Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da Apigee Edge.
A avaliação de risco da segurança das APIs avançadas avalia o risco de ameaças à segurança das suas APIs. Para fazer isso, a segurança avançada da API calcula as pontuações de segurança com base no tráfego da API e na configuração dos proxies e destinos da API. Se as pontuações forem baixas, o que indica um risco de segurança maior, a segurança avançada da API oferece recomendações sobre maneiras de melhorar as pontuações.
A avaliação de risco tem três objetivos principais:
- Confidencialidade: mantém a privacidade dos seus dados.
- Integridade: impede que terceiros tenham acesso não autorizado às suas APIs.
- Disponibilidade: suas APIs precisam estar disponíveis 24 horas.
É possível acessar a avaliação de risco pela IU da Apigee, conforme descrito nesta página, ou pela API de perfis e pontuações de segurança.
Consulte Papéis necessários para avaliação de risco para saber quais são os papéis necessários para realizar tarefas de avaliação de risco.
Para usar esse recurso, é necessário ativar o complemento. Se você é um cliente de assinatura, pode ativar o complemento para sua organização. Consulte Gerenciar organizações da Segurança avançada da API por assinatura se quiser mais detalhes. Se você é um cliente de pagamento por uso, ative o complemento nos seus ambientes qualificados. Para mais informações, consulte Gerenciar o complemento Segurança avançada da API.
As seções a seguir descrevem a avaliação de risco:
- Pontuações de segurança
- Perfis de segurança
- Limitações das pontuações de segurança
- Atrasos nos dados
- Abrir a página "Avaliação de risco"
Pontuações de segurança
As pontuações de segurança avaliam a segurança das APIs e a estabilidade delas ao longo do tempo. Por exemplo, uma pontuação que varia muito pode indicar que o comportamento da API muda com frequência, o que pode não ser desejável. Estas são algumas das alterações em um ambiente que podem causar uma queda na pontuação:
- Implantar muitos proxies de API sem as políticas de segurança necessárias.
- Um pico no tráfego de abuso de origens maliciosas.
Observar as alterações nas pontuações de segurança ao longo do tempo é um bom indicador de atividades indesejadas ou suspeitas no ambiente.
As pontuações de segurança são calculadas com base no seu perfil de segurança, que especifica as categorias de segurança que você quer que suas pontuações sejam avaliadas. É possível usar o perfil de segurança padrão da Apigee ou criar um perfil de segurança personalizado que inclua apenas as categorias de segurança mais importantes para você.
Tipos de avaliação de pontuações de segurança
Há três tipos de avaliação que contribuem para a pontuação de segurança geral calculada pela API de segurança avançada:
Avaliação da origem: avalia o tráfego de abuso detectado, usando as regras de detecção de segurança avançada da API. "Abuso" é uma solicitação enviada à API para outros fins que não o pretendido dela.
- Avaliação de proxy: avalia como os proxies implementaram várias políticas
de segurança nas seguintes áreas:
- Mediação: verifique se uma das políticas de mediação a seguir está configurada para cada proxy no ambiente: OASValidation ou SOAPMessageValidation.
- Segurança:
- Autorização: verifica se uma das seguintes políticas de autorização está configurada para todos os proxies no ambiente:
- CORS: verifica se o CORS está configurado.
- Ameaça: verifica se uma das seguintes políticas está configurada para cada proxy no ambiente: XMLThreatProtection ou JSONThreatProtection.
Consulte Como as políticas afetam as pontuações de segurança do proxy para mais informações.
- Avaliação do destino: verifica se o Transport Layer Security mútuo (mTLS) está configurado com os servidores de destino no ambiente.
Cada um desses tipos de avaliação recebe uma pontuação individual. A pontuação geral é a média das pontuações dos tipos de avaliação individuais.
