Risikobewertung

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Die Risikobewertung der erweiterten API-Sicherheit bewertet das Risiko von Sicherheitsbedrohungen für Ihre APIs. Dazu berechnet die erweiterte API-Sicherheit Sicherheitswerte auf der Grundlage Ihres API-Traffics und der Konfiguration Ihrer API-Proxys und -Ziele. Wenn die Punktzahlen niedrig sind, was auf ein höheres Sicherheitsrisiko hindeutet, gibt Ihnen die Advanced API Security Empfehlungen dazu, wie Sie Ihre Punktzahlen verbessern können.

Die Risikobewertung hat drei Hauptziele:

  • Vertraulichkeit: Ihre Daten bleiben privat.
  • Integrität: Verhindert, dass Dritte nicht autorisierten Zugriff auf Ihre APIs erhalten.
  • Verfügbarkeit: APIs müssen rund um die Uhr verfügbar sein.

Sie können auf die Risikobewertung entweder über die Apigee-Benutzeroberfläche, wie auf dieser Seite beschrieben, oder über die Security Scores and Profiles API zugreifen.

Informationen zu den Rollen, die zum Ausführen von Risikobewertungsaufgaben erforderlich sind, finden Sie unter Erforderliche Rollen für die Risikobewertung.

Wenn Sie diese Funktion verwenden möchten, müssen Sie das Add-on aktivieren. Wenn Sie ein Abo-Kunde sind, können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren berechtigten Umgebungen aktivieren. Weitere Informationen finden Sie unter Erweitertes API-Sicherheits-Add-on verwalten.

In den folgenden Abschnitten wird die Risikobewertung beschrieben:

Sicherheitspunktzahlen

Sicherheitspunktzahlen bewerten die Sicherheit Ihrer APIs sowie deren Stabilität im Zeitverlauf. Beispielsweise kann eine stark schwankende Punktzahl darauf hinweisen, dass sich das API-Verhalten häufig ändert, was vielleicht nicht erwünscht ist. Zu den Änderungen in einer Umgebung, die zu einem Rückgang der Punktzahl führen können, gehören:

  • Das Deployment vieler API-Proxys ohne die erforderlichen Sicherheitsrichtlinien.
  • Ein Anstieg des Missbrauchs-Traffics aus schädlichen Quellen.

Die Beobachtung von Änderungen der Sicherheitspunktzahlen im Zeitverlauf ist ein guter Indikator für unerwünschte oder verdächtige Aktivitäten in der Umgebung.

Sicherheitspunktzahlen werden anhand Ihres Sicherheitsprofils berechnet, das die Sicherheitskategorien angibt, die Ihre Bewertungen bewerten sollen. Sie können das Standardsicherheitsprofil von Apigee verwenden oder ein benutzerdefiniertes Sicherheitsprofil erstellen, das nur die Sicherheitskategorien enthält, die Ihnen am wichtigsten sind.

Bewertungstypen der Sicherheitspunktzahlen

Es gibt drei Bewertungstypen, die zur Gesamtsicherheitspunktzahl beitragen, der von der Advanced API Security berechnet wird:

  • Quellbewertung: Bewertet den erkannten Missbrauchs-Traffic mithilfe der Erkennungsregeln von Advanced API Security. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

  • Proxybewertung: Es wird geprüft, wie gut Proxys verschiedene Schutzrichtlinien in den folgenden Bereichen implementiert haben:

    Weitere Informationen finden Sie unter Auswirkungen von Richtlinien auf die Proxy-Sicherheitspunktzahlen.

  • Zielbewertung: Prüft, ob mTLS (Mutual Transport Layer Security) mit den Zielservern in der Umgebung konfiguriert ist.

Jedem dieser Bewertungstypen wird eine eigene Punktzahl zugewiesen. Die Gesamtpunktzahl ist der Durchschnitt der Punktzahlen der einzelnen Bewertungstypen.

