang (51-90%), rendah (91-99%), dan minimal (100%/tidak ada risiko yang ditemukan berdasarkan penilaian dalam profil keamanan yang ditetapkan).

Kategori dan pemeriksaan penilaian

Tabel ini menunjukkan kategori penilaian dan pemeriksaan individual yang dapat menjadi bagian dari profil keamanan. Laporan ini juga menunjukkan rekomendasi tentang cara mengatasi penilaian yang gagal untuk setiap penilaian.

Kategori penilaian Deskripsi
Auth Dalam hal ini, "Auth" berarti otorisasi dan autentikasi. Penilaian autentikasi memeriksa apakah Anda memiliki kebijakan otorisasi dan autentikasi dan apakah attribut continueOnError untuk kebijakan autentikasi ditetapkan ke false.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan autentikasi / auth-policies-check Periksa apakah salah satu kebijakan autentikasi berikut diaktifkan: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS, atau VerifyJWT. Setidaknya satu kebijakan yang diperlukan untuk proxy
kebijakan autentikasi check in continueOnError / continue-on-error-auth-policies-check Memeriksa apakah kolom continueOnError diaktifkan di semua kebijakan autentikasi di proxy. Hal ini melibatkan pemeriksaan apakah kebijakan autentikasi sedang digunakan dan pemeriksaan ini tidak akan berpengaruh jika tidak ada kebijakan autentikasi di proxy. Tetapkan continueOnError ke salah (false) untuk semua kebijakan autentikasi yang disertakan dalam proxy.
Pemeriksaan kebijakan AccessControl / access-control-policy-check Apakah kebijakan AccessControl sedang digunakan. Tambahkan kebijakan AccessControl ke proxy.
Pemeriksaan kebijakan BasicAuthentication / basic-auth-policy-check Apakah kebijakan BasicAuthentication sedang digunakan. Tambahkan kebijakan BasicAuthentication ke proxy.
Pemeriksaan kebijakan HMAC / hmac-policy-check Apakah kebijakan HMAC sedang digunakan. Tambahkan kebijakan HMAC ke proxy.
Pemeriksaan kebijakan OAuthV2 / oauthv2-policy-check Apakah kebijakan OAuth sedang digunakan. Tambahkan kebijakan OAuthV2 ke proxy.
Pemeriksaan kebijakan ValidateSAMLAssertion / validate-saml-assertion-policy-check Apakah kebijakan ValidateSAMLAssertion sedang digunakan. Tambahkan kebijakan ValidateSAMLAssertion ke proxy.
Kebijakan VerifyAPIKey / verify-api-key-policy-check Apakah kebijakan VerifyAPIKey sedang digunakan. Tambahkan kebijakan VerifyAPIKey ke proxy.
Kebijakan VerifyJWS / verify-jws-policy-check Apakah kebijakan VerifyJWS sedang digunakan. Tambahkan kebijakan VerifyJWS ke proxy.
Kebijakan VerifyJWT / verify-jwt-policy-check Apakah kebijakan VerifyJWT sedang digunakan. Tambahkan kebijakan VerifyJWT ke proxy.
CORS Memeriksa apakah kebijakan CORS atau header CORS dalam kebijakan AssignMessage ada.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan CORS / cors-policies-check Periksa apakah kebijakan CORS atau header CORS dalam kebijakan AssignMessage ada. Tambahkan kebijakan CORS atau kebijakan AssignMessage dengan header CORS ke proxy.
Pemeriksaan kebijakan CORS / cors-policy-check Periksa apakah kebijakan CORS sedang digunakan. Tambahkan kebijakan CORS ke proxy.
Pemeriksaan kebijakan AssignMessage CORS / cors-assignmessage-policy-check Periksa apakah header CORS ditambahkan dalam kebijakan AssignMessage. Tambahkan kebijakan AssignMessage dengan header CORS ke proxy.
Mediasi Memeriksa apakah kebijakan mediasi diaktifkan.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan mediasi / mediation-policies-check Periksa apakah salah satu kebijakan mediasi berikut diaktifkan: SOAPMessageValidation atau OASValidation. Tambahkan salah satu kebijakan mediasi berikut ke proxy Anda: SOAPMessageValidation atau OASValidation.
Pemeriksaan kebijakan SOAPMessageValidation / soap-validation-policy-check Periksa apakah kebijakan SOAPMessageValidation sedang digunakan. Tambahkan kebijakan SOAPMessageValidation ke proxy.
Pemeriksaan kebijakan OASValidation / oas-validation-policy-check Periksa apakah kebijakan OASValidation digunakan. Tambahkan kebijakan OASValidationCheck ke proxy.
Target Memeriksa apakah perlindungan server target digunakan. Untuk informasi tentang konfigurasi server target, lihat Load balancing di seluruh server backend.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan TLS Server Target / tls-target-server-check Periksa TLS/SSL di server target. Konfigurasikan TLS/SSL di semua server target yang dikonfigurasi di proxy untuk komunikasi yang aman.
Pemeriksaan mTLS Server Target / mtls-target-server-check Periksa mTLS di server target. Konfigurasikan mTLS di semua server target yang dikonfigurasi di proxy untuk keamanan maksimum.
Server Target menerapkan pemeriksaan kolom / target-enforce-field-check Periksa apakah kolom Enforce diaktifkan di konfigurasi server target. Konfigurasikan kolom Terapkan untuk menerapkan SSL ketat antara proxy Apigee dan target.
Ancaman Memeriksa apakah kebijakan pencegahan ancaman digunakan.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan ancaman / threat-policies-check Periksa apakah salah satu kebijakan ancaman berikut diaktifkan: JSONThreatProtection, RegularExpressionProtection, atau XMLThreatProtection. Tambahkan salah satu kebijakan ancaman yang diperlukan ke proxy Anda.
Pemeriksaan continueOnError di kebijakan ancaman / continue-on-error-threat-policies Periksa apakah kolom continueOnError diaktifkan di semua kebijakan ancaman yang digunakan di proxy. Hal ini melibatkan pemeriksaan apakah kebijakan ancaman sedang digunakan dan pemeriksaan ini tidak akan berpengaruh jika tidak ada kebijakan ancaman di proxy. Tetapkan continueOnError ke false untuk semua kebijakan ancaman yang digunakan di proxy.
Pemeriksaan kebijakan JSONThreatProtection / json-threat-protection-policy-check Periksa apakah kebijakan JSONThreatProtection digunakan. Tambahkan kebijakan JSONThreatProtection ke proxy.
Pemeriksaan kebijakan RegularExpressionProtection / regex-protection-policy-check Periksa apakah kebijakan RegularExpressionProtection digunakan. Tambahkan kebijakan RegularExpressionProtection ke proxy.
Pemeriksaan kebijakan XMLThreatProtection / xml-threat-protection-policy-check Periksa apakah kebijakan XMLThreatProtection sedang digunakan. Tambahkan kebijakan XMLThreatProtection ke proxy.
Traffic Memeriksa apakah Anda telah menerapkan kebijakan pengelolaan traffic.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan pengelolaan traffic / traffic-management-policies-check Periksa apakah salah satu kebijakan pengelolaan traffic berikut diaktifkan: LookupCache, Quota, ResponseCache, atau SpikeArrest. Tambahkan salah satu kebijakan pengelolaan traffic ke proxy Anda.
Pemeriksaan kebijakan LookupCache / lookup-cache-policy-check Periksa apakah kebijakan LookupCache diaktifkan. Tambahkan kebijakan LookupCache ke proxy.
Pemeriksaan kebijakan kuota / quota-policy-check Periksa apakah kebijakan Kuota digunakan. Tambahkan kebijakan Kuota ke proxy.
Pemeriksaan kebijakan ResponseCache / response-cache-policy-check Periksa apakah kebijakan ResponseCache sedang digunakan. Tambahkan kebijakan ResponseCache ke proxy.
Pemeriksaan kebijakan SpikeArrest / spike-arrest-policy-check Periksa apakah kebijakan SpikeArrest digunakan. Tambahkan kebijakan SpikeArrest ke proxy.