Como as políticas afetam as pontuações de segurança do proxy
Para avaliações de proxy, as pontuações de segurança são baseadas nas políticas que você está usando. A avaliação dessas políticas depende se e como elas estão anexadas aos fluxos:
- Somente as políticas anexadas a um fluxo (pré-fluxo, fluxo condicional, pós-fluxo em proxies ou fluxo compartilhado) afetam as pontuações. As políticas que não estão anexadas a nenhum fluxo não afetam as pontuações.
- As pontuações de proxy consideram os fluxos compartilhados que um proxy chama por hooks de fluxo e políticas Flow callout no proxy, desde que a política Flow callout esteja anexada a um fluxo. No entanto, se o Flow callout não estiver anexado a um fluxo, as políticas do fluxo compartilhado vinculado não afetarão as pontuações de segurança.
- No caso de políticas anexadas a fluxos condicionais, as pontuações de segurança consideram apenas se as políticas estão presentes. ele não leva em conta se ou como as políticas serão aplicadas no ambiente de execução.
Perfis de segurança
Um perfil de segurança é um conjunto de categorias de segurança (descritas abaixo) em que você quer avaliar suas APIs. Um perfil pode conter qualquer subconjunto das categorias de segurança. Para conferir as pontuações de segurança de um ambiente, primeiro é necessário anexar um perfil de segurança a ele. É possível usar o perfil de segurança padrão da Apigee ou criar uma segurança personalizada que contenha apenas as categorias de segurança importantes para você.
Perfil de segurança padrão
A Segurança avançada da API fornece um perfil de segurança padrão que contém todas as categorias de segurança. Se você usar o perfil padrão, as pontuações de segurança serão baseadas em todas as categorias.
Perfil de segurança personalizado
Com os perfis de segurança personalizados, é possível basear as pontuações de segurança apenas nas categorias de segurança que você quer incluir na pontuação. Consulte Criar e editar perfis de segurança para saber como criar um perfil personalizado.
Categorias de segurança
As pontuações de segurança são baseadas em uma avaliação das categorias de segurança descritas abaixo.
Categoria | Descrição | Recomendação |
---|---|---|
Abuso | Verifica abuso, incluindo solicitações enviadas à API para outros fins que não o pretendido, como altos volumes de solicitações, extração de dados e abuso relacionado à autorização. | Consulte Recomendações sobre abuso. |
Autorização | Verifica se você tem uma política de autorização em vigor. | Adicione uma das seguintes políticas ao proxy: |
CORS | Verifica se você tem uma política de CORS em vigor. | Adicione uma política de CORS ao seu proxy. |
MTLS | Verifica se você configurou o mTLS (Mutual transport layer security) para o servidor de destino. | Consulte Configuração de mTLS do servidor de destino. |
Mediação | Verifica se você tem uma política de mediação em vigor. | Adicione uma das seguintes políticas aos proxies: |
Ameaça | Verifica se você tem uma política de proteção contra ameaças em vigor. | Adicione uma das seguintes políticas aos proxies: |
Limitações das pontuações de segurança
As pontuações de segurança têm as seguintes limitações:
- Você pode criar até cem perfis personalizados por organização.
- As pontuações de segurança só serão geradas se um ambiente tiver proxies, servidores de destino ou tráfego, e também se o complemento Segurança avançada da API estiver ativado. Caso contrário, a mensagem "Não foi possível avaliar" será exibida.
Atrasos nos dados
Os dados em que as pontuações de segurança da API Advanced se baseiam têm os seguintes atrasos, devido à forma como os dados são processados:
- Quando você ativa a segurança avançada da API em uma organização, pode levar até 6 horas para que as pontuações dos proxies e destinos atuais sejam refletidas em um ambiente.
- Pode levar até 6 horas para que os eventos novos relacionados a proxies (implantação e cancelamento de implantação) e destinos (criar, atualizar e excluir) apareçam na pontuação do ambiente.
- Os dados que fluem para o pipeline do Apigee Analytics têm um atraso de até 15 a 20 minutos em média. Como resultado, a fonte registra os dados de abuso que têm um atraso de processamento de 15 a 20 minutos.
