Descripción general de la evaluación de riesgos y la IU

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Descripción general

La evaluación de riesgos de la seguridad avanzada de la API evalúa de forma continua las configuraciones de proxy de la API y calcula las puntuaciones de seguridad para ayudar a identificar y abordar las vulnerabilidades en tus APIs.

La evaluación de riesgos te ayuda a hacer lo siguiente:

Aplicar estándares de seguridad coherentes en todas las APIs.
Detectar parámetros de configuración incorrectos en las configuraciones de la API.
Mejorar tu puntuación general de seguridad con las acciones recomendadas.
Investigar y resolver rápidamente los problemas de seguridad a través de un panel centralizado.

Puedes acceder a la evaluación de riesgos a través de la IU de Apigee, como se describe en esta página, o a través de la API de perfiles y puntuaciones de seguridad.

Consulta Roles necesarios para la evaluación de riesgos para conocer los roles necesarios para realizar tareas de evaluación de riesgos.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Evaluación de riesgos v1 y v2

La evaluación de riesgos está disponible en dos versiones: Evaluación de riesgos v1, que tiene disponibilidad general, y Evaluación de riesgos v2, que está en versión preliminar. El uso de cualquiera de las versiones requiere el complemento de seguridad avanzada de la API.

Las principales diferencias de funciones entre la v1 y la v2 son las siguientes:

La v2 incluye lo siguiente:
- Mayor confiabilidad, incluidos cálculos de puntuación más rápidos con datos de proxy recientes
- Cálculo de la puntuación sin necesidad de adjuntar un perfil de seguridad a un entorno
- Presentación simplificada de la puntuación, basada en una escala del 0% al 100%
- El concepto de ponderaciones, mientras que la v1 no lo hace. Consulta Ponderaciones y evaluaciones de seguridad.
- Evaluaciones adicionales sobre la v1, que verifican más políticas cuando se calculan las puntuaciones. Por ejemplo, la v1 admite cinco políticas relacionadas con la autorización, mientras que la v2 admite ocho. Además, la v2 incluye una categoría de administración de tráfico con políticas asociadas y realiza verificaciones adicionales en las políticas, incluido el atributo continueOnError.
- Verificaciones de flujos compartidos anidados y hooks de flujo a cinco niveles de anidamiento. La v1 no evalúa las políticas incluidas a través de la encadenación de flujos compartidos.
- Reemplazo de las puntuaciones objetivo (puntuaciones del servidor de destino) por evaluaciones y recomendaciones basadas en proxies Si se usa un objetivo en un proxy, las puntuaciones de seguridad de ese proxy también incluyen la puntuación del servidor de destino.
v2 no es compatible con lo siguiente:
- Evaluación de la fuente basada en el tráfico abusivo
- Perfiles personalizados Por el momento, la v2 solo admite el perfil google-default.
- Por el momento, no se admiten las métricas ni la supervisión.

Evaluación de riesgos v2

En esta sección, se describe la evaluación de riesgos v2, la nueva versión de la evaluación de riesgos. Algunos conceptos y comportamientos de la evaluación de riesgos difieren entre la v1 y la v2. Para usar la Evaluación de riesgos v1, consulta Evaluación de riesgos v1.

Para usar la evaluación de riesgos v2, deberás comprender estos conceptos principales: gravedad y puntuaciones de seguridad y perfiles de seguridad.

Gravedad y puntuaciones de seguridad

Las puntuaciones de seguridad evalúan la seguridad de tus APIs y se basan en el resultado aprobado o reprobado de las ponderaciones y evaluaciones de seguridad en el perfil de seguridad aplicado en el entorno. La puntuación es un valor entre 0% y 100%. El 100% indica que el proxy cumple completamente con las evaluaciones y que no se encontraron riesgos en función de ellas.

La evaluación de riesgos v2 también proporciona un valor de gravedad, que se basa en la puntuación de seguridad. Los posibles valores de gravedad son alto (0-50%), medio (51-90%), bajo (91-99%) y mínimo (100%/sin riesgo según las evaluaciones del perfil de seguridad asignado).

Las puntuaciones de seguridad también evalúan la postura de seguridad de tus APIs con el tiempo. Por ejemplo, una puntuación que fluctúa podría indicar que el comportamiento de la API cambia con frecuencia, lo que podría no ser conveniente. Entre los cambios en un entorno que podrían causar una disminución de la puntuación, se incluyen los siguientes:

La implementación de proxies de API sin las políticas de seguridad necesarias.
Modificaciones de flujos compartidos a través de implementaciones de hooks de flujo y adiciones de políticas de FlowCallout
El servidor de destino cambia en las implementaciones de entorno o proxy.