Skor keamanan proxy dan lampiran kebijakan

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:

  • Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur apa pun tidak memengaruhi skor.
  • Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui hook alur dan kebijakan FlowCallout di proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke flow, kebijakan dari flow bersama tertaut tidak akan memengaruhi skor keamanan.
  • Alur bersama yang dirantai dievaluasi hingga lima tingkat kedalaman. Setiap kebijakan yang disertakan langsung dalam proxy dan dalam lima tingkat pertama alur bersama dihitung dalam skor keamanan.
  • Untuk kebijakan yang dilampirkan ke alur kondisional, skor keamanan hanya memperhitungkan apakah kebijakan ada; skor keamanan tidak memperhitungkan apakah atau bagaimana kebijakan diterapkan saat runtime.

Profil keamanan v2

Profil keamanan adalah kumpulan penilaian dan bobot keamanan untuk menilai proxy API. Anda dapat menggunakan profil keamanan default Apigee, yang disebut google-default, atau membuat profil keamanan kustom yang hanya berisi kategori dan bobot keamanan yang ingin Anda nilai.

Saat menggunakan profil keamanan atau membuat profil keamanan kustom, perhatikan bahwa beberapa pemeriksaan penilaian dalam satu kategori dinilai satu per satu.

Misalnya, jika ada tiga pemeriksaan kebijakan autentikasi dalam profil keamanan dan proxy yang dinilai menyertakan salah satu dari ketiganya, skor penilaian akan menyertakan poin penuh untuk satu kebijakan yang ditemukan dan nol poin untuk dua kebijakan lainnya yang tidak ada. Dalam contoh ini, proxy yang dinilai tidak akan menerima poin penuh untuk pemeriksaan kebijakan autentikasi meskipun menyertakan kebijakan autentikasi. Berhati-hatilah dengan interpretasi skor keamanan dan desain profil keamanan mengingat perilaku ini.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua penilaian. Saat Anda menggunakan profil default, skor keamanan didasarkan pada semua kategori.