Auswirkungen von Richtlinien auf Proxy-Sicherheitspunktzahlen

Bei Proxybewertungen basieren die Sicherheitspunktzahlen auf den von Ihnen verwendeten Richtlinien. Wie diese Richtlinien bewertet werden, hängt davon ab, ob und wie sie an Abläufe angehängt sind:

  • Nur Richtlinien, die mit einem Ablauf verknüpft sind (Preflow, bedingter Ablauf, Post-Flow in Proxys oder freigegebener Ablauf), wirken sich auf die Punktzahlen aus. Richtlinien, die mit keinem Ablauf verknüpft sind, wirken sich nicht auf die Punktzahlen aus.
  • Proxy-Punktzahlen berücksichtigen freigegebene Flows eines Proxys über Ablauf-Hooks und FlowCallout-Richtlinien im Proxy, wenn die FlowCallout-Richtlinie an einen Ablauf angehängt ist. Wenn jedoch ein FlowCallout nicht mit einem Ablauf verknüpft ist, haben die Richtlinien des verknüpften freigegebenen Ablaufs keine Auswirkungen auf die Sicherheitspunktzahlen.
  • Bei Richtlinien, die mit bedingten Abläufen verknüpft sind, berücksichtigt die Sicherheitspunktzahl nur, ob die Richtlinien vorhanden sind. Es wird nicht berücksichtigt, ob oder wie die Richtlinien zur Laufzeit erzwungen werden.

Sicherheitsprofile

Ein Sicherheitsprofil ist ein Satz von Sicherheitskategorien (unten beschrieben), nach denen Ihre APIs bewertet werden sollen. Ein Profil kann eine beliebige Teilmenge der Sicherheitskategorien enthalten. Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst der Umgebung ein Sicherheitsprofil hinzufügen. Sie können entweder das Standardsicherheitsprofil von Apigee verwenden oder eine benutzerdefinierte Sicherheit erstellen, die nur die für Sie wichtigen Sicherheitskategorien enthält.

Standardsicherheitsprofil

Advanced API Security bietet ein Standardsicherheitsprofil, das alle Sicherheitskategorien enthält. Wenn Sie das Standardprofil verwenden, basieren die Sicherheitspunktzahlen auf allen Kategorien.

Benutzerdefiniertes Sicherheitsprofil

Mit benutzerdefinierten Sicherheitsprofilen können Sie die Sicherheitspunktzahlen nur auf die Sicherheitskategorien abstimmen, die Sie in der Bewertung berücksichtigen möchten. Informationen zum Erstellen eines benutzerdefinierten Profils finden Sie unter Sicherheitsprofile erstellen und bearbeiten.

Sicherheitskategorien

Sicherheitspunktzahlen basieren auf einer Bewertung der unten beschriebenen Sicherheitskategorien.

Kategorie Beschreibung Empfehlung
Missbrauch Prüfung auf Missbrauch, wobei als Missbrauch sämtliche Anfragen gelten, die an die API gesendet werden, aber nicht für den Zweck der API vorgesehen sind. Hierzu zählen beispielsweise eine große Anzahl an Anfragen, Datenextraktion und Missbrauch im Zusammenhang mit der Autorisierung. Siehe Empfehlungen bei Missbrauch
Autorisierung Prüft, ob eine Autorisierungsrichtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:
CORS Prüft, ob eine CORS-Richtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine CORS-Richtlinie hinzu.
mTLS Prüft, ob mTLS (Mutual Transport Layer Security) für den Zielserver konfiguriert ist. Siehe mTLS-Konfiguration des Zielservers.
Mediation Prüft, ob eine Mediationsrichtlinie vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:
Infos zu Prüft, ob eine Richtlinie zum Schutz vor Bedrohungen vorhanden ist. Fügen Sie Ihrem Proxy eine der folgenden Richtlinien hinzu:

Beschränkungen von Sicherheitspunktzahlen

Für Sicherheitspunktzahlen gelten die folgenden Einschränkungen:

  • Sie können bis zu 100 benutzerdefinierte Profile pro Organisation erstellen.
  • Sicherheitspunktzahlen werden nur generiert, wenn eine Umgebung Proxys, Zielserver oder Traffic enthält und wenn das Add-on für erweiterte API-Sicherheit aktiviert ist. Andernfalls wird „Beurteilung nicht möglich“ angezeigt.