Cómo afectan las políticas a las puntuaciones de seguridad del proxy

Para las evaluaciones de proxy, las puntuaciones de seguridad se basan en las políticas que usas. La forma en que se evalúan esas políticas depende de si se adjuntan a los flujos y de qué forma se adjuntan:

Solo las políticas adjuntas a un flujo (flujo previo, flujo condicional, flujo posterior en proxies o flujo compartido) afectan las puntuaciones. Las políticas que no están adjuntas a ningún flujo no afectan las puntuaciones.
Las puntuaciones de proxy tienen en cuenta los flujos compartidos de un proxy a través de llamadas de flujo y políticas de FlowCallout en el proxy, siempre que la política de FlowCallout esté adjunta a un flujo. Sin embargo, si FlowCallout no está adjunto a un flujo, las políticas de su flujo compartido vinculado no afectan las puntuaciones de seguridad.
Los flujos compartidos encadenados se evalúan hasta en cinco niveles de profundidad. Todas las políticas incluidas directamente en el proxy y en los primeros cinco niveles de flujos compartidos se tienen en cuenta para la puntuación de seguridad.
En el caso de las políticas adjuntas a flujos condicionales, las puntuaciones de seguridad solo tienen en cuenta si las políticas están presentes, no si las políticas se aplican en el entorno de ejecución o de qué manera.

Ponderaciones y evaluaciones de seguridad

Las puntuaciones de seguridad se basan en las categorías de evaluación que se indican aquí.

Las puntuaciones también se basan en la ponderación de cada categoría, que difiere según el perfil. Las ponderaciones se establecen como principales, moderadas o menores para cada categoría en un perfil y permiten influir en el impacto de la regla en la puntuación. Cuando una evaluación falla en una categoría de ponderación mayor, eso tiene un impacto negativo más significativo que una ponderación moderada o menor.

Categoría de evaluación	Descripción	Peso	Recomendación
Autorización	Comprueba si tienes implementada una política de autorización.	Mayor	Agrega una de las siguientes políticas a tus proxies: AccessControl BasicAuth HMAC Política de JWS o JWT OAuth ValidateSAMLAssertion VerifyAPIKey
Autorización	Comprueba si el atributo "continueOnError" de las políticas de autorización está configurado como `false`. Esto incluye verificar si hay una política de autorización implementada.	Mayor	Establece "continueOnError" en `false` para las políticas de autorización en uso.
CORS	Verifica si hay una política de CORS o un encabezado de CORS en la política AssignMessage.	Mayor	Agrega una política CORS a tu proxy.
Mediación	Verifica si tienes una política de mediación implementada.	Mayor	Agrega una de las siguientes políticas a tus proxies: OASValidation SOAPMessageValidation
Destino	Verifica si tienes implementada una política de mTLS o unidireccional. Nota: La evaluación se aprueba si está habilitada la mTLS o el SSL.	Mayor	Configura la seguridad en los servidores de destino: Configura un servidor de destino para TLS/SSL
Destino	Verifica si "aplicar de manera forzosa" está configurado en `true` para la aplicación estricta de SSL. Esto incluye verificar si hay una política de SSL implementada.	Mayor	Configura el campo "aplicar de manera forzosa" para un SSL estricto entre Apigee y los destinos. Consulta Configura la aplicación estricta de SSL.
Amenaza	Verifica si tienes implementada una política de protección contra las amenazas.	Mayor	Agrega una de las siguientes políticas a tus proxies: JSONThreatProtection RegularExpressionProtection XMLThreatProtection
Amenaza	Verifica si el atributo "continueOnError" de las políticas de amenazas está configurado como `false`. Esto incluye verificar si se implementó una política de amenazas.	Mayor	Establece "continueOnError" en `false` para las políticas de amenazas en uso.
Administración de tráfico	Verifica si tienes implementada una política de administración de tráfico.	Mayor	Agrega una de las siguientes políticas a tus proxies: LookupCache ResponseCache Cuota SpikeArrest

Perfiles de seguridad v2

Un perfil de seguridad es un conjunto de ponderaciones y evaluaciones de seguridad en función de las cuales se asignan puntuaciones a las APIs.

Perfil de seguridad predeterminado

La seguridad avanzada de la API proporciona un perfil de seguridad predeterminado que contiene todas las evaluaciones. Cuando usas el perfil predeterminado, las puntuaciones de seguridad se basan en todas las categorías.

Limitaciones y problemas conocidos de la v2 de las puntuaciones de seguridad

Las puntuaciones de seguridad tienen las siguientes limitaciones y problemas conocidos:

Las puntuaciones de seguridad solo se generan si un entorno tiene proxies.
Los proxies recién implementados, así como las organizaciones y los entornos recién habilitados, no muestran las puntuaciones de inmediato.
El perfil google-default es el único perfil de seguridad disponible en este momento. Actualmente, no se admiten los perfiles de seguridad personalizados.
La generación de puntuaciones (con la habilitación de organizaciones nuevas y actualizaciones de proxy, objetivo y flujo compartido) requiere más tiempo en las organizaciones habilitadas para la VPC-SC y puede tardar hasta tres horas.

Demoras en el procesamiento de datos

Los datos en los que se basan las puntuaciones de seguridad de la API avanzada tienen las siguientes ventanas de procesamiento antes de que los resultados estén disponibles:

Cuando habilitas la seguridad avanzada de la API en una organización por primera vez, lleva tiempo que las puntuaciones de los proxies y objetivos existentes se reflejen en un entorno. Como guía, espera entre 30 y 90 minutos para las organizaciones con suscripción y menos tiempo para las de pago por uso.
Los eventos nuevos relacionados con los proxies (implementación y anulación de la implementación) y los objetivos (crear, actualizar y borrar) en un entorno tardan al menos 60 segundos y hasta 5 minutos (para entornos muy grandes) en reflejarse en la puntuación del entorno.

Consulta las evaluaciones de riesgos en la IU de Apigee

En la página Evaluación de riesgos, se muestran las puntuaciones que miden la seguridad de tu API en cada entorno.

Para abrir la página Evaluación de riesgos, haz lo siguiente:

Abre la IU de Apigee en la consola de Cloud.
Selecciona Seguridad avanzada de la API > Evaluación de riesgos.

Esto muestra la página Evaluación de riesgos:

Página principal de evaluación de riesgos.

La página tiene las siguientes secciones:

Entorno: Selecciona el entorno en el que deseas ver las evaluaciones.
Perfil de seguridad: google-default es el único perfil de seguridad disponible en este momento.
Proxys implementados por gravedad: Una vez que se configura el entorno, la página muestra un resumen de las gravedades de los proxies en ese entorno. Consulta Gravedad y puntuaciones de seguridad.
Detalles de la evaluación: Muestra el perfil de seguridad, la fecha y hora de la evaluación, el total de configuraciones evaluadas y el total de proxies implementados para el entorno seleccionado. El recuento total de configuraciones evaluadas refleja la cantidad total de "verificaciones" realizadas. Este recuento podría ser mayor que la cantidad de evaluaciones en un perfil. Algunas evaluaciones, como verificar que el atributo "continueOnError" esté configurado en false, también verifican si las políticas relacionadas están implementadas y habilitadas.
Proxies implementados: Es un resumen de los proxies implementados en el entorno y sus puntuaciones de evaluación de riesgos:
- Proxy: Es el nombre del proxy.
- Gravedad: Es la gravedad de la evaluación de riesgos del proxy. Consulta Gravedad y puntuaciones de seguridad para obtener información.
- Puntuación: Es la puntuación de evaluación de riesgos del proxy. Consulta Gravedad y puntuaciones de seguridad para obtener información.
  Nota: Si no se puede calcular una puntuación para el entorno, debido a las limitaciones de las puntuaciones de seguridad, el campo de nombre de proxy muestra un ícono y un mensaje que indica que las puntuaciones aún no están disponibles.
- Revisión: Es la revisión del proxy en la que se evaluó la puntuación.
- Evaluaciones no aprobadas por ponderación: Es la cantidad de evaluaciones que no se aprobaron agrupadas por su ponderación.
- Recomendaciones: Son recomendaciones específicas para mejorar la puntuación en el proxy. Haz clic en el número para ver las recomendaciones.

Evaluación de riesgos v1

En esta sección, se describe la Evaluación de riesgos v1. Para obtener información sobre la Evaluación de riesgos v2, consulta Evaluación de riesgos v2.

Puntuaciones de seguridad

Las puntuaciones de seguridad evalúan la seguridad de tus APIs y su postura de seguridad con el tiempo. Por ejemplo, una puntuación que fluctúa mucho podría indicar que el comportamiento de la API cambia con frecuencia, lo que podría no ser conveniente. Entre los cambios en un entorno que podrían causar una disminución de la puntuación, se incluyen los siguientes:

La implementación de muchos proxies de API sin las políticas de seguridad necesarias.
Un aumento en el tráfico de abusos de fuentes maliciosas.

Observar los cambios en las puntuaciones de seguridad a lo largo del tiempo proporciona un buen indicador de cualquier actividad no deseada o sospechosa en el entorno.

Las puntuaciones de seguridad se calculan según tu perfil de seguridad, que especifica las categorías de seguridad que deseas que se evalúen tus puntuaciones. Puedes usar el perfil de seguridad predeterminado de Apigee o crear un perfil de seguridad personalizado que incluya solo las categorías de seguridad que sean más importantes para ti.

Tipos de evaluación de puntuaciones de seguridad

Hay tres tipos de evaluación que contribuyen a la puntuación de seguridad general que calcula la seguridad avanzada de la API:

Evaluación de fuente: evalúa el tráfico de abuso detectado con las reglas de detección de Advanced API Security. “Abuso” hace referencia a las solicitudes enviadas a la API con fines diferentes a los que está destinada la API.

Nota: Las puntuaciones de origen se calculan según un período que comienza a las 0:00 UTC del día actual y finaliza a la hora actual.
Evaluación del proxy: evalúa lo bien que los proxies implementaron varias políticas de protección en las siguientes áreas:
- Mediación: verifica si una de las siguientes políticas de mediación está configurada para todos los proxies en el entorno: OASValidation o SOAPMessageValidation.
- Seguridad:
  - Autorización: comprueba si una de las siguientes políticas de autorización está configurada para todos los proxies del entorno:
  - CORS: Comprueba si CORS está configurado.
  - Amenaza: comprueba si una de las siguientes políticas está configurada para todos los proxies en el entorno: XMLThreatProtection o JSONThreatProtection.
Consulta Cómo afectan las políticas a las puntuaciones de seguridad del proxy para obtener más información.
Evaluación de destino: comprueba si la seguridad de la capa de transporte mutua (mTLS) está configurada con los servidores de destino en el entorno.

A cada uno de estos tipos de evaluación se le asigna una puntuación propia. La puntuación general es el promedio de las puntuaciones de los tipos de evaluación individuales.

Cómo afectan las políticas a las puntuaciones de seguridad del proxy

Solo las políticas adjuntas a un flujo (flujo previo, flujo condicional, flujo posterior en proxies o flujo compartido) afectan las puntuaciones. Las políticas que no están adjuntas a ningún flujo no afectan las puntuaciones.
Las puntuaciones de proxy tienen en cuenta los flujos compartidos de un proxy a través de llamadas de flujo y políticas de FlowCallout en el proxy, siempre que la política de FlowCallout esté adjunta a un flujo. Sin embargo, si FlowCallout no está adjunto a un flujo, las políticas de su flujo compartido vinculado no afectan las puntuaciones de seguridad.
No se admite la encadenación de flujos compartidos. Las políticas incluidas a través de la encadenación de flujos compartidos no se evalúan cuando se calculan las puntuaciones de seguridad.
En el caso de las políticas adjuntas a flujos condicionales, las puntuaciones de seguridad solo tienen en cuenta si las políticas están presentes, no si las políticas se aplican en el entorno de ejecución o de qué manera.

Perfiles de seguridad

Un perfil de seguridad es un conjunto de categorías de seguridad en las que deseas que se asignen puntuaciones a las APIs. Un perfil puede contener cualquier subconjunto de las categorías de seguridad. Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad a un entorno. Puedes usar el perfil de seguridad predeterminado de Apigee o crear un perfil de seguridad personalizado que contenga solo las categorías de seguridad que son importantes para ti.

Perfil de seguridad predeterminado

Advanced API Security proporciona un perfil de seguridad predeterminado que contiene todas las categorías de seguridad. Si usas el perfil predeterminado, las puntuaciones de seguridad se basarán en todas las categorías.

Perfil de seguridad personalizado

Los perfiles de seguridad personalizados te permiten basar tus puntuaciones de seguridad solo en las categorías de seguridad que deseas incluir en la puntuación. Consulta Crea y edita perfiles de seguridad para obtener información sobre cómo crear un perfil personalizado.

Categorías de seguridad

Las puntuaciones de seguridad se basan en una evaluación de las categorías de seguridad que se describen a continuación.

Categoría	Descripción	Recomendación
Abuso	Comprueba si existe abuso, lo que incluye cualquier solicitud enviada a la API con fines diferentes de aquellos para los que está destinada, como grandes volúmenes de solicitudes, scraping de datos y abuso relacionado con la autorización.	Consulta Recomendaciones sobre el abuso
Autorización	Comprueba si tienes implementada una política de autorización.	Agrega una de las siguientes políticas a tus proxies: Política de JWS o JWT OAuth BasicAuth VerifyAPIKey
CORS	Verifica si tienes una política de CORS implementada.	Agrega una política CORS a tu proxy.
MTLS	Comprueba si configuraste mTLS (seguridad mutua de la capa de transporte) para el servidor de destino.	Consulta Configuración de mTLS del servidor de destino.
Mediación	Verifica si tienes una política de mediación implementada.	Agrega una de las siguientes políticas a tus proxies: OASValidation SOAPMessageValidation
Amenaza	Verifica si tienes implementada una política de protección contra las amenazas.	Agrega una de las siguientes políticas a tus proxies: XMLThreatProtection JSONThreatProtection

Limitaciones de las puntuaciones de seguridad v1

Las puntuaciones de seguridad tienen las siguientes limitaciones:

Puedes crear hasta 100 perfiles personalizados por organización.
Las puntuaciones de seguridad solo se generan si un entorno tiene proxies, servidores de destino y tráfico.
Los proxies implementados recientemente no muestran las puntuaciones de inmediato.

Demoras en el procesamiento de datos

Los datos en los que se basan las puntuaciones de seguridad de la API avanzada tienen las siguientes demoras, debido a la forma en que se procesan los datos:

Cuando habilitas la seguridad avanzada de la API en una organización, puede tomar hasta 6 horas para que las puntuaciones de los proxies y objetivos existentes se reflejen en un entorno.
Los eventos nuevos relacionados con los proxies (implementación y anulación de la implementación) y los objetivos (crear, actualizar y borrar) en un entorno pueden tardar hasta 6 días en reflejarse en la puntuación del entorno.
Los datos que fluyen a la canalización de Analytics de Apigee tienen un retraso promedio de hasta 15 a 20 minutos. Como resultado, los datos de abuso de puntuaciones de la fuente tienen un retraso de procesamiento de entre 15 y 20 minutos.

Abre la página Evaluación de riesgos

En la página Evaluación de riesgos, se muestran las puntuaciones que miden la seguridad de tu API en cada entorno.

La página Evaluación de riesgos puede tardar unos minutos en cargarse. La página tardará más en cargarse en entornos con un gran volumen de tráfico y con una gran cantidad de proxies y destinos.

Apigee en la consola de Cloud

Para abrir la página Evaluación de riesgos, haz lo siguiente:

Abre la IU de Apigee en la consola de Cloud.
Selecciona Seguridad avanzada de la API > Evaluación de riesgos.

Esto muestra la página Evaluación de riesgos:

La página tiene dos pestañas, que se describen en las secciones siguientes:

Puntuaciones de seguridad: Visualiza las puntuaciones de seguridad.
Perfiles de seguridad: Visualiza, crea y edita perfiles de seguridad.

Visualiza las puntuaciones de seguridad

Para ver las puntuaciones de seguridad, haz clic en la pestaña Puntuaciones de seguridad.

Ten en cuenta que no se calculan puntuaciones en un entorno hasta que adjuntas un perfil de seguridad, como se describe en Adjunta un perfil de seguridad a un entorno. Apigee proporciona una política de seguridad predeterminada o puedes crear un perfil personalizado, como se describe en Crea y edita perfiles de seguridad.

En la tabla Puntuaciones de seguridad, se muestran las siguientes columnas:

Entorno: El entorno en el que se calculan las puntuaciones.
Nivel de riesgo: El nivel de riesgo del entorno, que puede ser bajo, moderado o grave.
Puntuación de seguridad: La puntuación total del entorno, de un total de 1,200.
Nota: Puedes hacer clic en Actualizar puntuaciones en la parte superior de la página para volver a calcular las puntuaciones con los datos más recientes.

Nota: Si no se puede calcular una puntuación para el entorno, debido a las limitaciones de las puntuaciones de seguridad, la columna de puntuación mostrará No se puede acceder.
Recomendaciones totales: La cantidad de recomendaciones proporcionadas.
Perfil: El nombre del perfil de seguridad adjunto.
Última actualización: La fecha más reciente en la que se actualizaron las puntuaciones de seguridad.
Acciones: Haz clic en el menú de tres puntos en la fila del entorno para realizar las siguientes acciones:
- Adjuntar perfil: adjunta un perfil de seguridad al entorno.
- Desconectar perfil: desvincula un perfil de seguridad del entorno.

Adjunta un perfil de seguridad a un entorno

Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad al entorno de la siguiente manera:

En Acciones, haz clic en el menú de tres puntos en la fila del entorno.
Haz clic en Adjuntar perfil.
En el cuadro de diálogo Adjuntar perfil, sigue estos pasos:
1. Haz clic en el campo Perfil y selecciona el perfil que deseas adjuntar. Si no creaste un perfil de seguridad personalizado, el único perfil disponible es predeterminado.
2. Haz clic en Assign.

Cuando adjuntas un perfil de seguridad a un entorno, la seguridad avanzada de la API comienza a evaluarlo y puntuarlo de inmediato. Ten en cuenta que la puntuación puede tardar unos minutos en aparecer.

La puntuación general se calcula a partir de las puntuaciones individuales en los tres tipos de evaluación:

Evaluación de origen
Evaluación de proxy
Evaluación de destino

Ten en cuenta que todas las puntuaciones están en el rango 200 - 1200. Las puntuaciones de evaluación más altas indican un riesgo de seguridad más bajo.

Visualiza las puntuaciones

Una vez que hayas vinculado un perfil de seguridad a un entorno, podrás ver las puntuaciones y recomendaciones en el entorno. Para hacerlo, haz clic en la fila del entorno en la página principal de Puntuaciones de seguridad. Esto muestra las puntuaciones del entorno, como se muestra a continuación:

Puntuaciones de seguridad en un entorno.

La vista muestra cuatro pestañas:

Descripción general
Evaluación de origen
Evaluación de proxy
Evaluación de destino

Descripción general

La pestaña Descripción general muestra lo siguiente:

Aspectos destacados de cada evaluación:
- Proxy: Muestra la recomendación principal para los proxies en el entorno. Haz clic en Editar proxy para abrir el Editor de proxy de Apigee, en el que podrás implementar la recomendación.
- Destino: Muestra la recomendación principal para los destinos en el entorno. Haz clic en Ver servidores de destino para abrir la pestaña Servidores de destino en la página Administración > Entornos en la IU de Apigee.
- Fuente: muestra el tráfico de abuso detectado. Haz clic en Tráfico detectado para ver la pestaña Tráfico detectado en la página de detección de abuso.
Resúmenes para la evaluación de la fuente, la evaluación del proxy y la evaluación de destino, incluidos los siguientes:
- La puntuación más reciente para cada tipo de evaluación.
- En el panel Evaluación de fuente (Source Assessment), se muestra el tráfico de abuso detectado y el recuento de direcciones IP.
- Los paneles Evaluación de proxy y Evaluación de destino muestran el nivel de riesgo para esas evaluaciones.
Haz clic en Ver detalles de la evaluación en cualquiera de los paneles de resumen para ver los detalles de ese tipo de evaluación:
Historial de evaluación, que muestra un grafo de las puntuaciones totales diarias del entorno durante un período reciente, que puedes elegir ser de 3 días o 7 días. De forma predeterminada, el gráfico muestra 3 días. El gráfico también muestra la puntuación total promedio durante el mismo período.

Ten en cuenta que una puntuación solo se calcula para el tipo de evaluación si hay algo que evaluar. Por ejemplo, si no hay servidores de destino, no se informará ninguna puntuación para Destinos.

Evaluación de origen

Haz clic en la pestaña Evaluación de fuente para ver los detalles de la evaluación del entorno.

Panel de evaluación de origen.

Haz clic en el ícono de expandir a la derecha de Detalles de la evaluación para ver un grafo de la evaluación de fuente durante un período reciente, que puedes elegir ser de 3 días o 7 días.

En el panel Fuente, se muestra una tabla con la siguiente información:

Categoría: La categoría para la evaluación.
Nivel de riesgo: El nivel de riesgo de la categoría.
Puntuación de seguridad: La puntuación de seguridad de la categoría de abuso.
Nota: Las puntuaciones de fuente se calculan en función de un período que comienza a las 0:00 UTC del día actual y termina a la hora actual.
Recomendaciones: La cantidad de recomendaciones para la categoría.

Detalles de la fuente

En el panel Detalles de la fuente, se muestran los detalles del tráfico de abuso detectado en el entorno, incluidos los siguientes:

Detalles del tráfico:
- Tráfico detectado: La cantidad de llamadas a la API que se originan en una dirección IP que se detectó como fuente de abuso.
- Tráfico total: La cantidad total de llamadas a la API realizadas.
- Recuento de direcciones IP detectadas: La cantidad de direcciones IP distintas que se detectaron como fuentes de abuso.
- Hora de inicio de la observación (UTC): Es la hora de inicio en UTC del período durante el que se supervisa el tráfico.
- Hora de finalización de la observación (UTC): Es la hora de finalización en UTC del período durante el que se supervisa el tráfico.
Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
La recomendación para mejorar la puntuación. Consulta Recomendaciones sobre el abuso para obtener más recomendaciones sobre cómo manejar el tráfico de abuso.

Para crear unacción de seguridad para abordar los problemas que plantea la evaluación de fuente, haz clic en el botón Create Security Action.

Evaluación de proxy

La evaluación del proxy de API calcula las puntuaciones de todos los proxies del entorno. Para ver la evaluación del proxy, haz clic en la pestaña Evaluación de proxy:

Panel de evaluación del proxy.

En el panel Proxy, se muestra una tabla con la siguiente información:

Proxy: El proxy que se evalúa.
Nivel de riesgo: El nivel de riesgo del proxy.
Puntuación de seguridad: La puntuación de seguridad para el proxy.
Requiere atención: Las categorías de evaluación que se deben abordar para mejorar la puntuación del proxy.
Recomendaciones: La cantidad de recomendaciones para el proxy.

Haz clic en el nombre de un proxy en la tabla para abrir el Editor de proxy, en el que puedes realizar cambios recomendados en el proxy.

Recomendaciones de proxy

Si un proxy tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo en el panel Recomendaciones. Para ver las recomendaciones de un proxy, haz clic en la columna Requiere atención del proxy en el panel Proxy.

En el panel Recomendaciones, se muestra lo siguiente:

Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
La recomendación para mejorar la puntuación.

Evaluación de destino

La evaluación de destino calcula una puntuación de seguridad mutua de la capa de transporte (mTLS) para cada servidor de destino del entorno. Las puntuaciones objetivo se asignan de la siguiente manera:

No hay TLS presente: 200
TLS unidireccional presente: 900
mTLS o bidireccional presente: 1200

Para ver la evaluación objetivo, haz clic en la pestaña Evaluación de destino:

Panel de evaluación de destino.

En el panel Destino, se muestra la siguiente información:

Destino: El nombre del destino.
Nivel de riesgo: El nivel de riesgo del objetivo.
Puntuación de seguridad: La puntuación de seguridad del destino.
Requiere atención: Las categorías de evaluación que se deben abordar para mejorar la puntuación del destino.
Recomendaciones: La cantidad de recomendaciones para el destino.

Haz clic en el nombre de un destino en la tabla para abrir el Servidores de destino entradaAdministración > Entornos en la IU de Apigee, en la que puedes aplicar las acciones recomendadas al destino.

Recomendaciones de destino

Si un servidor de destino tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo en el panel Recomendaciones. Para ver las recomendaciones de un destino, haz clic en la columna Requiere atención del destino en el panel Destino.

En el panel Recomendaciones, se muestra lo siguiente:

Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
La recomendación para mejorar la puntuación.

Crea y edita perfiles de seguridad

Para crear o editar un perfil de seguridad , selecciona la pestaña Perfiles de seguridad.

La pestaña Perfiles de seguridad muestra una lista de perfiles de seguridad, incluida la siguiente información:

Nombre: El nombre del perfil.
Categorías: Las categorías de seguridad incluidas en el perfil.
Descripción: La descripción opcional del perfil.
Entornos: Los entornos a los que se adjunta el perfil. Si esta columna está en blanco, el perfil no se adjunta a ningún entorno.
Última actualización (UTC): La última fecha y hora en que se actualizó la acción.
Acciones: Un menú con los siguientes elementos:
- Editar: Edita el perfil.
- Borrar: Borra el perfil.

Consulta los detalles de un perfil de seguridad

Para ver los detalles de un perfil de seguridad, haz clic en su nombre en la fila del perfil. Esto muestra los detalles del perfil, como se muestra a continuación.

La primera fila de la pestaña Detalles muestra el ID de revisión: el número de revisión más reciente del perfil. Cuando editas un perfil y cambias sus categorías de seguridad, el ID de revisión aumenta en 1. Sin embargo, cambiar la descripción del perfil no aumenta el ID de revisión.

En las filas que se encuentran a continuación, se muestra la misma información que aparece en la fila del perfil en la pestaña Perfiles de seguridad.

La vista de detalles del perfil también tiene dos botones etiquetados Editar y Borrar, que puedes usar para editar o borrar un perfil de seguridad.

Historial

Para ver el historial del perfil, haz clic en la pestaña Historial. Esto muestra una lista de todas las revisiones del perfil. Para cada revisión, la lista muestra lo siguiente:

ID de revisión: El número de revisión.
Categorías: Las categorías de seguridad incluidas en esa revisión del perfil.
Última actualización (UTC): Última fecha y hora en UTC cuando se creó la revisión.

Crea un perfil de seguridad personalizado

Sigue estos pasos para crear un perfil de seguridad personalizado nuevo:

Haz clic en Crear en la parte superior de la página.
En el diálogo que se abre, ingresa lo siguiente:
- Nombre: El nombre del perfil. El nombre debe tener entre 1 y 63 letras en minúscula, números o guiones, y debe comenzar con una letra y terminar con una letra o un número. El nombre debe ser diferente del nombre de cualquier perfil existente.
- (Opcional) Descripción: Una descripción del perfil.
- En el campo Categorías, selecciona las categorías de evaluación que deseas incluir en el perfil.

Edita un perfil de seguridad personalizado

Sigue estos pasos para editar un perfil de seguridad personalizado:

Al final de la fila del perfil de seguridad, haz clic en el menú Acciones.
Selecciona Editar.
En la página Editar perfil de seguridad, puedes cambiar lo siguiente:
- Descripción: La descripción opcional del perfil de seguridad.
- Categorías: Las categorías de seguridad seleccionadas para el perfil. Haz clic en el menú desplegable y cambia las categorías seleccionadas a través de la selección o anulación de la selección en el menú.
Haz clic en Aceptar.

Borra un perfil de seguridad personalizado

Para borrar un perfil de seguridad, haz clic en Acciones al final de la fila del perfil y selecciona Borrar. Ten en cuenta que si borras un perfil, también se separa de todos los entornos.

IU clásica de Apigee

Para abrir la vista Puntuaciones de seguridad, haz lo siguiente:

Abre la IU de Apigee clásica.
Selecciona Analizar > Seguridad de API > Puntuaciones de seguridad.

Esto muestra la vista Puntuaciones de seguridad:

Vista principal de Puntuaciones de seguridad.

Ten en cuenta que no se calculan puntuaciones en un entorno hasta que adjuntas un perfil de seguridad al entorno. Apigee proporciona una política de seguridad predeterminada o puedes crear un perfil personalizado con la API de Apigee. Consulta Usa un perfil de seguridad personalizado para obtener más detalles.

En la imagen anterior, no se vinculó ningún perfil de seguridad al entorno integration, por lo que la columna Nombre del perfil muestra No establecido para eso. entorno.

En la tabla Puntuaciones de seguridad, se muestran las siguientes columnas:

Entorno: El entorno en el que se calculan las puntuaciones.
Última puntuación: La última puntuación total para el entorno, de un total de 1,200.
Nivel de riesgo: El nivel de riesgo, que puede ser bajo, moderado o grave.
Recomendaciones totales: La cantidad de recomendaciones proporcionadas. Cada recomendación corresponde a una fila en la tabla Requiere atención.
Nombre del perfil: El nombre del perfil de seguridad.
Fecha de evaluación: La fecha más reciente en la que se calcularon las puntuaciones de seguridad.

Adjunta un perfil de seguridad a un entorno

Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad al entorno de la siguiente manera:

En Acciones, haz clic en el menú de tres puntos en la fila del entorno.
Haz clic en Adjuntar perfil.
En el cuadro de diálogo Adjuntar perfil, sigue estos pasos:
1. Haz clic en el campo Perfil y selecciona el perfil que deseas adjuntar. Si no creaste un perfil de seguridad personalizado, el único perfil disponible es predeterminado.
2. Haz clic en Assign.

En la siguiente imagen, se muestra la vista Puntuaciones de seguridad (Securirty Scores) con un entorno que tiene el perfil de seguridad predeterminado adjunto:

La fila del entorno ahora muestra la puntuación de seguridad más reciente, el nivel de riesgo, la cantidad de recomendaciones para las acciones de seguridad que se realizarán y la Fecha de evaluación de la puntuación.

La puntuación general se calcula a partir de las puntuaciones individuales en los tres tipos de evaluación:

Evaluación de origen
Evaluación de proxy
Evaluación de destino

Ten en cuenta que todas las puntuaciones están en el rango 200 - 1200. Cuánto más alta sea la puntuación, mejor será la evaluación de seguridad.

Visualiza las puntuaciones

Una vez que hayas vinculado un perfil de seguridad a un entorno, podrás ver las puntuaciones y recomendaciones en el entorno. Para hacerlo, haz clic en la fila del entorno en la vista principal de Puntuaciones de seguridad. Esto muestra las puntuaciones del entorno, como se muestra a continuación:

La vista muestra lo siguiente:

Las puntuaciones más recientes de Fuentes, Proxies y Destinos. Haz clic en Ver detalles de la evaluación en cualquiera de estos paneles para ver la evaluación de ese tipo.
Historial de puntuación del entorno, que muestra un grafo de las puntuaciones totales diarias del entorno durante los últimos 5 días, así como la puntuación total promedio durante el mismo período.
La tabla Atención necesaria, que enumera los tipos de evaluación de tus API en los que puedes mejorar la seguridad.

En las siguientes secciones, se describe cómo ver las evaluaciones para cada tipo:

Evaluación de origen
Evaluación de proxy
Evaluación de destino

La tabla Atención necesaria

En la tabla Requiere atención (Needs Attention) que se muestra arriba, se enumeran las categorías de la API cuyas puntuaciones son inferiores a 1,200, junto con lo siguiente:

La puntuación más reciente de la categoría
El nivel de riesgo de la categoría, que puede ser bajo, moderado o grave
La fecha de evaluación
El tipo de evaluación

Ver recomendaciones

Para cada fila de la tabla, la seguridad avanzada de la API proporciona una recomendación para mejorar la puntuación. Puedes ver las recomendaciones en las vistas de Detalles de la evaluación para cada uno de los tipos, Fuentes, Proxies o Destinos, como se describe en las siguientes secciones:

Recomendaciones de origen
Recomendaciones de proxy
Recomendaciones de destino

Puedes abrir una vista de Detalles de la evaluación de las siguientes maneras:

Haz clic en Ver detalles de la evaluación en cualquiera de los paneles de la vista principal Puntuaciones de seguridad.
En la tabla Requiere atención, haz lo siguiente:
1. Expande el grupo de categorías en la tabla:
2. Haz clic en la categoría para la que deseas ver la recomendación. Se abrirá la vista de detalles de la evaluación correspondiente a la recomendación.

Evaluación de origen

La evaluación de origen calcula una puntuación de abuso del entorno. “Abuso” hace referencia a las solicitudes enviadas a la API con fines diferentes a los que está destinada la API.

Para ver la evaluación de origen, haz clic en Ver en el panel Fuentes para abrir la vista de Evaluación de origen de la API:

Panel de evaluación de origen.

El Historial de puntuación de origen muestra las puntuaciones de los últimos 5 días, junto con su promedio y la última puntuación. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.

Recomendaciones de origen

Si una categoría tiene una puntuación baja, puedes ver las recomendaciones para mejorarla. Para ver una recomendación de la categoría abuse, haz clic en su fila en la tabla Detalles de la evaluación (Assessment details). Esto muestra la recomendación en el panel Recomendaciones.

Recomendación sobre el abuso en el panel Recomendaciones.

Para desglosar los detalles del abuso, haz clic en Ver detalles. Esto abrirá la vista Tráfico detectado en la página de detección de abuso. La vista Tráfico detectado muestra información detallada sobre el abuso detectado.

Debajo de la línea Ver detalles, el panel Recomendaciones muestra lo siguiente:

La recomendación: se muestra “Bloquea o permite el tráfico identificado por la detección de abuso”.
En la fila Acciones, se muestra un vínculo a la documentación de las recomendaciones de abuso.

Evaluación de proxy

La evaluación del proxy de API calcula las puntuaciones de todos los proxies del entorno. Para ver la evaluación del proxy, haz clic en Ver en el panel Proxies para abrir la vista Evaluación del proxy de API:

Panel de evaluación del proxy.

El Historial de puntuación del proxy muestra las puntuaciones de los últimos 5 días, junto con su puntuación promedio y la más reciente. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.

Recomendaciones de proxy

Si un proxy tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo. Por ejemplo, para ver recomendaciones del proxy hellooauth2, haz clic en su fila en la tabla de detalles de la evaluación. Esto muestra las recomendaciones en el panel Recomendaciones. Dos de ellos se muestran a continuación.

Recomendación de proxy.

Evaluación de destino

La evaluación de destino calcula una puntuación mTLS para cada servidor de destino del entorno. Las puntuaciones objetivo se asignan de la siguiente manera:

No hay TLS presente: 200
TLS unidireccional presente: 900
mTLS o bidireccional presente: 1200

Para ver la evaluación objetivo, haz clic en Ver en el panel Destinos para abrir la vista Evaluación de destino de la API:

Panel de evaluación de destino.

El Historial de puntuación de destino muestra las puntuaciones de los últimos 5 días, junto con su promedio y la última puntuación. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.

Recomendaciones de destino

Si un servidor de destino tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo. Para ver la evaluación de un servidor de destino, haz clic en su fila. Esto muestra la recomendación en el panel Recomendaciones.

Recomendación de proxy.

Recomendaciones sobre abuso

Si la puntuación de origen es baja, Apigee recomienda que revises las IP para las que se detectó un abuso. Luego, si aceptas que el tráfico de esas IP sea abusivo, usa la página Acciones de seguridad para bloquear las solicitudes de direcciones IP que son fuentes de tráfico de abuso.

Para obtener más información sobre el abuso, puedes usar cualquiera de los siguientes recursos:

La página Detección de abusos, que muestra información sobre los incidentes de seguridad que involucran el tráfico de abuso.
La página Informes de seguridad. Por ejemplo, puede crear los siguientes informes:
- Direcciones IP de bots, como se describe en el Ejemplo: Informe de direcciones IP de bots.
- Tráfico de bot por motivo de bot, como se describe en Ejemplo: tráfico de bot por informe de motivo de bot.