Profil keamanan default, google-default, tidak dapat diedit atau dihapus.

Profil keamanan kustom

Anda dapat membuat profil keamanan kustom yang hanya menyertakan pemeriksaan dan bobot penilaian yang dipilih untuk dievaluasi terhadap proxy. Untuk petunjuk cara membuat dan menggunakan profil keamanan kustom dari UI Apigee, lihat Mengelola profil kustom di UI Apigee.

Untuk profil keamanan kustom:

  • Nama profil (juga disebut ID profil) diperlukan dan ditampilkan dalam tabel ringkasan saat mencantumkan profil. Nama harus terdiri dari 1 hingga 63 karakter, yang dapat berupa huruf kecil, angka 0-9, atau tanda hubung. Karakter pertama harus berupa huruf kecil. Karakter terakhir harus berupa huruf kecil atau angka. Profil keamanan kustom harus memiliki nama unik dan tidak boleh menduplikasi nama profil yang ada.
  • Deskripsi profil bersifat opsional dan tidak boleh melebihi 1.000 karakter.

Batasan dan masalah umum pada skor keamanan v2

Skor keamanan memiliki batasan dan masalah umum berikut:

  • Skor keamanan hanya dibuat jika lingkungan telah men-deploy proxy.
  • Proksi yang baru di-deploy serta organisasi dan lingkungan yang baru diaktifkan tidak langsung menampilkan skor.
  • Untuk profil kustom, Anda dapat membuat maksimal 100 profil kustom per organisasi.
  • Notifikasi penghitungan dan skor penilaian baru tidak didukung untuk saat ini.

Keterlambatan data

Data yang skor keamanan Advanced API Security-nya memiliki periode pemrosesan berikut sebelum hasilnya tersedia:

  • Saat Anda mengaktifkan Keamanan API Lanjutan di organisasi untuk pertama kalinya, perlu waktu agar skor untuk proxy dan target yang ada ditampilkan di lingkungan. Sebagai panduan, perkiraan waktu yang diperlukan adalah 30 hingga 90 menit untuk organisasi Berlangganan dan waktu yang lebih singkat untuk organisasi Bayar sesuai penggunaan.
  • Peristiwa baru yang terkait dengan proxy (penempatan dan penghapusan penempatan) dan target (pembuatan, pembaruan, penghapusan) di lingkungan memerlukan waktu minimal 60 detik dan maksimal 5 menit (untuk lingkungan yang sangat besar) agar tercermin dalam skor lingkungan.

Melihat penilaian risiko di UI Apigee

Halaman Penilaian Risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.

Untuk membuka halaman Penilaian Risiko:

  1. Buka UI Apigee di Cloud Console.
  2. Pilih Advanced API Security > Risk assessment.

Tindakan ini akan menampilkan halaman Penilaian Risiko:

Halaman utama penilaian risiko.

Halaman ini memiliki bagian berikut:

  • Lingkungan: Pilih lingkungan tempat Anda ingin melihat penilaian.
  • Profil keamanan: Pilih profil default (google-default) atau profil kustom, jika tersedia. Lihat Profil keamanan untuk informasi tentang profil keamanan.
  • Proxy yang di-deploy menurut tingkat keparahan: Setelah lingkungan ditetapkan, halaman akan menampilkan ringkasan tingkat keparahan di seluruh proxy di lingkungan tersebut. Lihat Konsep dan penskoran penilaian risiko.
  • Detail penilaian: Menampilkan profil keamanan, tanggal dan waktu penilaian, total konfigurasi yang dinilai, dan total proxy yang di-deploy untuk lingkungan yang dipilih. Jumlah total konfigurasi yang dinilai mencerminkan jumlah total "pemeriksaan" yang dilakukan. Jumlah ini mungkin lebih tinggi dari jumlah penilaian dalam profil; beberapa penilaian, seperti memverifikasi bahwa atribut "continueOnError” ditetapkan ke false juga memeriksa apakah kebijakan terkait sudah diterapkan dan diaktifkan.
  • Proxy yang di-deploy: Ringkasan proxy yang di-deploy di lingkungan dan skor penilaian risikonya:

    • Proxy: Nama proxy.
    • Keparahan: Keparahan penilaian risiko untuk proxy. Lihat Skor dan tingkat keparahan keamanan untuk mengetahui informasinya.

    • Skor: Skor penilaian risiko untuk proxy. Lihat Konsep dan penskoran penilaian risiko untuk mengetahui informasinya.
    • Revisi: Revisi proxy tempat skor dinilai.
    • Penilaian yang gagal berdasarkan bobot: Jumlah penilaian yang gagal yang dikelompokkan berdasarkan bobot penilaian.
    • Rekomendasi: Rekomendasi khusus untuk meningkatkan skor di proxy. Klik angka untuk melihat rekomendasi.