Abra a página Avaliação de risco
A página Avaliação de risco exibe pontuações que medem a segurança da API em cada ambiente.
Apigee no console do Cloud
Para abrir a página Avaliação de risco:
- Abra o https://console.cloud.google.com/apigee.
- Selecione Segurança da API > Avaliação de risco.
A página Avaliação de risco será exibida:
A página tem duas guias, que são descritas nas seções a seguir:
- Pontuações de segurança: acesse as pontuações de segurança.
- Perfis de segurança: acesse, crie e edite perfis de segurança.
Conferir pontuações de segurança
Para conferir as pontuações de segurança, clique na guia Pontuações de segurança.
Nenhuma pontuação é calculada para um ambiente até que você anexe um perfil de segurança, conforme descrito em Anexar um perfil de segurança a um ambiente. A Apigee fornece uma política de segurança padrão, ou é possível criar um perfil personalizado, conforme descrito em Criar e editar perfis de segurança.
A tabela Pontuações de segurança exibe as seguintes colunas:
- Ambiente: o ambiente em que as pontuações são calculadas.
- Nível de risco: o nível de risco do ambiente, que pode ser baixo, moderado ou grave.
- Pontuação de segurança: a pontuação total do ambiente entre 1.200.
- Recomendações totais: o número de recomendações fornecidas.
- Perfil: o nome do perfil de segurança anexado.
- Última atualização: a data mais recente em que as pontuações de segurança foram atualizadas.
- Ações: clique no menu de três pontos na linha do ambiente para realizar
as seguintes ações:
- Anexar perfil: anexe um perfil de segurança ao ambiente.
- Remover perfil: remova um perfil de segurança do ambiente.
Anexar um perfil de segurança a um ambiente
Para ver as pontuações de segurança de um ambiente, primeiro anexe um perfil de segurança ao ambiente da seguinte maneira:
- Em Ações, clique no menu de três pontos na linha do ambiente.
- Clique em Anexar perfil.
- Na caixa de diálogo Anexar perfil:
- Clique no campo Perfil e selecione o perfil que você quer anexar. Se você não tiver criado um perfil de segurança personalizado, o único perfil disponível será default.
- Clique em Atribuir.
Quando você anexa um perfil de segurança a um ambiente, a Segurança avançada da API começa a avaliar e pontuá-lo imediatamente. Pode levar alguns minutos para a pontuação ser exibida.
A pontuação geral é calculada com base nas pontuações individuais dos três tipos de avaliação:
- Avaliação da fonte
- Avaliação de proxy
- Avaliação desejada
Todas as pontuações estão no intervalo de 200 a 1.200. Quanto maior a pontuação, melhor a avaliação de segurança.
Visualize pontuações
Depois de anexar um perfil de segurança a um ambiente, é possível ver as pontuações e recomendações no ambiente. Para fazer isso, clique na linha do ambiente na página principal Pontuações de segurança. Ele exibe as pontuações do ambiente, como mostrado abaixo:
A visualização exibe quatro guias:
Informações gerais
A guia Visão geral exibe o seguinte:
- Principais destaques de cada avaliação:
- Proxy: mostra a principal recomendação para proxies no ambiente. Clique em Editar proxy para abrir o Editor de proxy da Apigee, onde é possível implementar a recomendação.
- Objetivo: mostra a principal recomendação para destinos no ambiente. Clique em Ver servidores de destino para abrir a guia Servidores de destino na página Gerenciamento > Ambientes na interface da Apigee.
- Origem: mostra o tráfego de abuso detectado. Clique em Tráfego detectado para ver a guia Tráfego detectado na página Detecção de abuso.
- Resumos de Avaliação de origem, Avaliação de proxy e Avaliação de destino,
incluindo:
- A pontuação mais recente de cada tipo de avaliação.
- O painel Avaliação de origem exibe o tráfego de abuso detectado e a contagem de endereços IP.
- Os painéis Avaliação de proxy e Avaliação de destino exibem o nível de risco para essas avaliações.
- Clique em Ver detalhes da avaliação em qualquer um dos painéis de resumo para ver os detalhes desse tipo de avaliação:
- Histórico de avaliações, que exibe um gráfico das pontuações totais diárias do ambiente em um período recente, que pode ser de três ou sete dias. Por padrão, o gráfico mostra três dias. O gráfico também mostra a pontuação média total no mesmo período.
A pontuação só será calculada para o tipo de avaliação se houver algo a ser avaliado. Por exemplo, se não houver servidores de destino, nenhuma pontuação será informada para Destinos.
Avaliação da fonte
Clique na guia Avaliação de origem para ver os detalhes da avaliação do ambiente.
Clique no ícone de expansão à direita de Detalhes da avaliação para ver um gráfico da avaliação de origem de um período recente, que pode ser de três ou sete dias.
O painel Origem exibe uma tabela com as seguintes informações:
- Categoria: a categoria da avaliação.
- Nível de risco: o nível de risco da categoria.
- Pontuação de segurança: a pontuação de segurança da categoria Abuso.
- Recomendações: o número de recomendações para a categoria.
Detalhes da origem
O painel Detalhes da origem exibe detalhes do tráfego de abuso detectado no ambiente, incluindo:
- Detalhes do trânsito:
- Tráfego detectado: o número de chamadas de API originadas de um endereço IP que foi detectado como origem de abuso.
- Tráfego total: o número total de chamadas de API feitas.
- Contagem de endereços IP detectada: o número de endereços IP distintos que foram detectados como origens de abuso.
- Horário de início da observação (UTC): é o horário de início em UTC do período em que o tráfego foi monitorado.
- Horário de término da observação (UTC): o horário de término em UTC do período durante o qual o tráfego foi monitorado.
- Data da avaliação:é a data em que a avaliação foi feita.
- Recomendação para melhorar a pontuação. Consulte Recomendações de abuso para acessar mais recomendações sobre como lidar com esse tipo de tráfego.
Para criar uma ação de segurança para lidar com problemas apontados pela avaliação da origem, clique no botão Criar ação de segurança.
Avaliação de proxy
A avaliação de proxy da API calcula as pontuações de todos os proxies no ambiente. Para visualizar a avaliação de proxy, clique na guia Avaliação de proxy:
O painel Proxy exibe uma tabela com as seguintes informações:
- Proxy: o proxy que está sendo avaliado.
- Nível de risco: o nível de risco do proxy.
- Pontuação de segurança: a pontuação de segurança do proxy.
- Requer atenção: as categorias de avaliação que precisam ser tratadas para melhorar a pontuação do proxy.
- Recomendações: o número de recomendações do proxy.
Clique no nome de um proxy na tabela para abrir o Editor de proxy, onde é possível fazer as alterações recomendadas nele.
Recomendações de proxy
Se um proxy tiver uma pontuação baixa, você poderá ver recomendações para melhorá-lo no painel Recomendações. Para ver as recomendações para um proxy, clique na coluna Requer atenção do proxy no painel Proxy.
O painel Recomendações exibe:
- Data da avaliação:é a data em que a avaliação foi feita.
- Recomendação para melhorar a pontuação.
Avaliação desejada
A avaliação de destino calcula uma pontuação de Transport Layer Security mútuo (mTLS) para cada servidor de destino no ambiente. As pontuações de destino são atribuídas da seguinte maneira:
- Sem TLS: 200
- TLS presente unidirecional: 900
- Mão dupla ou mTLS: 1.200
Para ver a avaliação de destino, clique na guia Avaliação de destino:
O painel Destino exibe as seguintes informações:
- Destino: o nome do destino.
- Nível de risco: o nível de risco do destino.
- Pontuação de segurança: a pontuação de segurança do destino.
- Requer atenção: as categorias de avaliação que precisam ser tratadas para melhorar a pontuação do destino.
- Recomendações: o número de recomendações para o destino.
Clique no nome de um destino na tabela para abrir a guia Servidores de destino na página Gerenciamento > Ambientes na interface da Apigee, em que é possível aplicar as ações recomendadas ao destino.
Recomendações de destino
Se um servidor de destino tiver uma pontuação baixa, você poderá ver recomendações para melhorá-la no painel Recomendações. Para visualizar as recomendações para um destino, clique na coluna Requer atenção do destino no painel Destino.
O painel Recomendações exibe:
- Data da avaliação:é a data em que a avaliação foi feita.
- Recomendação para melhorar a pontuação.
Criar e editar perfis de segurança
Para criar ou editar um perfil de segurança, selecione a guia Perfis de segurança.
Na guia Perfis de segurança, há uma lista de perfis de segurança, que inclui as seguintes informações:
- Nome: o nome do perfil.
- Categorias: as categorias de segurança incluídas no perfil.
- Descrição: a descrição opcional do perfil.
- Ambientes: os ambientes a que o perfil está anexado. Se essa coluna estiver em branco, o perfil não está anexado a nenhum ambiente.
- Última atualização (UTC): a última data e hora em que o perfil foi atualizado.
- Ações: um menu com estes itens:
Conferir os detalhes de um perfil de segurança
Para acessar os detalhes de um perfil de segurança, clique no nome dele na linha do perfil. Os detalhes do perfil são exibidos, conforme mostrado abaixo.
A primeira linha na guia Detalhes mostra o ID da revisão, que é o número de revisão mais recente do perfil. Quando você edita um perfil e altera as categorias de segurança dele, o ID da revisão aumenta em 1. No entanto, apenas alterar a descrição do perfil não aumenta o ID da revisão.
As linhas abaixo que exibem as mesmas informações mostradas na linha do perfil na guia Perfis de segurança.
A visualização de detalhes do perfil também tem dois botões: Editar e Excluir, que você pode usar para editar ou excluir um perfil de segurança.
Histórico
Para acessar o histórico do perfil, clique na guia Histórico. Uma lista de todas as revisões do perfil vai aparecer. Para cada revisão, a lista exibe:
- ID da revisão: o número da revisão.
- Categorias: as categorias de segurança incluídas nessa revisão do perfil.
- Última atualização (UTC): a data e a hora em UTC de quando a revisão foi criada.
Criar um perfil de segurança personalizado
Para criar um perfil de segurança personalizado:
- Clique em Criar na parte superior da página.
- Na caixa de diálogo que aparece, insira as informações a seguir:
- Nome: o nome do perfil. O nome precisa conter de 1 a 63 letras minúsculas, números ou hifens, além de começar com uma letra e terminar com uma letra ou um número. O nome precisa ser diferente do nome de qualquer perfil atual.
- (Opcional) Descrição: uma descrição do perfil.
- No campo Categorias, selecione as categorias de avaliação que você quer incluir no perfil.
Editar um perfil de segurança personalizado
Para editar um perfil de segurança personalizado:
- No final da linha do perfil de segurança, clique no menu Ações.
- Selecione Editar.
- Na página Editar perfil de segurança, é possível mudar o seguinte:
- Descrição: a descrição opcional do perfil de segurança.
- Categorias: as categorias de segurança selecionadas para o perfil. Clique no menu suspenso e altere as categorias selecionadas marcando-as ou desmarcando-as no menu.
- Clique em OK.
Excluir um perfil de segurança personalizado
Para excluir um perfil de segurança, clique em Ações no final da linha do perfil e selecione Excluir. A exclusão de um perfil também o remove de todos os ambientes.
Apigee clássica
Para abrir a visualização Pontuações de segurança:
- Abra a Interface clássica da Apigee.
- Selecione Analisar > Segurança da API > Pontuações.
A visualização Pontuações de segurança é exibida:
Nenhuma pontuação será calculada para um ambiente até que você anexe um perfil de segurança a ele. A Apigee fornece uma política de segurança padrão, ou é possível criar um perfil personalizado usando a API Apigee. Consulte os detalhes em Usar um perfil de segurança personalizado.
Na imagem acima, nenhum perfil de segurança foi anexado ao ambiente integration
. Portanto, a coluna Nome do perfil exibe Não definido para esse ambiente
A tabela Pontuações de segurança exibe as seguintes colunas:
- Ambiente: o ambiente em que as pontuações são calculadas.
- Pontuação mais recente: a pontuação total mais recente para o ambiente, de 1.200.
- Nível de risco: o nível de risco, que pode ser baixo, moderado ou grave.
- Recomendações totais: o número de recomendações fornecidas. Cada recomendação corresponde a uma linha na tabela Precisa de atenção.
- Nome do perfil: o nome do perfil de segurança.
- Data da avaliação: a data mais recente em que as pontuações de segurança foram calculadas.
Anexar um perfil de segurança a um ambiente
Para ver as pontuações de segurança de um ambiente, primeiro anexe um perfil de segurança ao ambiente da seguinte maneira:
- Em Ações, clique no menu de três pontos na linha do ambiente.
- Clique em Anexar perfil.
- Na caixa de diálogo Anexar perfil:
- Clique no campo Perfil e selecione o perfil que você quer anexar. Se você não tiver criado um perfil de segurança personalizado, o único perfil disponível será default.
- Clique em Atribuir.
Quando você anexa um perfil de segurança a um ambiente, a Segurança avançada da API começa a avaliar e pontuá-lo imediatamente. Pode levar alguns minutos para a pontuação ser exibida.
A imagem abaixo mostra a visualização Pontuações de segurança com um ambiente que tem o perfil de segurança padrão anexado:
A linha do ambiente agora mostra a pontuação de segurança mais recente, o nível de risco, o número de recomendações para ações de segurança a serem tomadas e a Data de avaliação da pontuação.
A pontuação geral é calculada com base nas pontuações individuais dos três tipos de avaliação:
- Avaliação da fonte
- Avaliação de proxy
- Avaliação desejada
Todas as pontuações estão no intervalo de 200 a 1.200. Quanto maior a pontuação, melhor a avaliação de segurança.
Visualize pontuações
Depois de anexar um perfil de segurança a um ambiente, é possível ver as pontuações e recomendações no ambiente. Para fazer isso, clique na linha do ambiente na visualização Pontuações de segurança principal. Ele exibe as pontuações do ambiente, como mostrado abaixo:
A visualização será exibida:
- As pontuações mais recentes para Sources, Proxies e Target. Clique em Ver detalhes da avaliação em qualquer um dos painéis para ver a avaliação do tipo em questão.
- Histórico de pontuação do ambiente, que exibe um gráfico do total de pontuações diárias do ambiente nos últimos cinco dias, bem como a pontuação total média no mesmo período.
- A tabela "Precisa de atenção", que lista os tipos de avaliação das APIs para melhorar a segurança.
A pontuação só será calculada para o tipo de avaliação se houver algo a ser avaliado. Por exemplo, se não houver servidores de destino, nenhuma pontuação será informada para Destinos.
As seções a seguir descrevem como visualizar as avaliações de cada tipo:
Tabela de atenção necessária
A tabela Requer atenção, mostrada acima, lista os componentes da API com pontuações abaixo de 1.200, além de:
- O placar mais recente da categoria
- É o nível de risco da categoria, que pode ser baixo, moderado ou grave.
- A data da avaliação
- O tipo de avaliação
Ver recomendações
Para cada linha na tabela, a Segurança avançada da API oferece uma recomendação para melhorar a pontuação. Veja as recomendações nas visualizações dos Detalhes da avaliação para cada um dos tipos, Fontes, Proxies ou Destinos, conforme descrito nas seções a seguir:
Você pode abrir uma visualização dos Detalhes da avaliação de uma das seguintes maneiras:
- Clique em Ver detalhes da avaliação em qualquer painel na visualização principal das Pontuações de segurança.
- Em Tabela requer atenção:
- Expanda o grupo de categoria na tabela:
- Clique na categoria em que você quer ver a recomendação. Isso abre a visualização de detalhes da avaliação correspondente à recomendação.
Avaliação da fonte
A avaliação de origem calcula uma pontuação de abuso para o ambiente. "Abuso" é uma solicitação enviada à API para outros fins que não o pretendido dela.
Para acessar a avaliação da fonte, clique em View no painel Sources para abrir a visualização API Source Assessment:
O Histórico de pontuação da fonte exibe as pontuações dos últimos cinco dias, a média e a pontuação mais recente. A tabela Detalhes da avaliação exibe as pontuações individuais mais recentes das categorias da avaliação.
Recomendações de fontes
Se uma categoria tiver uma pontuação baixa, é possível ver recomendações para melhorá-la. Para ver uma recomendação para a categoria abuso, clique na linha da tabela Detalhes da avaliação. A recomendação é exibida no painel Recomendações.
Para ver mais detalhes sobre o abuso, clique em Ver detalhes. Isso abre a visualização Tráfego detectado na página Detecção de abuso. A visualização Tráfego detectado exibe informações detalhadas sobre abuso detectado.
Abaixo da linha Ver detalhes, o painel "Recomendações" mostra:
- A recomendação: "Bloquear ou permitir o tráfego identificado pela detecção de abuso". será exibido.
- A linha Ações exibe um link para a documentação de recomendações de abuso.
Avaliação de proxy
A avaliação de proxy da API calcula as pontuações de todos os proxies no ambiente. Para acessar a avaliação do proxy, clique em View no painel Proxy para abrir a visualização API Proxy Assessment:
O Histórico de pontuação de Proxy mostra as pontuações dos últimos cinco dias, a média e a pontuação mais recente. A tabela Detalhes da avaliação exibe as pontuações individuais mais recentes das categorias da avaliação.
Recomendações de proxy
Se um proxy tiver uma pontuação baixa, é possível ver recomendações para melhorá-lo. Por exemplo, para ver recomendações para o proxy hellooauth2, clique na linha dele na tabela de detalhes da avaliação. As recomendações são exibidas no painel Recomendações. Dois deles são mostrados abaixo.
Avaliação desejada
A avaliação de destino calcula uma pontuação de mTLS para cada servidor de destino no ambiente. As pontuações de destino são atribuídas da seguinte maneira:
- Sem TLS: 200
- TLS presente unidirecional: 900
- Mão dupla ou mTLS: 1.200
Para acessar a avaliação de destino, clique em View no painel Targets para abrir a visualização de API Target Assessment:
O Histórico de pontuação de destino exibe as pontuações dos últimos cinco dias, a média e a pontuação mais recente. A tabela Detalhes da avaliação exibe as pontuações individuais mais recentes das categorias da avaliação.
Recomendações de destino
Se um servidor de destino tiver uma pontuação baixa, você vai ver recomendações para melhorá-lo. Para ver a avaliação de um servidor de destino, clique na linha dele. A recomendação é exibida no painel Recomendações.
Recomendações sobre abuso
Se a pontuação de origem estiver baixa, a Apigee recomenda que você analise os IPs para os quais foi detectado abuso. Em seguida, se você concordar que o tráfego desses IPs é abusivo, use a página Ações de segurança para bloquear solicitações de endereços IP que são origens de tráfego abusivo.
Para mais informações sobre o abuso, use um dos seguintes recursos:
- A página Detecção de abuso, que exibe informações sobre incidentes de segurança que envolvem tráfego abusivo.
- A página Relatórios de segurança.
Por exemplo, você pode criar os seguintes relatórios:
- Endereços IP de bots, conforme descrito em Exemplo: relatório de endereços IP do bot.
- Tráfego de bots por bot_reason, conforme descrito em Exemplo: relatório de tráfego de bot por motivo do bot.