Datenverzögerungen

Die Daten, auf denen die Sicherheitswerte von Advanced API Security basieren, haben aufgrund der Art und Weise, wie die Daten verarbeitet werden, die folgenden Verzögerungen:

  • Wenn Sie Advanced API Security in einer Organisation aktivieren, kann es bis zu sechs Stunden dauern, bis die Punktzahlen für vorhandene Proxys und Ziele in einer Umgebung angezeigt werden.
  • Es kann bis zu 6 Stunden dauern, bis neue Ereignisse, die sich auf Proxys (Bereitstellung und Aufhebung der Bereitstellung) und Ziele (Erstellen, Aktualisieren, Löschen) in einer Umgebung beziehen, in der Bewertung der Umgebung widergespiegelt werden.
  • Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Dadurch kommt es bei der Bewertung der Missbrauchsdaten zu einer Verarbeitungsverzögerung von etwa 15 bis 20 Minuten.

Seite Risikobewertung öffnen

Auf der Seite Risikobewertung werden Punktzahlen angezeigt, mit denen die Sicherheit Ihrer API in den einzelnen Umgebungen gemessen wird.

Apigee in der Cloud Console

So öffnen Sie die Seite Risikobewertung:

  1. Öffnen Sie die Apigee-UI in der Cloud Console.
  2. Wählen Sie Erweiterte API-Sicherheit > Risikobewertung aus.

Dadurch wird die Seite Risikobewertung angezeigt:

Hauptseite der Risikobewertung

Die Seite hat zwei Tabs, die in den folgenden Abschnitten beschrieben werden:

Sicherheitspunktzahlen ansehen

Klicken Sie auf den Tab Sicherheitspunktzahlen, um die Sicherheitspunktzahlen aufzurufen.

Für einer Umgebung werden keine Punktzahlen berechnet, bis Sie ein Sicherheitsprofil anhängen, wie unter Sicherheitsprofil an eine Umgebung anhängen beschrieben. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können ein benutzerdefiniertes Profil erstellen, wie unter Sicherheitsprofile erstellen und bearbeiten beschrieben.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

  • Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
  • Risikostufe: Die Risikostufe für die Umgebung. Sie kann niedrig, moderat oder hoch sein.
  • Sicherheitspunktzahl: Die Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
  • Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen.
  • Profil: Der Name des angehängten Sicherheitsprofils.
  • Zuletzt aktualisiert: Das letzte Datum, an dem die Sicherheitspunktzahlen aktualisiert wurden.
  • Aktionen: Klicken Sie auf das Dreipunkt-Menü in der Zeile, damit die Umgebung folgende Aktionen ausführen kann:
    • Profil anhängen: Hängen Sie die Umgebung an ein Sicherheitsprofil an.
    • Profil trennen: Trennen Sie ein Sicherheitsprofil von der Umgebung.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

  1. Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
  2. Klicken Sie auf Profil anhängen.
  3. Gehen Sie im Dialogfeld Profil anhängen so vor:
    1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
    2. Klicken Sie auf Zuweisen.

Wenn Sie ein Sicherheitsprofil in einer Umgebung anhängen, beginnt die erweiterte API-Sicherheit sofort mit der Bewertung und der Vergabe der Punktzahl. Beachten Sie, dass es einige Minuten dauern kann, bis die Punktzahl angezeigt wird.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

  • Quellbewertung
  • Proxybewertung
  • Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher der Wert, desto besser die Sicherheitsbewertung.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu auf der Hauptseite Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Grafik: Sicherheitspunktzahlen in einer Umgebung.

In der Ansicht werden vier Tabs angezeigt:

Überblick

Auf dem Tab Übersicht wird Folgendes angezeigt:

  • Wichtige Highlights für jede Bewertung:
    • Proxy: Zeigt die beste Empfehlung für Proxys in der Umgebung an. Klicken Sie auf Proxy bearbeiten, um den Proxy-Editor von Apigee zu öffnen. Dort können Sie die Empfehlung implementieren.
    • Ziel: Zeigt die beste Empfehlung für Ziele in der Umgebung an. Klicken Sie auf Zielserver anzeigen, um den Tab Zielserver auf der Seite Verwaltung > Umgebungen in der Apigee-Benutzeroberfläche zu öffnen.
    • Quelle: Zeigt den erkannten Missbrauchstraffic an. Klicken Sie auf Erkannter Traffic, um den Tab Erkannter Traffic auf der Seite zur Missbrauchserkennung aufzurufen.
  • Zusammenfassungen für Quellbewertung, Proxybewertung und Zielbewertung, einschließlich:
    • Die neueste Punktzahl für jeden Bewertungstyp.
    • Im Bereich Quellbewertung werden der erkannte Missbrauch und der IP-Adressbereich angezeigt.
    • Die Bereiche Proxybewertung und Zielbewertung zeigen das Risikoniveau für diese Bewertungen an.
  • Klicken Sie in einem der Zusammenfassungsbereiche auf Prüfungsdetails ansehen, um die Details für diesen Bewertungstyp aufzurufen:
  • Bewertungsverlauf: Zeigt ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in einem letzten Zeitraum an, der 3 Tage oder 7 Tage betragen kann. Standardmäßig werden in der Grafik drei Tage angezeigt. In dem Diagramm wird auch die durchschnittliche Gesamtpunktzahl über denselben Zeitraum angezeigt.

Beachten Sie, dass eine Punktzahl nur dann für den Bewertungstyp berechnet wird, wenn etwas bewertet werden muss. Sind beispielsweise keine Zielserver vorhanden, wird keine Punktzahl für Ziele gemeldet.

Quellbewertung

Klicken Sie auf den Tab Quellbewertung, um die Bewertungsdetails für die Umgebung aufzurufen.

Quellbewertungsbereich.

Klicken Sie rechts neben Bewertungsdetails auf das Erweiterungssymbol, um ein Diagramm der Quellbewertung für einen letzten Zeitraum aufzurufen. Sie können drei Tage oder sieben Tage festlegen.

Im Bereich Quelle wird eine Tabelle mit den folgenden Informationen angezeigt:

  • Kategorie: Die Kategorie für die Bewertung.
  • Risikostufe: Die Risikostufe für die Kategorie.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für die Missbrauchskategorie.
  • Empfehlungen: Die Anzahl der Empfehlungen für die Kategorie.

Quelldetails

Im Bereich Quelldetails werden Details zum erkannten Missbrauchstraffic in der Umgebung angezeigt, einschließlich

  • Trafficdetails:
    • Erkannter Traffic: Die Anzahl der API-Aufrufe, die von einer IP-Adresse stammen, die als Missbrauchsquelle erkannt wurde.
    • Gesamter Traffic: Die Gesamtzahl der durchgeführten API-Aufrufe.
    • Anzahl erkannter IP-Adressen:Die Anzahl verschiedener IP-Adressen, die als Missbrauchsquellen erkannt wurden.
    • Beobachtungszeit (UTC): Die Startzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
    • Ende der Beobachtung (UTC): Die Endzeit in UTC des Zeitraums, in dem der Traffic überwacht wurde.
  • Bewertungsdatum: Das Datum, an dem die Bewertung vorgenommen wurde.
  • Die Empfehlung zur Verbesserung der Punktzahl. Weitere Empfehlungen zum Umgang mit Missbrauchstraffic finden Sie unter Empfehlungen bei Missbrauch.

Klicken Sie auf die Schaltfläche Sicherheitsaktion erstellen, um eine Sicherheitsaktion zum Behandeln von Problemen zu erstellen, die von der Quellbewertung ausgelöst werden.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung auf den Tab Proxybewertung:

Bereich "Proxybewertung“

Im Bereich Proxy wird eine Tabelle mit den folgenden Informationen angezeigt:

  • Proxy: Der zu bewertende Proxy.
  • Risikostufe: Die Risikostufe für den Proxy.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für den Proxy.
  • Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für den Proxy zu verbessern.
  • Empfehlungen: Die Anzahl der Empfehlungen für den Proxy.

Klicken Sie in der Tabelle auf den Namen eines Proxys, um den Proxy-Editor zu öffnen, in dem Sie empfohlene Änderungen am Proxy vornehmen können.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Proxy auf die Spalte Prüfung erforderlich, um die Empfehlungen für einen Proxy aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

  • Bewertungsdatum: Das Datum, an dem die Bewertung vorgenommen wurde.
  • Die Empfehlung zur Verbesserung der Punktzahl.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert (Mutual Transport Layer Security). Zielpunktzahlen werden so zugewiesen:

  • Kein TLS vorhanden: 200
  • One-Way-TLS vorhanden: 900
  • Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung auf den Tab Zielbewertung:

Bereich "Zielbewertung".

Im Bereich Ziel werden die folgenden Informationen angezeigt:

  • Ziel: Der Name des Ziels.
  • Risikostufe: Die Risikostufe für das Ziel.
  • Sicherheitspunktzahl: Die Sicherheitspunktzahl für das Ziel.
  • Prüfung erforderlich: Die zu berücksichtigenden Bewertungskategorien, um die Punktzahl für das Ziel zu verbessern.
  • Empfehlungen: Die Anzahl der Empfehlungen für das Ziel.

Klicken Sie in der Tabelle auf den Namen eines Ziels, um den Tab Zielserver in der Apigee-Benutzeroberfläche auf der Seite Verwaltung > Umgebungen zu öffnen. die empfohlenen Aktionen auf das Ziel anwenden.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie sich Empfehlungen zur Verbesserung im Bereich Empfehlungen ansehen. Klicken Sie im Bereich Ziel in die Spalte Prüfung erforderlich, um die Empfehlungen für ein Ziel aufzurufen.

Der Bereich Empfehlungen wird angezeigt:

  • Bewertungsdatum: Das Datum, an dem die Bewertung vorgenommen wurde.
  • Die Empfehlung zur Verbesserung der Punktzahl.

Sicherheitsprofile erstellen und bearbeiten

Wählen Sie zum Erstellen oder Bearbeiten eines -Sicherheitsprofils den Tab Sicherheitsprofile aus.

Tab "Sicherheitsprofile".

Der Tab Sicherheitsprofile zeigt eine Liste der Sicherheitsprofile an, einschließlich der folgenden Informationen:

  • Name: Der Name des Profils.
  • Kategorien: Die im Profil enthaltenen Sicherheitskategorien.
  • Beschreibung: Die optionale Beschreibung des Profils.
  • Umgebungen: Die Umgebungen, an die das Profil angehängt ist. Wenn diese Spalte leer ist, wird das Profil keiner Umgebung zugeordnet.
  • Zuletzt aktualisiert (UTC): Das Datum und die Uhrzeit der letzten Aktualisierung der Aktion.
  • Aktionen: Ein Menü mit folgenden Elementen:

Details eines Sicherheitsprofils ansehen

Klicken Sie auf den Namen eines Sicherheitsprofils in der Zeile für das Profil, um die Details aufzurufen. Daraufhin werden die Profildetails wie unten dargestellt angezeigt.

Details zum Sicherheitsprofil.

In der ersten Zeile des Tabs Details wird die Überarbeitungs-ID angezeigt: die neueste Überarbeitungsnummer des Profils. Wenn Sie ein Profil bearbeiten und seine Sicherheitskategorien ändern, wird die Überarbeitungs-ID um 1 erhöht. Das Ändern der Profilbeschreibung erhöht jedoch nicht die Überarbeitungs-ID.

Die Zeilen in denen in der Zeile für das Profil auf dem Tab Sicherheitsprofile dieselben Informationen angezeigt werden.

Die Ansicht mit den Profildetails enthält auch zwei Schaltflächen mit den Labels Bearbeiten und Löschen, die Sie zum Bearbeiten oder verwenden können. Sicherheitsprofil löschen.

Protokoll

Klicken Sie auf den Tab Verlauf, um den Verlauf des Profils aufzurufen. Dadurch wird eine Liste aller Überarbeitungen des Profils angezeigt. Für jede Überarbeitung wird Folgendes in der Liste angezeigt:

  • Überarbeitungs-ID: Die Überarbeitungsnummer.
  • Kategorien: Die Sicherheitskategorien, die in dieser Überarbeitung des Profils enthalten sind.
  • Zuletzt aktualisiert (UTC): Datum und Uhrzeit in UTC, zu der die Überarbeitung erstellt wurde.

Benutzerdefiniertes Sicherheitsprofil erstellen

So erstellen Sie ein neues benutzerdefiniertes Sicherheitsprofil:

  1. Klicken Sie oben auf der Seite auf Erstellen.
  2. Geben Sie im daraufhin geöffneten Dialogfeld die folgenden Informationen ein:
    • Name: Der Name des Profils. Der Name muss aus 1 bis 63 Kleinbuchstaben, Ziffern oder Bindestrichen bestehen und mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden. Der Name muss sich vom Namen eines vorhandenen Profils unterscheiden.
    • (Optional) Beschreibung: Eine Beschreibung des Profils.
    • Wählen Sie im Feld Kategorien die Bewertungskategorien aus, die Sie in das Profil aufnehmen möchten.

Benutzerdefiniertes Sicherheitsprofil bearbeiten

So bearbeiten Sie ein benutzerdefiniertes Sicherheitsprofil:

  1. Klicken Sie am Ende der Zeile für das Sicherheitsprofil auf das Menü Aktionen.
  2. Wählen Sie Bearbeiten aus.
  3. Auf der Seite Sicherheitsprofil bearbeiten können Sie Folgendes ändern:
    • Beschreibung: Die optionale Beschreibung des Sicherheitsprofils.
    • Kategorien: Die für das Profil ausgewählten Sicherheitskategorien. Klicken Sie auf das Drop-down-Menü und ändern Sie die ausgewählten Kategorien, indem Sie sie im Menü auswählen oder die Auswahl aufheben.
  4. Klicken Sie auf OK.

Benutzerdefiniertes Sicherheitsprofil löschen

Zum Löschen eines Sicherheitsprofils klicken Sie am Ende der Zeile für das Profil auf Aktionen und wählen Sie Löschen aus. Wenn Sie ein Profil löschen, wird es auch von allen Umgebungen getrennt.

Klassisches Apigee

erstellen

So öffnen Sie die Ansicht Sicherheitspunktzahlen:

  1. Öffnen Sie die klassische Apigee-Benutzeroberfläche.
  2. Wählen Sie Analysieren > API-Sicherheit > Sicherheitspunktzahlenaus.

Dadurch wird die Ansicht Sicherheitspunktzahlen angezeigt:

Hauptansicht der Sicherheitspunktzahlen.

Für eine Umgebung werden keine Punktzahlen berechnet, bis Sie an die Umgebung ein Sicherheitsprofil anhängen. Apigee bietet eine Standardsicherheitsrichtlinie oder Sie können mit der Apigee API ein benutzerdefiniertes Profil erstellen. Weitere Informationen finden Sie unter Benutzerdefiniertes Sicherheitsprofil verwenden.

In der obigen Abbildung wurde kein Sicherheitsprofil an die Umgebung integration angehängt, sodass in der Spalte Profilname für diese Umgebung Nicht festgelegt angezeigt wird.

In der Tabelle Sicherheitswerte werden die folgenden Spalten angezeigt:

  • Umgebung: Die Umgebung, in der die Punktzahlen berechnet werden.
  • Neueste Punktzahl: Die neueste Gesamtpunktzahl für die Umgebung, von insgesamt 1.200.
  • Risikostufe: Die Risikostufe (niedrig, moderat oder hoch).
  • Gesamtempfehlungen: Die Anzahl der angegebenen Empfehlungen. Jede Empfehlung entspricht einer Zeile in der Tabelle Prüfung erforderlich.
  • Profilname: Der Name des Sicherheitsprofils.
  • Bewertungsdatum: Das letzte Datum, an dem die Sicherheitspunktzahlen berechnet wurden.

Sicherheitsprofil an eine Umgebung anhängen

Zum Aufrufen von Sicherheitspunktzahlen für eine Umgebung müssen Sie zuerst an die Umgebung ein Sicherheitsprofil anhängen:

  1. Klicken Sie unter Aktionen auf das Dreipunkt-Menü in der Zeile für die Umgebung.
  2. Klicken Sie auf Profil anhängen.
  3. Gehen Sie im Dialogfeld Profil anhängen so vor:
    1. Klicken Sie auf das Feld Profil und wählen Sie das Profil aus, das Sie anhängen möchten. Wenn Sie kein benutzerdefiniertes Sicherheitsprofil erstellt haben, ist nur das Profil Standard verfügbar.
    2. Klicken Sie auf Zuweisen.

Wenn Sie ein Sicherheitsprofil in einer Umgebung anhängen, beginnt die erweiterte API-Sicherheit sofort mit der Bewertung und der Vergabe der Punktzahl. Beachten Sie, dass es einige Minuten dauern kann, bis die Punktzahl angezeigt wird.

Die folgende Abbildung zeigt die Ansicht Sicherheitspunktzahlen mit einer Umgebung, an die das Standardsicherheitsprofil angehängt ist:

Grafik: Hauptfenster der Sicherheitspunktzahlen mit einem angehängten Sicherheitsprofil.

Die Zeile für die Umgebung lokal zeigt nun die neueste Sicherheitspunktzahl, das Risikoniveau, die Anzahl der Empfehlungen für Sicherheitsmaßnahmen und das Bewertungsdatum der Punktzahl an.

Die Gesamtpunktzahl wird aus den einzelnen Punktzahlen in den drei Bewertungstypen berechnet:

  • Quellbewertung
  • Proxybewertung
  • Zielbewertung

Beachten Sie, dass alle Punktzahlen zwischen 200 und 1.200 liegen müssen. Je höher der Wert, desto besser die Sicherheitsbewertung.

Bewertungen einsehen

Nachdem Sie ein Sicherheitsprofil an eine Umgebung angehängt haben, können Sie die Punktzahlen und Empfehlungen in der Umgebung aufrufen. Klicken Sie dazu in der Hauptansicht Sicherheitspunktzahlen auf die Zeile für die Umgebung. Dadurch werden die Punktzahlen für die Umgebung wie unten dargestellt angezeigt:

Grafik: Sicherheitspunktzahlen in einer Umgebung.

Die Ansicht wird angezeigt:

  • Die neuesten Punktzahlen für Quellen, Proxys und Ziele. Klicken Sie in einem dieser Bereiche auf Prüfungsdetails ansehen, um die Bewertung für diesen Typ aufzurufen.
  • Verlauf von Umgebungswerten: Es werden ein Diagramm der täglichen Gesamtpunktzahlen für die Umgebung in den letzten 5 Tagen sowie die durchschnittliche Gesamtpunktzahl im selben Zeitraum angezeigt.
  • In der Tabelle „Prüfung erforderlich“ sind die Bewertungstypen Ihrer APIs aufgeführt, bei denen Sie die Sicherheit verbessern können.

Beachten Sie, dass eine Punktzahl nur dann für den Bewertungstyp berechnet wird, wenn etwas bewertet werden muss. Sind beispielsweise keine Zielserver vorhanden, wird keine Punktzahl für Ziele gemeldet.

In den folgenden Abschnitten wird beschrieben, wie Sie die Bewertungen für jeden Typ aufrufen:

Tabelle „Prüfung erforderlich“

In der oben aufgeführten Tabelle Prüfung erforderlich werden die API-Kategorien aufgelistet, deren Punktzahlen unter 1200 liegen, zusammen mit:

  • Die neueste Punktzahl für die Kategorie
  • Der Risikostufe für die Kategorie: niedrig, moderat oder hoch
  • Dem Prüfungsdatum
  • Dem Bewertungstyp

Empfehlungen abrufen

Advanced API Security bietet für jede Zeile in der Tabelle eine Empfehlung zur Verbesserung der Punktzahl. Sie können sich die Empfehlungen in den Ansichten Bewertungsdetails für jeden Typ (Quellen, Proxys oder Ziele) ansehen, wie in den folgenden Abschnitten beschrieben:

Sie haben folgende Möglichkeiten, um die Ansicht Bewertungsdetails zu öffnen:

  • Klicken Sie in einem der Bereiche der Hauptansicht Sicherheitspunktzahlen auf Bewertungsdetails ansehen.
  • In der Tabelle „Prüfung erforderlich“:
    1. Maximieren Sie die Kategoriengruppe in der Tabelle:

      Auth-Zeile in der Tabelle "Prüfung erforderlich".

    2. Klicken Sie auf die Kategorie, für die Sie die Empfehlung aufrufen möchten. Dadurch wird die Ansicht mit den Bewertungsdetails geöffnet, die der Empfehlung entspricht.

Quellbewertung

Die Quellbewertung berechnet eine Missbrauchspunktzahl für die Umgebung. "Missbrauch" bezieht sich auf Anfragen, die an eine andere API an einer anderen Stelle gesendet werden, als für die API bestimmt.

Klicken Sie im Bereich Quellen auf Ansehen, um die Ansicht API-Quellbewertung zu öffnen:

Quellbewertungsbereich.

Im Quellpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Quellempfehlungen

Wenn eine Kategorie eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Um eine Empfehlung für die Kategorie Missbrauch anzuzeigen, klicken Sie auf die entsprechende Zeile in der Tabelle Bewertungsdetails. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Grafik: Empfehlung bei Missbrauch im Bereich „Empfehlungen“.

Klicken Sie auf Details ansehen, um sich die Details des Missbrauchs genauer anzusehen. Dadurch wird die Ansicht Erkannter Traffic auf der Seite Missbrauchserkennung geöffnet. In der Ansicht Erkannter Traffic werden detaillierte Informationen zu erkanntem Missbrauch angezeigt.

Unterhalb der Zeile Details ansehen wird der Bereich "Empfehlungen" angezeigt:

  • Die Empfehlung "Durch Missbrauchserkennung identifizierten Traffic blockieren oder zulassen" wird angezeigt.
  • In der Zeile Aktionen wird ein Link zur Dokumentation für Empfehlungen bei Missbrauch angezeigt.

Proxybewertung

Die API-Proxy-Bewertung berechnet Punktzahlen für alle Proxys in der Umgebung. Klicken Sie zum Anzeigen der Proxybewertung im Bereich Proxys auf Ansehen, um die Ansicht API-Proxybewertung zu öffnen:

Bereich "Proxybewertung“

Im Proxy-Punktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Proxyempfehlungen

Wenn ein Proxy eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Wenn Sie beispielsweise Empfehlungen für den Proxy hellooauth2 aufrufen möchten, klicken Sie auf die entsprechende Zeile in der Tabelle Bewertungsdetails. Daraufhin werden die Empfehlungen im Bereich Empfehlungen angezeigt. Zwei davon werden unten dargestellt.

Proxyempfehlung.

Zielbewertung

Die Zielbewertung berechnet für jeden Zielserver in der Umgebung einen mTLS-Wert. Zielpunktzahlen werden so zugewiesen:

  • Kein TLS vorhanden: 200
  • One-Way-TLS vorhanden: 900
  • Bidirektional oder mTLS vorhanden: 1200

Klicken Sie zum Anzeigen der Zielbewertung im Bereich Ziele auf Anzeigen, um die Ansicht API-Zielbewertung zu öffnen:

Bereich "Zielbewertung".

Im Zielpunktzahlverlauf werden die Punktzahlen der letzten 5 Tage sowie ihr Durchschnitt und die neueste Punktzahl angezeigt. In der Tabelle Bewertungsdetails werden die neuesten Punktzahlen für die einzelnen Kategorien der Bewertung angezeigt.

Zielempfehlungen

Wenn ein Zielserver eine niedrige Punktzahl hat, können Sie Empfehlungen zur Verbesserung ansehen. Klicken Sie auf die entsprechende Zeile, um die Bewertung eines Zielservers einzusehen. Die Empfehlung wird im Bereich Empfehlungen angezeigt.

Proxyempfehlung.

Missbrauchsempfehlungen

Wenn die Quellpunktzahl niedrig ist, empfiehlt Apigee, die IP-Adressen zu prüfen, bei denen Missbrauch erkannt wurde. Wenn Sie zustimmen, dass der Traffic von diesen IP-Adressen missbräuchlich ist, verwenden Sie die Seite Sicherheitsaktionen, um Anfragen von IP-Adressen zu blockieren, die Missbrauchstraffic darstellen.

Weitere Informationen zum Missbrauch finden Sie in den folgenden Ressourcen: