Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Lihat dokumentasi Apigee Edge.
Ringkasan
Penilaian risiko Advanced API Security terus mengevaluasi konfigurasi proxy API dan menghitung skor keamanan untuk membantu mengidentifikasi dan mengatasi kerentanan di API Anda.
Penilaian risiko membantu Anda:
- Terapkan standar keamanan yang konsisten di semua API.
- Mendeteksi kesalahan konfigurasi dalam penyiapan API.
- Tingkatkan skor keamanan Anda secara keseluruhan dengan tindakan yang disarankan.
- Selidiki dan selesaikan masalah keamanan dengan cepat melalui dasbor terpusat.
Selain menilai risiko saat ini dari setiap proxy, penilaian risiko dapat digunakan untuk menilai postur keamanan API Anda dari waktu ke waktu. Skor penilaian yang berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, termasuk proxy yang di-deploy tanpa kebijakan keamanan yang diperlukan, modifikasi alur bersama melalui deployment hook alur dan penambahan kebijakan FlowCallout, serta perubahan server target di deployment lingkungan atau proxy.
Anda dapat mengakses penilaian risiko melalui UI Apigee, seperti yang dijelaskan di halaman ini, atau melalui Security scores and profiles API.
Lihat Peran yang diperlukan untuk penilaian risiko untuk mengetahui peran yang diperlukan untuk melakukan tugas penilaian risiko.
Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk mengetahui informasi selengkapnya, lihat Mengelola add-on Advanced API Security.
Penilaian Risiko v1 dan v2
Penilaian Risiko tersedia dalam dua versi: Penilaian Risiko v1, yang tersedia secara umum, dan Penilaian Risiko v2, yang sedang dalam pratinjau. Penggunaan salah satu versi tersebut memerlukan add-on Advanced API Security.
Perbedaan fitur utama antara v1 dan v2 adalah:
- v2 mencakup:
- Keandalan yang lebih baik, termasuk penghitungan skor yang lebih cepat dengan data proxy terbaru
- Penghitungan skor tanpa perlu melampirkan profil keamanan ke lingkungan terlebih dahulu
- Presentasi skor yang disederhanakan, berdasarkan skala 0% hingga 100%
- Konsep bobot pemeriksaan penilaian, yang tidak didukung v1. Lihat Konsep dan penskoran penilaian risiko.
- Penilaian tambahan pada v1, yang memeriksa lebih banyak kebijakan saat menghitung skor.
Misalnya, v1 mendukung lima kebijakan terkait otorisasi dan autentikasi, sedangkan v2 mendukung delapan kebijakan. Selain itu,
v2 menyertakan kategori Pengelolaan Traffic dengan kebijakan terkait dan melakukan pemeriksaan
tambahan dalam kebijakan, termasuk untuk atribut
continueOnError
. - Memeriksa alur bersama bertingkat dan hook alur hingga lima tingkat bertingkat. v1 tidak mengevaluasi kebijakan yang disertakan melalui rantai alur bersama.
- Penggantian skor target (skor server target) dengan penilaian dan rekomendasi berbasis proxy. Jika Target digunakan di proxy, skor keamanan untuk proxy tersebut juga mencakup skor untuk Server Target.
- Profil kustom menggunakan pemeriksaan penilaian v2 baru serta profil sistem
google-default
.
- v2 tidak mendukung:
- Penilaian sumber berdasarkan traffic yang melanggar.
- Metrik dan Monitoring tidak didukung untuk saat ini.
Penilaian Risiko v2
Bagian ini menjelaskan Penilaian Risiko v2, versi baru Penilaian Risiko. Beberapa konsep dan perilaku Penilaian Risiko berbeda antara v1 dan v2. Untuk penggunaan dengan Penilaian Risiko v1, lihat Penilaian Risiko v1.
Konsep dan metodologi penskoran Penilaian Risiko v2
Skor keamanan penilaian risiko menilai risiko keamanan API Anda berdasarkan penskoran penilaian keamanan dan bobot dalam profil keamanan.
Penilaian risiko didasarkan pada:
- Penilaian dan pemeriksaan penilaian: Pemeriksaan individual yang dilakukan terhadap proxy, dan
proxy mana yang diberi skor. Setiap pemeriksaan juga memiliki bobot, yang memberikan signifikansi lebih atau
kurang pada pemeriksaan saat dinilai terhadap proxy. Bobot ditetapkan pada minor, sedang, atau
utama untuk setiap pemeriksaan. Setiap bobot memiliki nilai poin yang digunakan untuk menghitung skor:
- Minor: 1
- Sedang: 5
- Utama: 15
- Profil keamanan: Kumpulan pemeriksaan penilaian, yang digunakan untuk menilai proxy yang di-deploy di lingkungan.
- Skor keamanan: Skor untuk proxy setelah penilaian terhadap profil keamanan.
Skor adalah nilai antara 0% dan 100%. 100% menunjukkan bahwa proxy sepenuhnya mematuhi penilaian dan tidak ada risiko yang ditemukan berdasarkan pemeriksaan penilaian.
Skor keamanan pada dasarnya adalah total semua poin yang diberikan untuk pemeriksaan penilaian yang lulus dibagi dengan total poin potensial dalam profil. Skor ini adalah rata-rata berbobot, sehingga makin banyak kebijakan yang dimiliki profil keamanan, makin kecil dampak setiap pemeriksaan penilaian terhadap skor keamanan.
Bobot pemeriksaan penilaian juga memengaruhi skor keamanan. Bobot yang lebih tinggi memiliki lebih banyak dampak pada penghitungan dan bobot yang lebih rendah memiliki lebih sedikit dampak, menggunakan nilai titik untuk setiap bobot. Jika bobotnya sama untuk semua pemeriksaan penilaian dalam profil keamanan (seperti saat semua pemeriksaan penilaian memiliki bobot sedang), skor keamanan akan dihitung sebagai rata-rata reguler. - Tingkat keparahan: Nilai tingkat keparahan untuk setiap proxy yang dinilai, berdasarkan skor keamanan. Nilai potensi keparahannya adalah tinggi (0-50%), sedang (51-90%), rendah (91-99%), dan minimal (100%/tidak ada risiko yang ditemukan berdasarkan penilaian dalam profil keamanan yang ditetapkan).
Kategori dan pemeriksaan penilaian
Tabel ini menunjukkan kategori penilaian dan pemeriksaan individual yang dapat menjadi bagian dari profil keamanan. Laporan ini juga menunjukkan rekomendasi tentang cara mengatasi penilaian yang gagal untuk setiap penilaian.
Kategori penilaian | Deskripsi | |||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Auth | Dalam hal ini, "Auth" berarti otorisasi dan autentikasi. Penilaian autentikasi
memeriksa apakah Anda memiliki kebijakan otorisasi dan autentikasi dan apakah
attribut continueOnError untuk kebijakan autentikasi ditetapkan ke false .
|
|||||||||||||||||||||||||||||||||
CORS | Memeriksa apakah kebijakan CORS atau header CORS dalam kebijakan AssignMessage ada.
|
|||||||||||||||||||||||||||||||||
Mediasi | Memeriksa apakah kebijakan mediasi diaktifkan.
|
|||||||||||||||||||||||||||||||||
Target | Memeriksa apakah perlindungan server target digunakan. Untuk informasi tentang konfigurasi server target, lihat Load balancing di seluruh server backend.
|
|||||||||||||||||||||||||||||||||
Ancaman | Memeriksa apakah kebijakan pencegahan ancaman digunakan.
|
|||||||||||||||||||||||||||||||||
Traffic | Memeriksa apakah Anda telah menerapkan kebijakan pengelolaan traffic.
|
Skor keamanan proxy dan lampiran kebijakan
Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:
- Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur apa pun tidak memengaruhi skor.
- Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui hook alur dan kebijakan FlowCallout di proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke flow, kebijakan dari flow bersama tertaut tidak akan memengaruhi skor keamanan.
- Alur bersama yang dirantai dievaluasi hingga lima tingkat kedalaman. Setiap kebijakan yang disertakan langsung dalam proxy dan dalam lima tingkat pertama alur bersama dihitung dalam skor keamanan.
- Untuk kebijakan yang dilampirkan ke alur kondisional, skor keamanan hanya memperhitungkan apakah kebijakan ada; skor keamanan tidak memperhitungkan apakah atau bagaimana kebijakan diterapkan saat runtime.
Profil keamanan v2
Profil keamanan adalah kumpulan
penilaian dan bobot keamanan
untuk menilai proxy API. Anda dapat menggunakan profil keamanan
default Apigee, yang disebut google-default
, atau membuat
profil keamanan kustom
yang hanya berisi kategori dan bobot keamanan yang ingin Anda nilai.
Saat menggunakan profil keamanan atau membuat profil keamanan kustom, perhatikan bahwa beberapa pemeriksaan penilaian dalam satu kategori dinilai satu per satu.
Misalnya, jika ada tiga pemeriksaan kebijakan autentikasi dalam profil keamanan dan proxy yang dinilai menyertakan salah satu dari ketiganya, skor penilaian akan menyertakan poin penuh untuk satu kebijakan yang ditemukan dan nol poin untuk dua kebijakan lainnya yang tidak ada. Dalam contoh ini, proxy yang dinilai tidak akan menerima poin penuh untuk pemeriksaan kebijakan autentikasi meskipun menyertakan kebijakan autentikasi. Berhati-hatilah dengan interpretasi skor keamanan dan desain profil keamanan mengingat perilaku ini.
Profil keamanan default
Advanced API Security menyediakan profil keamanan default yang berisi semua penilaian. Saat Anda menggunakan profil default, skor keamanan didasarkan pada semua kategori.
Profil keamanan default, google-default
, tidak dapat diedit atau dihapus.
Profil keamanan kustom
Anda dapat membuat profil keamanan kustom yang hanya menyertakan pemeriksaan dan bobot penilaian yang dipilih untuk dievaluasi terhadap proxy. Untuk petunjuk cara membuat dan menggunakan profil keamanan kustom dari UI Apigee, lihat Mengelola profil kustom di UI Apigee.
Untuk profil keamanan kustom:
- Nama profil (juga disebut ID profil) diperlukan dan ditampilkan dalam tabel ringkasan saat mencantumkan profil. Nama harus terdiri dari 1 hingga 63 karakter, yang dapat berupa huruf kecil, angka 0-9, atau tanda hubung. Karakter pertama harus berupa huruf kecil. Karakter terakhir harus berupa huruf kecil atau angka. Profil keamanan kustom harus memiliki nama unik dan tidak boleh menduplikasi nama profil yang ada.
- Deskripsi profil bersifat opsional dan tidak boleh melebihi 1.000 karakter.
Batasan dan masalah umum pada skor keamanan v2
Skor keamanan memiliki batasan dan masalah umum berikut:
- Skor keamanan hanya dibuat jika lingkungan telah men-deploy proxy.
- Proksi yang baru di-deploy serta organisasi dan lingkungan yang baru diaktifkan tidak langsung menampilkan skor.
- Untuk profil kustom, Anda dapat membuat maksimal 100 profil kustom per organisasi.
- Notifikasi penghitungan dan skor penilaian baru tidak didukung untuk saat ini.
Keterlambatan data
Data yang skor keamanan Advanced API Security-nya memiliki periode pemrosesan berikut sebelum hasilnya tersedia:
- Saat Anda mengaktifkan Keamanan API Lanjutan di organisasi untuk pertama kalinya, perlu waktu agar skor untuk proxy dan target yang ada ditampilkan di lingkungan. Sebagai panduan, perkiraan waktu yang diperlukan adalah 30 hingga 90 menit untuk organisasi Berlangganan dan waktu yang lebih singkat untuk organisasi Bayar sesuai penggunaan.
- Peristiwa baru yang terkait dengan proxy (penempatan dan penghapusan penempatan) dan target (pembuatan, pembaruan, penghapusan) di lingkungan memerlukan waktu minimal 60 detik dan maksimal 5 menit (untuk lingkungan yang sangat besar) agar tercermin dalam skor lingkungan.
Melihat penilaian risiko di UI Apigee
Halaman Penilaian Risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.
Untuk membuka halaman Penilaian Risiko:
- Buka UI Apigee di Cloud Console.
- Pilih Advanced API Security > Risk assessment.
Tindakan ini akan menampilkan halaman Penilaian Risiko:
Halaman ini memiliki bagian berikut:
- Lingkungan: Pilih lingkungan tempat Anda ingin melihat penilaian.
- Profil keamanan: Pilih profil default (
google-default
) atau profil kustom, jika tersedia. Lihat Profil keamanan untuk informasi tentang profil keamanan. - Proxy yang di-deploy menurut tingkat keparahan: Setelah lingkungan ditetapkan, halaman akan menampilkan ringkasan tingkat keparahan di seluruh proxy di lingkungan tersebut. Lihat Konsep dan penskoran penilaian risiko.
- Detail penilaian: Menampilkan profil keamanan, tanggal dan waktu penilaian, total konfigurasi yang dinilai, dan total proxy yang di-deploy untuk lingkungan yang dipilih. Jumlah total konfigurasi yang dinilai mencerminkan jumlah total "pemeriksaan" yang dilakukan. Jumlah ini
mungkin lebih tinggi dari jumlah penilaian dalam profil; beberapa penilaian,
seperti memverifikasi bahwa atribut "continueOnError” ditetapkan ke
false
juga memeriksa apakah kebijakan terkait sudah diterapkan dan diaktifkan. - Proxy yang di-deploy: Ringkasan proxy yang di-deploy di lingkungan dan skor penilaian risikonya:
- Proxy: Nama proxy.
- Keparahan: Keparahan penilaian risiko untuk proxy. Lihat Skor dan tingkat keparahan keamanan untuk mengetahui informasinya.
- Skor: Skor penilaian risiko untuk proxy. Lihat Konsep dan penskoran penilaian risiko untuk mengetahui informasinya.
- Revisi: Revisi proxy tempat skor dinilai.
- Penilaian yang gagal berdasarkan bobot: Jumlah penilaian yang gagal yang dikelompokkan berdasarkan bobot penilaian.
- Rekomendasi: Rekomendasi khusus untuk meningkatkan skor di proxy. Klik angka untuk melihat rekomendasi.
Mengelola profil kustom di UI Apigee
Bagian ini menunjukkan cara melihat, membuat, mengedit, dan menghapus profil kustom menggunakan UI Apigee. Perhatikan batasan pada profil kustom yang tercantum dalam Batasan pada skor keamanan.
Mulailah dengan Melihat penilaian risiko di UI Apigee.
Membuat dan mengedit profil kustom
Di layar Penilaian Risiko, pilih tab Profil Keamanan. Untuk mengedit profil yang ada, klik nama profil untuk melihat detail profil, lalu Edit. Atau, Anda dapat memilih Edit dari menu Tindakan di baris untuk profil tersebut.
Untuk membuat profil kustom baru, klik + Buat di daftar profil keamanan.
Saat membuat atau mengedit profil kustom, Anda dapat menetapkan nilai berikut:
- Nama: Nama profil keamanan. Pastikan nama ini unik untuk project.
- Deskripsi: (Opsional). Deskripsi untuk profil keamanan.
- Pemeriksaan penilaian dan Bobot penilaian: Satu atau beberapa pemeriksaan penilaian untuk dievaluasi terhadap proxy dan bobot untuk setiap pemeriksaan. Lihat Konsep dan penskoran penilaian risiko untuk mengetahui daftar pemeriksaan penilaian yang tersedia. Untuk menambahkan pemeriksaan dan bobot penilaian tambahan ke profil, klik + Tambahkan. Untuk menghapus pasangan tanda centang/bobot, klik ikon tempat sampah di baris untuk pasangan tersebut.
Profil duplikat
Untuk menduplikasi profil yang ada (membuat profil kustom baru), pilih Duplikasikan dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Duplikasikan.
Nama profil kustom baru tidak boleh sama dengan profil duplikat. Lihat Profil keamanan kustom untuk persyaratan penamaan profil keamanan.
Menghapus profil kustom
Untuk menghapus profil kustom yang ada, pilih Hapus dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Hapus.
Perhatikan bahwa Anda tidak dapat menghapus profil sistem default (google-default
).
Menghapus profil kustom akan segera berlaku dan menghapus kemampuan untuk menilai proxy terhadap profil tersebut atau melihat penilaian sebelumnya terhadap profil kustom tersebut.
Penilaian Risiko v1
Bagian ini menjelaskan Penilaian Risiko v1. Untuk informasi tentang Penilaian Risiko v2, lihat Penilaian Risiko v2.
Skor keamanan
Skor keamanan menilai keamanan API Anda, serta postur keamanannya dari waktu ke waktu. Misalnya, skor yang banyak berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan dalam lingkungan yang dapat menyebabkan penurunan skor meliputi:
- Men-deploy banyak proxy API tanpa kebijakan keamanan yang diperlukan.
- Lonjakan traffic penyalahgunaan dari sumber berbahaya.
Mengamati perubahan pada skor keamanan Anda dari waktu ke waktu memberikan indikator yang baik tentang aktivitas yang tidak diinginkan atau mencurigakan di lingkungan.
Skor keamanan dihitung berdasarkan profil keamanan, yang menentukan kategori keamanan yang ingin dievaluasi skor Anda. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan kustom yang hanya menyertakan kategori keamanan yang paling penting bagi Anda.
Jenis penilaian skor keamanan
Ada tiga jenis penilaian yang berkontribusi pada skor keamanan secara keseluruhan yang dihitung oleh Advanced API Security:
Penilaian sumber: Menilai traffic penyalahgunaan yang terdeteksi, menggunakan aturan deteksi Advanced API Security. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain tujuan API.
- Penilaian proxy: Menilai seberapa baik proxy telah menerapkan
berbagai kebijakan keamanan di area berikut:
- Mediasi: Periksa apakah salah satu kebijakan mediasi berikut dikonfigurasi untuk semua proxy di lingkungan: OASValidation atau SOAPMessageValidation.
- Keamanan:
- Otorisasi: Memeriksa apakah salah satu kebijakan otorisasi berikut dikonfigurasi untuk semua proxy di lingkungan:
- CORS: Memeriksa apakah CORS dikonfigurasi.
- Ancaman: Memeriksa apakah salah satu kebijakan berikut dikonfigurasi untuk semua proxy di lingkungan: XMLThreatProtection atau JSONThreatProtection.
Lihat Pengaruh kebijakan terhadap skor keamanan proxy untuk mengetahui informasi selengkapnya.
- Penilaian target: Memeriksa apakah mutual transport layer security (mTLS) dikonfigurasi dengan server target di lingkungan.
Setiap jenis penilaian ini diberi skornya sendiri. Skor keseluruhan adalah rata-rata skor dari setiap jenis penilaian.
Pengaruh kebijakan terhadap skor keamanan proxy
Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:
- Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur apa pun tidak memengaruhi skor.
- Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui hook alur dan kebijakan FlowCallout di proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke alur, kebijakan dari alur bersama tertaut tidak akan memengaruhi skor keamanan.
- Rantai alur bersama tidak didukung. Kebijakan yang disertakan melalui rantai alur bersama tidak dinilai saat menghitung skor keamanan.
- Untuk kebijakan yang dilampirkan ke alur kondisional, skor keamanan hanya mempertimbangkan apakah kebijakan ada; skor keamanan tidak mempertimbangkan apakah atau bagaimana kebijakan diterapkan saat runtime.
Profil keamanan
Profil keamanan adalah kumpulan kategori keamanan (dijelaskan di bawah) yang Anda inginkan untuk dinilai API-nya. Profil dapat berisi subkumpulan kategori keamanan. Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan kustom yang hanya berisi kategori keamanan yang penting bagi Anda.
Profil keamanan default
Advanced API Security menyediakan profil keamanan default yang berisi semua kategori keamanan. Jika Anda menggunakan profil default, skor keamanan akan didasarkan pada semua kategori.
Profil keamanan kustom
Profil keamanan kustom memungkinkan Anda mendasarkan skor keamanan hanya pada kategori keamanan yang ingin disertakan dalam skor. Lihat Membuat dan mengedit profil keamanan untuk mempelajari cara membuat profil kustom.
Kategori keamanan
Skor keamanan didasarkan pada penilaian kategori keamanan yang dijelaskan di bawah.
Kategori | Deskripsi | Rekomendasi |
---|---|---|
Penyalahgunaan | Memeriksa penyalahgunaan, yang mencakup permintaan apa pun yang dikirim ke API untuk tujuan selain tujuan yang dimaksudkan, seperti permintaan dalam volume tinggi, scraping data, dan penyalahgunaan yang terkait dengan otorisasi. | Lihat Rekomendasi terkait penyalahgunaan |
Otorisasi | Memeriksa apakah Anda memiliki kebijakan otorisasi. | Tambahkan salah satu kebijakan berikut ke proxy Anda: |
CORS | Memeriksa apakah Anda memiliki kebijakan CORS. | Tambahkan kebijakan CORS ke proxy Anda. |
MTLS | Memeriksa apakah Anda telah mengonfigurasi mTLS (Mutual transport layer security) untuk server target. | Lihat Konfigurasi mTLS server target. |
Mediasi | Memeriksa apakah Anda memiliki kebijakan mediasi. | Tambahkan salah satu kebijakan berikut ke proxy Anda: |
Ancaman | Memeriksa apakah Anda memiliki kebijakan perlindungan dari ancaman. | Tambahkan salah satu kebijakan berikut ke proxy Anda: |
Batasan pada skor keamanan v1
Skor keamanan memiliki batasan berikut:
- Anda dapat membuat hingga 100 profil kustom per organisasi.
- Skor keamanan hanya dihasilkan jika lingkungan memiliki proxy, server target, dan traffic.
- Proksi yang baru di-deploy tidak langsung menampilkan skor.
Penundaan data
Data yang menjadi dasar skor keamanan Advanced API Security memiliki penundaan berikut, karena cara data diproses:
- Saat Anda mengaktifkan Advanced API Security di organisasi, perlu waktu hingga 6 jam agar skor untuk proxy dan target yang ada ditampilkan di lingkungan.
- Peristiwa baru yang terkait dengan proxy (penempatan dan penghapusan penempatan) dan target (pembuatan, pembaruan, penghapusan) di lingkungan dapat memerlukan waktu hingga 6 jam untuk ditampilkan dalam skor lingkungan.
- Data yang mengalir ke pipeline Apigee Analytics memiliki keterlambatan rata-rata hingga 15 hingga 20 menit. Akibatnya, data penyalahgunaan skor sumber memiliki penundaan pemrosesan sekitar 15 hingga 20 menit.
Buka halaman Penilaian risiko
Halaman Penilaian risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.
Mungkin perlu waktu beberapa menit hingga halaman Penilaian risiko dimuat. Halaman akan memerlukan waktu lebih lama untuk dimuat untuk lingkungan dengan volume lalu lintas yang tinggi dan sejumlah besar proxy dan target.
Apigee di konsol Cloud
Untuk membuka halaman Penilaian risiko:
- Buka UI Apigee di Cloud Console.
- Pilih Advanced API Security > Risk assessment.
Tindakan ini akan menampilkan halaman Penilaian risiko:
Halaman ini memiliki dua tab, yang dijelaskan di bagian berikut:
- Skor Keamanan: Lihat skor keamanan.
- Profil Keamanan: Melihat, membuat, dan mengedit profil keamanan.
Melihat skor keamanan
Untuk melihat skor keamanan, klik tab Security Scores.
Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan, seperti yang dijelaskan dalam Melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom, seperti yang dijelaskan dalam Membuat dan mengedit profil keamanan.
Tabel Skor keamanan menampilkan kolom berikut:
- Lingkungan: Lingkungan tempat skor dihitung.
- Tingkat risiko: Tingkat risiko untuk lingkungan, yang dapat berupa rendah, sedang, atau berat.
- Skor keamanan: Total skor untuk lingkungan, dari 1.200.
- Total rekomendasi: Jumlah rekomendasi yang diberikan.
- Profil: Nama profil keamanan yang dilampirkan.
- Terakhir diperbarui: Tanggal terbaru saat skor keamanan diperbarui.
- Tindakan: Klik menu tiga titik di baris agar lingkungan dapat melakukan
tindakan berikut:
- Lampirkan profil: Melampirkan profil keamanan ke lingkungan.
- Lepaskan profil: Lepaskan profil keamanan dari lingkungan.
Melampirkan profil keamanan ke lingkungan
Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:
- Di bagian Actions, klik menu tiga titik di baris untuk lingkungan.
- Klik Lampirkan profil.
- Pada dialog Lampirkan Profil:
- Klik kolom Profil, lalu pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
- Klik Tetapkan.
Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.
Skor keseluruhan dihitung dari skor individual dalam tiga jenis penilaian:
- Penilaian sumber
- Penilaian proxy
- Penilaian target
Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Skor penilaian yang lebih tinggi menunjukkan risiko keamanan yang lebih rendah.
Lihat skor
Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan. Untuk melakukannya, klik baris untuk lingkungan di halaman Skor Keamanan utama. Tindakan ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:
Tampilan menampilkan empat tab:
Ringkasan
Tab Ringkasan menampilkan hal berikut:
- Sorotan utama untuk setiap penilaian:
- Proxy: Menampilkan rekomendasi teratas untuk proxy di lingkungan. Klik Edit Proxy untuk membuka Proxy Editor Apigee, tempat Anda dapat menerapkan rekomendasi.
- Target: Menampilkan rekomendasi teratas untuk target di lingkungan. Klik Lihat Server Target untuk membuka tab Server Target di halaman Pengelolaan > Lingkungan di UI Apigee.
- Sumber: Menampilkan traffic penyalahgunaan yang terdeteksi. Klik Traffic yang Terdeteksi untuk melihat tab Traffic yang terdeteksi di halaman Deteksi penyalahgunaan.
- Ringkasan untuk Penilaian Sumber, Penilaian Proxy, dan Penilaian Target,
termasuk:
- Skor terbaru untuk setiap jenis penilaian.
- Panel Penilaian Sumber menampilkan traffic penyalahgunaan yang terdeteksi dan jumlah alamat IP.
- Panel Penilaian Proxy dan Penilaian Target menampilkan tingkat risiko untuk penilaian tersebut.
- Klik Lihat Detail Penilaian di panel ringkasan mana pun untuk melihat detail jenis penilaian tersebut:
- Histori penilaian, yang menampilkan grafik skor total harian untuk lingkungan selama jangka waktu terbaru, yang dapat Anda pilih selama 3 hari atau 7 hari. Secara default, grafik menampilkan 3 hari. Grafik juga menunjukkan skor total rata-rata selama periode yang sama.
Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang akan dinilai. Misalnya, jika tidak ada server target, skor tidak akan dilaporkan untuk Target.
Penilaian sumber
Klik tab Source Assessment untuk melihat detail penilaian lingkungan.
Klik ikon luaskan di sebelah kanan Detail penilaian untuk melihat grafik penilaian sumber selama jangka waktu terbaru, yang dapat Anda pilih menjadi 3 hari atau 7 hari.
Panel Sumber menampilkan tabel dengan informasi berikut:
- Kategori: Kategori untuk penilaian.
- Tingkat risiko: Tingkat risiko untuk kategori.
- Skor keamanan: Skor keamanan untuk kategori penyalahgunaan.
- Rekomendasi: Jumlah rekomendasi untuk kategori.
Detail sumber
Panel Detail sumber menampilkan detail traffic penyalahgunaan yang terdeteksi di lingkungan, termasuk:
- Detail traffic:
- Traffic yang terdeteksi: Jumlah panggilan API yang berasal dari alamat IP yang telah terdeteksi sebagai sumber penyalahgunaan.
- Total traffic: Jumlah total panggilan API yang dilakukan.
- Jumlah alamat IP yang terdeteksi: Jumlah alamat IP berbeda yang telah terdeteksi sebagai sumber penyalahgunaan.
- Waktu mulai pengamatan (UTC): Waktu mulai dalam UTC dari periode saat traffic dipantau.
- Waktu akhir pengamatan (UTC): Waktu akhir dalam UTC dari periode saat traffic dipantau.
- Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
- Rekomendasi untuk meningkatkan skor. Lihat Rekomendasi terkait penyalahgunaan untuk rekomendasi lebih lanjut tentang cara menangani traffic penyalahgunaan.
Untuk membuat tindakan keamanan guna mengatasi masalah yang diangkat oleh penilaian sumber, klik tombol Create Security Action.
Penilaian proxy
Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik tab Penilaian Proxy:
Panel Proxy menampilkan tabel dengan informasi berikut:
- Proxy: Proxy yang sedang dinilai.
- Tingkat risiko: Tingkat risiko untuk proxy.
- Skor keamanan: Skor keamanan untuk proxy.
- Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor proxy.
- Rekomendasi: Jumlah rekomendasi untuk proxy.
Klik nama proxy di tabel untuk membuka Editor Proxy, tempat Anda dapat melakukan perubahan yang direkomendasikan pada proxy.
Rekomendasi proxy
Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Recommendations. Untuk melihat rekomendasi proxy, klik kolom Perlu diperhatikan untuk proxy di panel Proxy.
Panel Rekomendasi menampilkan:
- Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
- Rekomendasi untuk meningkatkan skor.
Penilaian target
Penilaian target menghitung skor keamanan lapisan transpor bersama (mTLS) untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:
- Tidak ada TLS: 200
- TLS satu arah ada: 900
- Ada mTLS atau tokenisasi dua arah: 1200
Untuk melihat penilaian target, klik tab Penilaian Target:
Panel Target menampilkan informasi berikut:
- Target: Nama target.
- Tingkat risiko: Tingkat risiko untuk target.
- Skor keamanan: Skor keamanan untuk target.
- Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor target.
- Rekomendasi: Jumlah rekomendasi untuk target.
Klik nama target dalam tabel untuk membuka tab Target Servers di halaman Management > Environments di UI Apigee, tempat Anda dapat menerapkan tindakan yang direkomendasikan ke target.
Rekomendasi target
Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Rekomendasi. Untuk melihat rekomendasi untuk target, klik kolom Perlu diperhatikan untuk target di panel Target.
Panel Rekomendasi menampilkan:
- Tanggal penilaian: Tanggal dan waktu penilaian dibuat.
- Rekomendasi untuk meningkatkan skor.
Membuat dan mengedit profil keamanan
Untuk membuat atau mengedit profil keamanan , pilih tab Profil Keamanan.
Tab Profil Keamanan menampilkan daftar profil keamanan, termasuk informasi berikut:
- Nama: Nama profil.
- Kategori: Kategori keamanan yang disertakan dalam profil.
- Deskripsi: Deskripsi opsional profil.
- Lingkungan: Lingkungan tempat profil dilampirkan. Jika kolom ini kosong, profil tidak akan dilampirkan ke lingkungan mana pun.
- Terakhir diperbarui (UTC): Tanggal dan waktu terakhir profil diperbarui.
- Tindakan: Menu dengan item berikut:
Melihat detail profil keamanan
Untuk melihat detail profil keamanan, klik namanya di baris untuk profil tersebut. Tindakan ini akan menampilkan detail profil seperti yang ditunjukkan di bawah.
Baris pertama di tab Detail menampilkan ID Revisi: nomor revisi terbaru profil. Saat Anda mengedit profil dan mengubah kategori keamanannya, ID revisi akan bertambah 1. Namun, hanya mengubah deskripsi profil tidak akan meningkatkan ID revisi.
Baris di bawah yang menampilkan informasi yang sama dengan yang ditampilkan di baris untuk profil di tab Profil Keamanan.
Tampilan detail profil juga memiliki dua tombol berlabel Edit dan Hapus, yang dapat Anda gunakan untuk mengedit atau menghapus profil keamanan.
Histori
Untuk melihat histori profil, klik tab Histori. Tindakan ini akan menampilkan daftar semua revisi profil. Untuk setiap revisi, daftar akan menampilkan:
- ID Revisi: Nomor revisi.
- Kategori: Kategori keamanan yang disertakan dalam revisi profil tersebut.
- Terakhir diperbarui (UTC): Tanggal dan waktu dalam UTC saat revisi dibuat.
Membuat profil keamanan kustom
Untuk membuat profil keamanan kustom baru:
- Klik Create di bagian atas halaman.
- Pada dialog yang terbuka, masukkan hal berikut:
- Nama: Nama profil. Nama harus terdiri dari 1 hingga 63 huruf kecil, angka, atau tanda hubung, dan harus diawali dengan huruf dan diakhiri dengan huruf atau angka. Nama harus berbeda dengan nama profil yang ada.
- (Opsional) Deskripsi: Deskripsi profil.
- Di kolom Kategori, pilih kategori penilaian yang ingin Anda sertakan dalam profil.
Mengedit profil keamanan kustom
Untuk mengedit profil keamanan kustom:
- Di akhir baris untuk profil keamanan, klik menu Tindakan.
- Pilih Edit.
- Di halaman Edit security profile, Anda dapat mengubah:
- Deskripsi: Deskripsi opsional profil keamanan.
- Kategori: Kategori keamanan yang dipilih untuk profil. Klik menu drop-down dan ubah kategori yang dipilih dengan memilih atau membatalkan pilihannya di menu.
- Klik Oke.
Menghapus profil keamanan kustom
Untuk menghapus profil keamanan, klik Tindakan di akhir baris untuk profil tersebut, lalu pilih Hapus. Perhatikan bahwa menghapus profil juga akan melepaskannya dari semua lingkungan.
UI Apigee Klasik
Untuk membuka tampilan Skor keamanan:
- Buka UI Apigee Klasik.
- Pilih Analyze > API Security > Security Scores.
Tindakan ini akan menampilkan tampilan Skor keamanan:
Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom menggunakan Apigee API. Lihat Menggunakan profil keamanan kustom untuk mengetahui detailnya.
Pada gambar di atas, tidak ada profil keamanan yang telah dilampirkan ke lingkungan integration
, sehingga kolom Nama Profil menampilkan Tidak ditetapkan untuk lingkungan tersebut.
Tabel Skor keamanan menampilkan kolom berikut:
- Lingkungan: Lingkungan tempat skor dihitung.
- Skor Terbaru: Total skor terbaru untuk lingkungan, dari 1.200.
- Tingkat Risiko: Tingkat risiko, yang dapat berupa rendah, sedang, atau berat.
- Total Rekomendasi: Jumlah rekomendasi yang diberikan. Setiap rekomendasi sesuai dengan baris dalam tabel Perlu Diperhatikan.
- Nama Profil: Nama profil keamanan.
- Tanggal Penilaian: Tanggal terbaru saat skor keamanan dihitung.
Melampirkan profil keamanan ke lingkungan
Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:
- Di bagian Actions, klik menu tiga titik di baris untuk lingkungan.
- Klik Lampirkan profil.
- Pada dialog Lampirkan Profil:
- Klik kolom Profil, lalu pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
- Klik Tetapkan.
Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.
Gambar di bawah menunjukkan tampilan Skor Keamanan dengan lingkungan yang memiliki profil keamanan default yang terpasang:
Baris untuk lingkungan kini menampilkan skor keamanan terbaru, tingkat risiko, jumlah rekomendasi untuk tindakan keamanan yang harus dilakukan, dan Tanggal Penilaian skor.
Skor keseluruhan dihitung dari skor individual dalam tiga jenis penilaian:
- Penilaian sumber
- Penilaian proxy
- Penilaian target
Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Makin tinggi skor, makin baik penilaian keamanan.
Lihat skor
Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan. Untuk melakukannya, klik baris untuk lingkungan di tampilan Skor Keamanan utama. Tindakan ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:
Tampilan menampilkan:
- Skor terbaru untuk Sumber, Proxy, dan Target. Klik Lihat Detail Penilaian di panel mana pun untuk melihat penilaian untuk jenis tersebut.
- Histori Skor Lingkungan, yang menampilkan grafik skor total harian untuk lingkungan selama 5 hari terakhir, serta skor total rata-rata selama periode yang sama.
- Tabel Perlu Diperhatikan, yang mencantumkan jenis penilaian API Anda yang dapat Anda tingkatkan keamanannya.
Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang akan dinilai. Misalnya, jika tidak ada server target, skor tidak akan dilaporkan untuk Target.
Bagian berikut menjelaskan cara melihat penilaian untuk setiap jenis:
Tabel Perlu Diperhatikan
Tabel Perlu Diperhatikan, yang ditampilkan di atas, mencantumkan kategori API yang skornya di bawah 1.200, beserta:
- Skor terbaru untuk kategori
- Tingkat risiko untuk kategori, yang dapat berupa rendah, sedang, atau berat
- Tanggal penilaian
- Jenis penilaian
Melihat rekomendasi
Untuk setiap baris dalam tabel, Advanced API Security memberikan rekomendasi untuk meningkatkan skor. Anda dapat melihat rekomendasi di tampilan Detail penilaian untuk setiap jenis, Sumber, Proxy, atau Target, seperti yang dijelaskan di bagian berikut:
Anda dapat membuka tampilan Detail penilaian dengan salah satu cara berikut:
- Klik Lihat Detail Penilaian di panel mana pun di tampilan Skor Keamanan utama.
- Di Tabel yang Perlu Diperhatikan:
- Luaskan grup kategori dalam tabel:
- Klik kategori yang rekomendasinya ingin Anda lihat. Tindakan ini akan membuka tampilan detail penilaian yang sesuai dengan rekomendasi.
Penilaian sumber
Penilaian sumber menghitung skor penyalahgunaan untuk lingkungan. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain tujuan API.
Untuk melihat penilaian sumber, klik Lihat di panel Sumber untuk membuka tampilan Penilaian Sumber API:
Histori Skor Sumber menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.
Rekomendasi sumber
Jika kategori memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat rekomendasi untuk kategori penyalahgunaan, klik barisnya di tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.
Untuk melihat detail penyalahgunaan, klik Lihat Detail. Tindakan ini akan membuka tampilan Traffic yang Terdeteksi di halaman Deteksi penyalahgunaan. Tampilan Traffic yang Terdeteksi menampilkan informasi mendetail tentang penyalahgunaan yang terdeteksi.
Di bawah baris Lihat Detail, panel Rekomendasi menampilkan:
- Rekomendasi: "Blokir atau izinkan traffic yang diidentifikasi oleh deteksi penyalahgunaan" ditampilkan.
- Baris Tindakan menampilkan link ke dokumentasi untuk rekomendasi penyalahgunaan.
Penilaian proxy
Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik Lihat di panel Proxy untuk membuka tampilan Penilaian Proxy API:
Histori Skor Proxy menampilkan skor selama 5 hari terakhir, beserta skor rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.
Rekomendasi proxy
Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Misalnya, untuk melihat rekomendasi proxy hellooauth2, klik barisnya di Tabel detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations. Dua di antaranya ditampilkan di bawah.
Penilaian target
Penilaian target menghitung skor mTLS untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:
- Tidak ada TLS: 200
- TLS satu arah ada: 900
- Ada mTLS atau tokenisasi dua arah: 1200
Untuk melihat penilaian target, klik Lihat di panel Target untuk membuka tampilan Penilaian Target API:
Histori Skor Target menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbarunya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.
Rekomendasi target
Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat penilaian server target, klik barisnya. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.
Rekomendasi penyalahgunaan
Jika skor sumber rendah, Apigee merekomendasikan agar Anda meninjau IP yang penyalahgunaannya telah terdeteksi. Kemudian, jika Anda setuju bahwa traffic dari IP tersebut bersifat penyalahgunaan, gunakan halaman Tindakan keamanan untuk memblokir permintaan dari alamat IP yang merupakan sumber traffic penyalahgunaan.
Untuk mendapatkan informasi selengkapnya tentang penyalahgunaan, Anda dapat menggunakan salah satu referensi berikut:
- Halaman Deteksi penyalahgunaan, yang menampilkan informasi tentang insiden keamanan yang melibatkan traffic penyalahgunaan.
- Halaman Laporan keamanan.
Misalnya, Anda dapat membuat laporan berikut:
- Alamat IP bot, seperti yang dijelaskan dalam Contoh: laporan Alamat IP bot.
- Traffic bot menurut bot_reason, seperti yang dijelaskan dalam Contoh: laporan traffic bot menurut alasan bot.