Mengelola profil kustom di UI Apigee

Bagian ini menunjukkan cara melihat, membuat, mengedit, dan menghapus profil kustom menggunakan UI Apigee. Perhatikan batasan pada profil kustom yang tercantum dalam Batasan pada skor keamanan.

Mulailah dengan Melihat penilaian risiko di UI Apigee.

Membuat dan mengedit profil kustom

Di layar Penilaian Risiko, pilih tab Profil Keamanan. Untuk mengedit profil yang ada, klik nama profil untuk melihat detail profil, lalu Edit. Atau, Anda dapat memilih Edit dari menu Tindakan di baris untuk profil tersebut.

Untuk membuat profil kustom baru, klik + Buat di daftar profil keamanan.

Daftar profil keamanan

Saat membuat atau mengedit profil kustom, Anda dapat menetapkan nilai berikut:

  • Nama: Nama profil keamanan. Pastikan nama ini unik untuk project.
  • Deskripsi: (Opsional). Deskripsi untuk profil keamanan.
  • Pemeriksaan penilaian dan Bobot penilaian: Satu atau beberapa pemeriksaan penilaian untuk dievaluasi terhadap proxy dan bobot untuk setiap pemeriksaan. Lihat Konsep dan penskoran penilaian risiko untuk mengetahui daftar pemeriksaan penilaian yang tersedia. Untuk menambahkan pemeriksaan dan bobot penilaian tambahan ke profil, klik + Tambahkan. Untuk menghapus pasangan tanda centang/bobot, klik ikon tempat sampah di baris untuk pasangan tersebut.

Profil duplikat

Untuk menduplikasi profil yang ada (membuat profil kustom baru), pilih Duplikasikan dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Duplikasikan.

Nama profil kustom baru tidak boleh sama dengan profil duplikat. Lihat Profil keamanan kustom untuk persyaratan penamaan profil keamanan.

Menghapus profil kustom

Untuk menghapus profil kustom yang ada, pilih Hapus dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Hapus.

Perhatikan bahwa Anda tidak dapat menghapus profil sistem default (google-default).

Menghapus profil kustom akan segera berlaku dan menghapus kemampuan untuk menilai proxy terhadap profil tersebut atau melihat penilaian sebelumnya terhadap profil kustom tersebut.

Penilaian Risiko v1

Bagian ini menjelaskan Penilaian Risiko v1. Untuk informasi tentang Penilaian Risiko v2, lihat Penilaian Risiko v2.

Skor keamanan

Skor keamanan menilai keamanan API Anda, serta postur keamanannya dari waktu ke waktu. Misalnya, skor yang banyak berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan dalam lingkungan yang dapat menyebabkan penurunan skor meliputi:

  • Men-deploy banyak proxy API tanpa kebijakan keamanan yang diperlukan.
  • Lonjakan traffic penyalahgunaan dari sumber berbahaya.

Mengamati perubahan pada skor keamanan Anda dari waktu ke waktu memberikan indikator yang baik tentang aktivitas yang tidak diinginkan atau mencurigakan di lingkungan.

Skor keamanan dihitung berdasarkan profil keamanan, yang menentukan kategori keamanan yang ingin dievaluasi skor Anda. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan kustom yang hanya menyertakan kategori keamanan yang paling penting bagi Anda.

Jenis penilaian skor keamanan

Ada tiga jenis penilaian yang berkontribusi pada skor keamanan secara keseluruhan yang dihitung oleh Advanced API Security:

  • Penilaian sumber: Menilai traffic penyalahgunaan yang terdeteksi, menggunakan aturan deteksi Advanced API Security. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain tujuan API.

  • Penilaian proxy: Menilai seberapa baik proxy telah menerapkan berbagai kebijakan keamanan di area berikut:

    Lihat Pengaruh kebijakan terhadap skor keamanan proxy untuk mengetahui informasi selengkapnya.

  • Penilaian target: Memeriksa apakah mutual transport layer security (mTLS) dikonfigurasi dengan server target di lingkungan.

Setiap jenis penilaian ini diberi skornya sendiri. Skor keseluruhan adalah rata-rata skor dari setiap jenis penilaian.

Pengaruh kebijakan terhadap skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:

  • Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur apa pun tidak memengaruhi skor.
  • Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui hook alur dan kebijakan FlowCallout di proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke alur, kebijakan dari alur bersama tertaut tidak akan memengaruhi skor keamanan.
  • Rantai alur bersama tidak didukung. Kebijakan yang disertakan melalui rantai alur bersama tidak dinilai saat menghitung skor keamanan.
  • Untuk kebijakan yang dilampirkan ke alur kondisional, skor keamanan hanya mempertimbangkan apakah kebijakan ada; skor keamanan tidak mempertimbangkan apakah atau bagaimana kebijakan diterapkan saat runtime.

Profil keamanan

Profil keamanan adalah kumpulan kategori keamanan (dijelaskan di bawah) yang Anda inginkan untuk dinilai API-nya. Profil dapat berisi subkumpulan kategori keamanan. Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan kustom yang hanya berisi kategori keamanan yang penting bagi Anda.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua kategori keamanan. Jika Anda menggunakan profil default, skor keamanan akan didasarkan pada semua kategori.

Profil keamanan kustom

Profil keamanan kustom memungkinkan Anda mendasarkan skor keamanan hanya pada kategori keamanan yang ingin disertakan dalam skor. Lihat Membuat dan mengedit profil keamanan untuk mempelajari cara membuat profil kustom.

Kategori keamanan

Skor keamanan didasarkan pada penilaian kategori keamanan yang dijelaskan di bawah.

Kategori Deskripsi Rekomendasi
Penyalahgunaan Memeriksa penyalahgunaan, yang mencakup permintaan apa pun yang dikirim ke API untuk tujuan selain tujuan yang dimaksudkan, seperti permintaan dalam volume tinggi, scraping data, dan penyalahgunaan yang terkait dengan otorisasi. Lihat Rekomendasi terkait penyalahgunaan
Otorisasi Memeriksa apakah Anda memiliki kebijakan otorisasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
CORS Memeriksa apakah Anda memiliki kebijakan CORS. Tambahkan kebijakan CORS ke proxy Anda.
MTLS Memeriksa apakah Anda telah mengonfigurasi mTLS (Mutual transport layer security) untuk server target. Lihat Konfigurasi mTLS server target.
Mediasi Memeriksa apakah Anda memiliki kebijakan mediasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
Ancaman Memeriksa apakah Anda memiliki kebijakan perlindungan dari ancaman. Tambahkan salah satu kebijakan berikut ke proxy Anda:

Batasan pada skor keamanan v1

Skor keamanan memiliki batasan berikut:

  • Anda dapat membuat hingga 100 profil kustom per organisasi.
  • Skor keamanan hanya dihasilkan jika lingkungan memiliki proxy, server target, dan traffic.
  • Proksi yang baru di-deploy tidak langsung menampilkan skor.

Penundaan data

Data yang menjadi dasar skor keamanan Advanced API Security memiliki penundaan berikut, karena cara data diproses:

  • Saat Anda mengaktifkan Advanced API Security di organisasi, perlu waktu hingga 6 jam agar skor untuk proxy dan target yang ada ditampilkan di lingkungan.
  • Peristiwa baru yang terkait dengan proxy (penempatan dan penghapusan penempatan) dan target (pembuatan, pembaruan, penghapusan) di lingkungan dapat memerlukan waktu hingga 6 jam untuk ditampilkan dalam skor lingkungan.
  • Data yang mengalir ke pipeline Apigee Analytics memiliki keterlambatan rata-rata hingga 15 hingga 20 menit. Akibatnya, data penyalahgunaan skor sumber memiliki penundaan pemrosesan sekitar 15 hingga 20 menit.

Buka halaman Penilaian risiko

Halaman Penilaian risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.

Mungkin perlu waktu beberapa menit hingga halaman Penilaian risiko dimuat. Halaman akan memerlukan waktu lebih lama untuk dimuat untuk lingkungan dengan volume lalu lintas yang tinggi dan sejumlah besar proxy dan target.

Apigee di konsol Cloud

Untuk membuka halaman Penilaian risiko:

  1. Buka UI Apigee di Cloud Console.
  2. Pilih Advanced API Security > Risk assessment.

Tindakan ini akan menampilkan halaman Penilaian risiko:

Halaman utama penilaian risiko.

Halaman ini memiliki dua tab, yang dijelaskan di bagian berikut:

Melihat skor keamanan

Untuk melihat skor keamanan, klik tab Security Scores.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan, seperti yang dijelaskan dalam Melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom, seperti yang dijelaskan dalam Membuat dan mengedit profil keamanan.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat skor dihitung.
  • Tingkat risiko: Tingkat risiko untuk lingkungan, yang dapat berupa rendah, sedang, atau berat.
  • Skor keamanan: Total skor untuk lingkungan, dari 1.200.
  • Total rekomendasi: Jumlah rekomendasi yang diberikan.
  • Profil: Nama profil keamanan yang dilampirkan.
  • Terakhir diperbarui: Tanggal terbaru saat skor keamanan diperbarui.
  • Tindakan: Klik menu tiga titik di baris agar lingkungan dapat melakukan tindakan berikut:
    • Lampirkan profil: Melampirkan profil keamanan ke lingkungan.
    • Lepaskan profil: Lepaskan profil keamanan dari lingkungan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:

  1. Di bagian Actions, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Pada dialog Lampirkan Profil:
    1. Klik kolom Profil, lalu pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.

Skor keseluruhan dihitung dari skor individual dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Skor penilaian yang lebih tinggi menunjukkan risiko keamanan yang lebih rendah.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan. Untuk melakukannya, klik baris untuk lingkungan di halaman Skor Keamanan utama. Tindakan ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Skor keamanan di lingkungan.

Tampilan menampilkan empat tab:

Ringkasan

Tab Ringkasan menampilkan hal berikut:

  • Sorotan utama untuk setiap penilaian:
    • Proxy: Menampilkan rekomendasi teratas untuk proxy di lingkungan. Klik Edit Proxy untuk membuka Proxy Editor Apigee, tempat Anda dapat menerapkan rekomendasi.
    • Target: Menampilkan rekomendasi teratas untuk target di lingkungan. Klik Lihat Server Target untuk membuka tab Server Target di halaman Pengelolaan > Lingkungan di UI Apigee.
    • Sumber: Menampilkan traffic penyalahgunaan yang terdeteksi. Klik Traffic yang Terdeteksi untuk melihat tab Traffic yang terdeteksi di halaman Deteksi penyalahgunaan.
  • Ringkasan untuk Penilaian Sumber, Penilaian Proxy, dan Penilaian Target, termasuk:
    • Skor terbaru untuk setiap jenis penilaian.
    • Panel Penilaian Sumber menampilkan traffic penyalahgunaan yang terdeteksi dan jumlah alamat IP.
    • Panel Penilaian Proxy dan Penilaian Target menampilkan tingkat risiko untuk penilaian tersebut.
  • Klik Lihat Detail Penilaian di panel ringkasan mana pun untuk melihat detail jenis penilaian tersebut:
  • Histori penilaian, yang menampilkan grafik skor total harian untuk lingkungan selama jangka waktu terbaru, yang dapat Anda pilih selama 3 hari atau 7 hari. Secara default, grafik menampilkan 3 hari. Grafik juga menunjukkan skor total rata-rata selama periode yang sama.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang akan dinilai. Misalnya, jika tidak ada server target, skor tidak akan dilaporkan untuk Target.

Penilaian sumber

Klik tab Source Assessment untuk melihat detail penilaian lingkungan.

Panel penilaian sumber.

Klik ikon luaskan di sebelah kanan Detail penilaian untuk melihat grafik penilaian sumber selama jangka waktu terbaru, yang dapat Anda pilih menjadi 3 hari atau 7 hari.

Panel Sumber menampilkan tabel dengan informasi berikut:

  • Kategori: Kategori untuk penilaian.
  • Tingkat risiko: Tingkat risiko untuk kategori.
  • Skor keamanan: Skor keamanan untuk kategori penyalahgunaan.
  • Rekomendasi: Jumlah rekomendasi untuk kategori.
Detail sumber

Panel Detail sumber menampilkan detail traffic penyalahgunaan yang terdeteksi di lingkungan, termasuk:

  • Detail traffic:
    • Traffic yang terdeteksi: Jumlah panggilan API yang berasal dari alamat IP yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Total traffic: Jumlah total panggilan API yang dilakukan.
    • Jumlah alamat IP yang terdeteksi: Jumlah alamat IP berbeda yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Waktu mulai pengamatan (UTC): Waktu mulai dalam UTC dari periode saat traffic dipantau.
    • Waktu akhir pengamatan (UTC): Waktu akhir dalam UTC dari periode saat traffic dipantau.
  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk meningkatkan skor. Lihat Rekomendasi terkait penyalahgunaan untuk rekomendasi lebih lanjut tentang cara menangani traffic penyalahgunaan.

Untuk membuat tindakan keamanan guna mengatasi masalah yang diangkat oleh penilaian sumber, klik tombol Create Security Action.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik tab Penilaian Proxy:

Panel penilaian proxy.

Panel Proxy menampilkan tabel dengan informasi berikut:

  • Proxy: Proxy yang sedang dinilai.
  • Tingkat risiko: Tingkat risiko untuk proxy.
  • Skor keamanan: Skor keamanan untuk proxy.
  • Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor proxy.
  • Rekomendasi: Jumlah rekomendasi untuk proxy.

Klik nama proxy di tabel untuk membuka Editor Proxy, tempat Anda dapat melakukan perubahan yang direkomendasikan pada proxy.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Recommendations. Untuk melihat rekomendasi proxy, klik kolom Perlu diperhatikan untuk proxy di panel Proxy.

Panel Rekomendasi menampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk meningkatkan skor.

Penilaian target

Penilaian target menghitung skor keamanan lapisan transpor bersama (mTLS) untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • TLS satu arah ada: 900
  • Ada mTLS atau tokenisasi dua arah: 1200

Untuk melihat penilaian target, klik tab Penilaian Target:

Panel penilaian target.

Panel Target menampilkan informasi berikut:

  • Target: Nama target.
  • Tingkat risiko: Tingkat risiko untuk target.
  • Skor keamanan: Skor keamanan untuk target.
  • Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor target.
  • Rekomendasi: Jumlah rekomendasi untuk target.

Klik nama target dalam tabel untuk membuka tab Target Servers di halaman Management > Environments di UI Apigee, tempat Anda dapat menerapkan tindakan yang direkomendasikan ke target.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Rekomendasi. Untuk melihat rekomendasi untuk target, klik kolom Perlu diperhatikan untuk target di panel Target.

Panel Rekomendasi menampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
  • Rekomendasi untuk meningkatkan skor.

Membuat dan mengedit profil keamanan

Untuk membuat atau mengedit profil keamanan , pilih tab Profil Keamanan.

Tab profil keamanan.

Tab Profil Keamanan menampilkan daftar profil keamanan, termasuk informasi berikut:

  • Nama: Nama profil.
  • Kategori: Kategori keamanan yang disertakan dalam profil.
  • Deskripsi: Deskripsi opsional profil.
  • Lingkungan: Lingkungan tempat profil dilampirkan. Jika kolom ini kosong, profil tidak akan dilampirkan ke lingkungan mana pun.
  • Terakhir diperbarui (UTC): Tanggal dan waktu terakhir profil diperbarui.
  • Tindakan: Menu dengan item berikut:

Melihat detail profil keamanan

Untuk melihat detail profil keamanan, klik namanya di baris untuk profil tersebut. Tindakan ini akan menampilkan detail profil seperti yang ditunjukkan di bawah.

Detail profil keamanan.

Baris pertama di tab Detail menampilkan ID Revisi: nomor revisi terbaru profil. Saat Anda mengedit profil dan mengubah kategori keamanannya, ID revisi akan bertambah 1. Namun, hanya mengubah deskripsi profil tidak akan meningkatkan ID revisi.

Baris di bawah yang menampilkan informasi yang sama dengan yang ditampilkan di baris untuk profil di tab Profil Keamanan.

Tampilan detail profil juga memiliki dua tombol berlabel Edit dan Hapus, yang dapat Anda gunakan untuk mengedit atau menghapus profil keamanan.

Histori

Untuk melihat histori profil, klik tab Histori. Tindakan ini akan menampilkan daftar semua revisi profil. Untuk setiap revisi, daftar akan menampilkan:

  • ID Revisi: Nomor revisi.
  • Kategori: Kategori keamanan yang disertakan dalam revisi profil tersebut.
  • Terakhir diperbarui (UTC): Tanggal dan waktu dalam UTC saat revisi dibuat.

Membuat profil keamanan kustom

Untuk membuat profil keamanan kustom baru:

  1. Klik Create di bagian atas halaman.
  2. Pada dialog yang terbuka, masukkan hal berikut:
    • Nama: Nama profil. Nama harus terdiri dari 1 hingga 63 huruf kecil, angka, atau tanda hubung, dan harus diawali dengan huruf dan diakhiri dengan huruf atau angka. Nama harus berbeda dengan nama profil yang ada.
    • (Opsional) Deskripsi: Deskripsi profil.
    • Di kolom Kategori, pilih kategori penilaian yang ingin Anda sertakan dalam profil.

Mengedit profil keamanan kustom

Untuk mengedit profil keamanan kustom:

  1. Di akhir baris untuk profil keamanan, klik menu Tindakan.
  2. Pilih Edit.
  3. Di halaman Edit security profile, Anda dapat mengubah:
    • Deskripsi: Deskripsi opsional profil keamanan.
    • Kategori: Kategori keamanan yang dipilih untuk profil. Klik menu drop-down dan ubah kategori yang dipilih dengan memilih atau membatalkan pilihannya di menu.
  4. Klik Oke.

Menghapus profil keamanan kustom

Untuk menghapus profil keamanan, klik Tindakan di akhir baris untuk profil tersebut, lalu pilih Hapus. Perhatikan bahwa menghapus profil juga akan melepaskannya dari semua lingkungan.

UI Apigee Klasik

Untuk membuka tampilan Skor keamanan:

  1. Buka UI Apigee Klasik.
  2. Pilih Analyze > API Security > Security Scores.

Tindakan ini akan menampilkan tampilan Skor keamanan:

Tampilan utama skor keamanan.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom menggunakan Apigee API. Lihat Menggunakan profil keamanan kustom untuk mengetahui detailnya.

Pada gambar di atas, tidak ada profil keamanan yang telah dilampirkan ke lingkungan integration, sehingga kolom Nama Profil menampilkan Tidak ditetapkan untuk lingkungan tersebut.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat skor dihitung.
  • Skor Terbaru: Total skor terbaru untuk lingkungan, dari 1.200.
  • Tingkat Risiko: Tingkat risiko, yang dapat berupa rendah, sedang, atau berat.
  • Total Rekomendasi: Jumlah rekomendasi yang diberikan. Setiap rekomendasi sesuai dengan baris dalam tabel Perlu Diperhatikan.
  • Nama Profil: Nama profil keamanan.
  • Tanggal Penilaian: Tanggal terbaru saat skor keamanan dihitung.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:

  1. Di bagian Actions, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Pada dialog Lampirkan Profil:
    1. Klik kolom Profil, lalu pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.

Gambar di bawah menunjukkan tampilan Skor Keamanan dengan lingkungan yang memiliki profil keamanan default yang terpasang:

Jendela utama Skor Keamanan dengan profil keamanan terlampir.

Baris untuk lingkungan kini menampilkan skor keamanan terbaru, tingkat risiko, jumlah rekomendasi untuk tindakan keamanan yang harus dilakukan, dan Tanggal Penilaian skor.

Skor keseluruhan dihitung dari skor individual dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Makin tinggi skor, makin baik penilaian keamanan.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan. Untuk melakukannya, klik baris untuk lingkungan di tampilan Skor Keamanan utama. Tindakan ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Skor keamanan di lingkungan.

Tampilan menampilkan:

  • Skor terbaru untuk Sumber, Proxy, dan Target. Klik Lihat Detail Penilaian di panel mana pun untuk melihat penilaian untuk jenis tersebut.
  • Histori Skor Lingkungan, yang menampilkan grafik skor total harian untuk lingkungan selama 5 hari terakhir, serta skor total rata-rata selama periode yang sama.
  • Tabel Perlu Diperhatikan, yang mencantumkan jenis penilaian API Anda yang dapat Anda tingkatkan keamanannya.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang akan dinilai. Misalnya, jika tidak ada server target, skor tidak akan dilaporkan untuk Target.

Bagian berikut menjelaskan cara melihat penilaian untuk setiap jenis:

Tabel Perlu Diperhatikan

Tabel Perlu Diperhatikan, yang ditampilkan di atas, mencantumkan kategori API yang skornya di bawah 1.200, beserta:

  • Skor terbaru untuk kategori
  • Tingkat risiko untuk kategori, yang dapat berupa rendah, sedang, atau berat
  • Tanggal penilaian
  • Jenis penilaian

Melihat rekomendasi

Untuk setiap baris dalam tabel, Advanced API Security memberikan rekomendasi untuk meningkatkan skor. Anda dapat melihat rekomendasi di tampilan Detail penilaian untuk setiap jenis, Sumber, Proxy, atau Target, seperti yang dijelaskan di bagian berikut:

Anda dapat membuka tampilan Detail penilaian dengan salah satu cara berikut:

  • Klik Lihat Detail Penilaian di panel mana pun di tampilan Skor Keamanan utama.
  • Di Tabel yang Perlu Diperhatikan:
    1. Luaskan grup kategori dalam tabel:

      Baris Auth di tabel Perlu Diperhatikan.

    2. Klik kategori yang rekomendasinya ingin Anda lihat. Tindakan ini akan membuka tampilan detail penilaian yang sesuai dengan rekomendasi.

Penilaian sumber

Penilaian sumber menghitung skor penyalahgunaan untuk lingkungan. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain tujuan API.

Untuk melihat penilaian sumber, klik Lihat di panel Sumber untuk membuka tampilan Penilaian Sumber API:

Panel penilaian sumber.

Histori Skor Sumber menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi sumber

Jika kategori memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat rekomendasi untuk kategori penyalahgunaan, klik barisnya di tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi penyalahgunaan di panel Rekomendasi.

Untuk melihat detail penyalahgunaan, klik Lihat Detail. Tindakan ini akan membuka tampilan Traffic yang Terdeteksi di halaman Deteksi penyalahgunaan. Tampilan Traffic yang Terdeteksi menampilkan informasi mendetail tentang penyalahgunaan yang terdeteksi.

Di bawah baris Lihat Detail, panel Rekomendasi menampilkan:

  • Rekomendasi: "Blokir atau izinkan traffic yang diidentifikasi oleh deteksi penyalahgunaan" ditampilkan.
  • Baris Tindakan menampilkan link ke dokumentasi untuk rekomendasi penyalahgunaan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik Lihat di panel Proxy untuk membuka tampilan Penilaian Proxy API:

Panel penilaian proxy.

Histori Skor Proxy menampilkan skor selama 5 hari terakhir, beserta skor rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Misalnya, untuk melihat rekomendasi proxy hellooauth2, klik barisnya di Tabel detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations. Dua di antaranya ditampilkan di bawah.

Rekomendasi proxy.

Penilaian target

Penilaian target menghitung skor mTLS untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • TLS satu arah ada: 900
  • Ada mTLS atau tokenisasi dua arah: 1200

Untuk melihat penilaian target, klik Lihat di panel Target untuk membuka tampilan Penilaian Target API:

Panel penilaian target.

Histori Skor Target menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat penilaian server target, klik barisnya. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi proxy.

Rekomendasi penyalahgunaan

Jika skor sumber rendah, Apigee merekomendasikan agar Anda meninjau IP yang penyalahgunaannya telah terdeteksi. Kemudian, jika Anda setuju bahwa traffic dari IP tersebut bersifat penyalahgunaan, gunakan halaman Tindakan keamanan untuk memblokir permintaan dari alamat IP yang merupakan sumber traffic penyalahgunaan.

Untuk mendapatkan informasi selengkapnya tentang penyalahgunaan, Anda dapat menggunakan salah satu referensi berikut: