Présentation et interface utilisateur de l'évaluation des risques

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Présentation

L'évaluation des risques Advanced API Security évalue en permanence les configurations de proxy d'API et calcule des scores de sécurité pour identifier et corriger les failles de sécurité de vos API.

L'évaluation des risques vous permet de :

Appliquer des normes de sécurité cohérentes à toutes les API
Détecter les erreurs de configuration dans les configurations d'API
Améliorer votre score de sécurité global grâce aux actions recommandées
Analyser et résoudre rapidement les problèmes de sécurité via un tableau de bord centralisé

Vous pouvez accéder à l'évaluation des risques via l'interface utilisateur Apigee, comme décrit sur cette page, ou via l'API des scores et profils de sécurité.

Consultez la section Rôles requis pour l'évaluation des risques pour connaître les rôles nécessaires pour effectuer des tâches d'évaluation des risques.

Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.

Risk Assessment v1 et v2

L'évaluation des risques est disponible en deux versions : Risk Assessment v1, qui est en disponibilité générale, et Risk Assessment v2, qui est en version preview. L'utilisation de l'une ou l'autre de ces versions nécessite le module complémentaire Advanced API Security.

Les principales différences de fonctionnalités entre la version 1 et la version 2 sont les suivantes :

La version 2 comprend les éléments suivants :
- Amélioration de la fiabilité, y compris des calculs de score plus rapides avec les données proxy récentes
- Calcul du score sans avoir à associer un profil de sécurité à un environnement
- Présentation simplifiée du score, basée sur une échelle de 0 à 100 %
- Le concept de pondérations, qui n'existe pas dans la version 1. Consultez la section Évaluations de sécurité et pondérations.
- Évaluations supplémentaires par rapport à la version 1, qui vérifie davantage de règles lors du calcul des scores. Par exemple, la version 1 accepte jusqu'à cinq règles liées aux autorisations, tandis que la version 2 en gère huit. La version 2 inclut également une catégorie de gestion du trafic avec des règles associées et effectue des vérifications supplémentaires dans les règles, y compris pour l'attribut continueOnError.
- Vérification des flux partagés imbriqués et des hooks de flux jusqu'à cinq niveaux d'imbrication. La version 1 n'évalue pas les règles incluses via la chaîne de flux partagé.
- Remplacement des scores cibles (scores des serveurs cibles) par des évaluations et des recommandations basées sur des proxys. Si une cible est utilisée dans un proxy, les scores de sécurité de ce proxy incluent également le score du serveur cible.
La version 2 ne prend pas en charge les éléments suivants :
- Évaluation des sources basée sur le trafic abusif.
- Profils personnalisés. Pour le moment, la version 2 ne propose que le profil google-default.
- Les métriques et la surveillance ne sont pas prises en charge pour le moment.

Risk Assessment v1

Cette section décrit Risk Assessment v2, la nouvelle version de l'évaluation des risques. Certains concepts et comportements de l'évaluation des risques diffèrent entre la version 1 et la version 2. Pour en savoir plus sur l'utilisation de Risk Assessment v1, consultez Risk Assessment v1.

Pour utiliser la version 2 de l'évaluation des risques, vous devez comprendre les concepts principaux suivants : scores de sécurité et niveaux de gravité, et profils de sécurité.

Scores de sécurité et niveaux de gravité

Les scores de sécurité évaluent la sécurité de vos API ; ils sont basés sur le résultat (réussite/échec) des évaluations de sécurité et pondérations, dans le profil de sécurité appliqué à l'environnement. Le score est une valeur comprise entre 0 % et 100 %. Un score de 100 % indique que le proxy est entièrement conforme aux évaluations et qu'aucun risque n'a été détecté sur la base des évaluations.

Risk Assessment v2 fournit également une valeur de gravité, basée sur le score de sécurité. Les valeurs de gravité potentielle peuvent être élevées (0 à 50 %), moyennes (51 à 90 %), faibles (91 à 99 %) et minimes (100 %/aucun risque détecté, sur la base des évaluations du profil de sécurité attribué).

Les scores de sécurité évaluent également la stratégie de sécurité de vos API au fil du temps. Par exemple, un score qui varie peut indiquer que le comportement de l'API évolue fréquemment, ce qui peut ne pas être souhaitable. Les modifications apportées à un environnement pouvant entraîner une baisse du score sont les suivantes :

le déploiement de proxys d'API sans les règles de sécurité nécessaires ;
la modification d'un flux partagé via des déploiements de hook de flux et des ajouts de règles FlowCallout ;
les changements de serveur cible dans les déploiements d'environnement ou de proxy.

Impact des règles sur les scores de sécurité des proxys

Pour les évaluations de proxys, les scores de sécurité sont basés sur les règles que vous utilisez. La manière dont ces règles sont évaluées varie selon que celles-ci sont associées ou non aux flux, et selon la façon dont elles y sont associées :

Seules les règles associées à un flux (préflux, flux conditionnel, post-flux dans les proxys, ou flux partagé) ont un impact sur les scores. Les règles qui ne sont associées à aucun flux nont aucun impact sur les scores.
Les scores de proxy prennent en compte les flux partagés qu'un proxy appelle via des hooks de flux et les règles FlowCallout incluses dans le proxy, à condition que la règle FlowCallout soit associée à un flux. Toutefois, si la règle FlowCallout n'est pas associée à un flux, les règles issues de son flux partagé associé n'ont aucun impact sur les scores de sécurité.
Les flux partagés en chaîne sont évalués jusqu'à cinq niveaux de profondeur. Toutes les règles incluses directement dans le proxy et dans les cinq premiers niveaux de flux partagés sont prises en compte dans le score de sécurité.
Pour les règles associées aux flux conditionnels, les scores de sécurité ne tiennent compte que de la présence ou non de ces règles. Ils ne tiennent pas compte du fait que les règles sont appliquées ou non au moment de leur exécution, ni de quelle manière.

Évaluations de sécurité et pondérations

Les scores de sécurité sont basés sur les catégories d'évaluation listées ci-après.

Les scores sont également basés sur la pondération de chaque catégorie, qui diffère selon le profil. Les pondérations peuvent être majeures, modérées ou mineures pour chaque catégorie d'un profil. Elles permettent d'influencer l'impact de la règle sur le score. En cas d'échec d'une évaluation dans une catégorie de pondération majeure, l'impact négatif est plus important que dans le cas d'une pondération modérée ou mineure.

Catégorie d'évaluation	Description	Poids	Recommandation
Autorisation	Vérifie si vous avez mis en place une règle d'autorisation.	Majeur	Ajoutez l'une des règles suivantes à votre proxy : AccessControl BasicAuth HMAC Règle JWS ou JWT OAuth ValidateSAMLAssertion VerifyAPIKey
Autorisation	Vérifie si l'attribut "continueOnError" des règles d'autorisation est défini sur `false`. Cela inclut la vérification de l'existence d'une règle d'autorisation.	Majeur	Définissez "continueOnError" sur `false` pour les règles d'autorisation utilisées.
CORS	Vérifier si une règle CORS ou un en-tête CORS sont présents dans la règle AssignMessage.	Majeur	Ajouter une règle CORS à votre proxy.
Médiation	Vérifie si vous avez mis en place une règle de médiation.	Majeur	Ajoutez l'une des règles suivantes à vos proxys : OASValidation SOAPMessageValidation
Cible	Vérifie si vous avez mis en place une règle unidirectionnelle ou mTLS. Remarque : L'évaluation est concluante si mTLS ou SSL est activé.	Majeur	Configurez la sécurité sur les serveurs cibles : Configurer un serveur cible pour TLS/SSL
Cible	Vérifie si le paramètre "enforce" est défini sur `true` pour définir une utilisation stricte du protocole SSL. Cela inclut la vérification de la présence d'une règle SSL.	Majeur	Configurez le champ "enforce" pour définir une utilisation stricte du protocole SSL entre Apigee et les cibles. Consultez la section Configurer une utilisation stricte du protocole SSL.
Menace	Vérifie si vous avez mis en place une règle de protection contre les menaces.	Majeur	Ajoutez l'une des règles suivantes à vos proxys : JSONThreatProtection RegularExpressionProtection XMLThreatProtection
Menace	Vérifie si l'attribut "continueOnError" des règles de menace est défini sur `false`. Cela inclut la vérification de l'existence d'une règle de protection contre les menaces.	Majeur	Définissez "continueOnError" sur `false` pour toutes les règles de menace utilisées.
Gestion du trafic	Vérifie si vous avez mis en place une règle de gestion du trafic.	Majeur	Ajoutez l'une des règles suivantes à vos proxys : LookupCache ResponseCache Quota SpikeArrest

Profils de sécurité v2

Un profil de sécurité est un ensemble d'évaluations de sécurité et de pondérations permettant d'évaluer les API.

Profil de sécurité par défaut

Advanced API Security fournit un profil de sécurité par défaut contenant toutes les évaluations. Lorsque vous utilisez le profil par défaut, les scores de sécurité sont basés sur toutes les catégories.

Limites et problèmes connus des scores de sécurité v2

Les scores de sécurité présentent les limites et problèmes connus suivants :

Les scores de sécurité ne sont générés que si un environnement comporte des proxys.
Les proxys nouvellement déployés, ainsi que les organisations et les environnements nouvellement activés, n'affichent pas immédiatement de scores.
Le profil google-default est le seul profil de sécurité disponible pour le moment. Les profils de sécurité personnalisés ne sont pas encore acceptés.
La génération des scores (avec l'activation d'une nouvelle organisation et les mises à jour des proxys, des cibles et des flux partagés) prend plus de temps dans les organisations avec VPC-SC activé, et peut prendre jusqu'à trois heures.

Retards de données

Les données sur lesquelles se basent les scores de sécurité d'Advanced API Security sont soumises aux délais de traitement suivants avant que les résultats ne soient disponibles :

Lorsque vous activez Advanced API Security dans une organisation pour la première fois, l'actualisation des scores des proxys et des cibles existants dans un environnement peut prendre un certain temps. En règle générale, comptez entre 30 et 90 minutes pour les organisations avec abonnement et moins de temps pour les organisations avec paiement à l'usage.
Les nouveaux événements liés aux proxys (déploiement et annulation du déploiement) et aux cibles (créer, mettre à jour, supprimer) dans un environnement peuvent prendre au moins 60 secondes et jusqu'à cinq minutes (pour les très grands environnements) pour apparaître dans le score de l'environnement.

Afficher les évaluations des risques dans l'interface utilisateur d'Apigee

La page Évaluation des risques affiche des scores qui mesurent la sécurité de votre API dans chaque environnement.

Pour ouvrir la page Évaluation des risques, procédez comme suit :

Ouvrez l'interface utilisateur d'Apigee dans la console Cloud.
Sélectionnez Advanced API Security > Évaluation des risques.

La page Évaluation des risques s'affiche :

Page principale d'évaluation des risques

La page comporte les sections suivantes :

Environnement : sélectionnez l'environnement dans lequel afficher les évaluations.
Profil de sécurité : google-default est le seul profil de sécurité disponible pour le moment.
Proxys déployés par niveau de gravité : une fois l'environnement défini, la page affiche un récapitulatif des niveaux de gravité des proxys dans cet environnement. Consultez la section Scores de sécurité et niveaux de gravité.
Détails de l'évaluation : affiche le profil de sécurité, la date et l'heure de l'évaluation, le nombre total de configurations évaluées et le nombre total de proxys déployés pour l'environnement sélectionné. Le nombre total de configurations évaluées reflète le nombre total de "vérifications" effectuées. Ce nombre peut être supérieur au nombre d'évaluations dans un profil. Certaines évaluations, comme la vérification que l'attribut "continueOnError" est défini sur false, vérifient également si les règles associées sont en place et activées.
Proxys déployés : récapitulatif des proxys déployés dans l'environnement et de leurs scores d'évaluation des risques :
- Proxy : nom du proxy.
- Gravité : gravité de l'évaluation des risques pour le proxy. Pour en savoir plus, consultez Scores et niveaux de gravité de sécurité.
- Score : score d'évaluation des risques pour le proxy. Pour en savoir plus, consultez Scores et niveaux de gravité de sécurité.
  Remarque : Si aucun score ne peut être calculé pour l'environnement, en raison des limites des scores de sécurité, le champ de nom du proxy affiche une icône et un message indiquant que les scores ne sont pas encore disponibles.
- Révision : révision du proxy pour laquelle le score a été évalué.
- Évaluations ayant échoué par pondération : nombre d'évaluations ayant échoué regroupées par pondération.
- Recommandations : recommandations spécifiques pour améliorer le score du proxy. Cliquez sur le nombre pour afficher les recommandations.

Risk Assessment v1

Cette section décrit l'évaluation des risques v1. Pour en savoir plus sur l'évaluation des risques v2, consultez Risk Assessment v2.

Scores de sécurité

Les scores de sécurité évaluent la sécurité de vos API, ainsi que leur posture de sécurité au fil du temps. Par exemple, un score qui varie beaucoup peut indiquer que le comportement de l'API évolue fréquemment, ce qui peut ne pas être souhaitable. Les modifications apportées à un environnement pouvant entraîner une baisse du score sont les suivantes :

Le déploiement de nombreux proxys d'API sans les règles de sécurité nécessaires
Un pic de trafic abusif en provenance de sources malveillantes.

L'observation des modifications de vos scores de sécurité au fil du temps est un bon indicateur de toute activité indésirable ou suspecte dans l'environnement.

Les scores de sécurité sont calculés en fonction de votre profil de sécurité, qui spécifie les catégories de sécurité que vous souhaitez évaluer. Vous pouvez utiliser le profil de sécurité par défaut d'Apigee ou créer un profil de sécurité personnalisé qui n'inclut que les catégories de sécurité les plus importantes pour vous.

Types d'évaluation des scores de sécurité

Trois types d'évaluation contribuent au score de sécurité global calculé par Advanced API Security :

Évaluation de la source : évalue le trafic détecté à l'aide des règles de détection d'Advanced API Security. L'"utilisation abusive" désigne des requêtes envoyées à l'API à des fins autres que celles auxquelles l'API est destinée.

Remarque : Les scores des sources sont calculés sur une période commençant à 0:00 UTC le jour concerné, et se terminant à l'heure actuelle.
Évaluation des proxys : évalue dans quelle mesure les proxys ont mis en œuvre diverses règles de sécurité dans les domaines suivants :
- Médiation : vérifiez si l'une des règles de médiation suivantes est configurée pour tous les proxys de l'environnement : OASValidation ou SOAPMessageValidation.
- Sécurité :
  - Autorisation : vérifie si l'une des règles d'autorisation suivantes est configurée pour tous les proxys de l'environnement :
  - CORS : vérifie si CORS est configuré.
  - Menace : vérifie si l'une des règles suivantes est configurée pour tous les proxys de l'environnement : XMLThreatProtection ou JSONThreatProtection.
Pour en savoir plus, consultez la section Impact des règles sur les scores de sécurité des proxys.
Évaluation des cibles : vérifie si la sécurité de la couche de transport mutuelle (mTLS) est configurée avec les serveurs cibles de l'environnement.

Chaque type d'évaluation se voit attribuer un score qui lui est propre. Le score global correspond à la moyenne des scores de chaque type d'évaluation.

Impact des règles sur les scores de sécurité des proxys

Seules les règles associées à un flux (préflux, flux conditionnel, post-flux dans les proxys, ou flux partagé) ont un impact sur les scores. Les règles qui ne sont associées à aucun flux nont aucun impact sur les scores.
Les scores de proxy prennent en compte les flux partagés qu'un proxy appelle via des hooks de flux et les règles FlowCallout incluses dans le proxy, à condition que la règle FlowCallout soit associée à un flux. Toutefois, si la règle FlowCallout n'est pas associée à un flux, les règles issues de son flux partagé associé n'ont aucun impact sur les scores de sécurité.
Les chaînes de flux partagée ne sont pas prises en charge. Les règles incluses via des chaînes de flux partagée ne sont pas évaluées lors du calcul des scores de sécurité.
Pour les règles associées aux flux conditionnels, les scores de sécurité ne tiennent compte que de la présence ou non de ces règles. Ils ne tiennent pas compte du fait que les règles sont appliquées ou non au moment de leur exécution, ni de quelle manière.

Profils de sécurité

Un profil de sécurité est un ensemble de catégories de sécurité (décrites ci-dessous) en fonction desquelles vous souhaitez que vos API soient évaluées. Un profil peut contenir n'importe quel sous-ensemble des catégories de sécurité. Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement. Vous pouvez utiliser le profil de sécurité par défaut d'Apigee ou créer un profil de sécurité personnalisé qui ne contient que les catégories de sécurité qui vous intéressent.

Profil de sécurité par défaut

Advanced API Security fournit un profil de sécurité par défaut qui contient toutes les catégories de sécurité. Si vous utilisez le profil par défaut, les scores de sécurité seront basés sur toutes les catégories.

Profil de sécurité personnalisé

Les profils de sécurité personnalisés vous permettent de baser vos scores de sécurité uniquement sur les catégories de sécurité que vous souhaitez inclure dans le score. Consultez Créer et modifier des profils de sécurité pour découvrir comment créer un profil personnalisé.

Catégories de sécurité

Les scores de sécurité sont basés sur une évaluation des catégories de sécurité décrites ci-dessous.

Catégorie	Description	Recommandation
Utilisation abusive	Recherche toute utilisation abusive, y compris toutes les requêtes envoyées à l'API à des fins autres que celles auxquelles elle est destinée, par exemple des volumes élevés de requêtes, le détournement de données et les utilisations abusives liées à l'autorisation.	Consultez les recommandations liées aux abus.
Autorisation	Vérifie si vous avez mis en place une règle d'autorisation.	Ajoutez l'une des règles suivantes à votre proxy : Règle JWS ou JWT OAuth BasicAuth VerifyAPIKey
CORS	Vérifie si vous avez mis en place une règle CORS.	Ajouter une règle CORS à votre proxy.
MTLS	Vérifie si vous avez configuré mTLS (Mutual Transport Layer Security) pour le serveur cible.	Consultez la section Configuration mTLS du serveur cible.
Médiation	Vérifie si vous avez mis en place une règle de médiation.	Ajoutez l'une des règles suivantes à vos proxys : OASValidation SOAPMessageValidation
Menace	Vérifie si vous avez mis en place une règle de protection contre les menaces.	Ajoutez l'une des règles suivantes à vos proxys : XMLThreatProtection JSONThreatProtection

Limites des scores de sécurité v1

Les scores de sécurité présentent les limites suivantes :

Vous pouvez créer jusqu'à 100 profils personnalisés par organisation.
Les scores de sécurité ne sont générés que si un environnement comporte des proxys, des serveurs cibles et du trafic.
Les proxys nouvellement déployés n'affichent pas immédiatement de scores.

Retards de données

Les données sur lesquelles se basent les scores de sécurité d'Advanced API Security sont soumises aux délais suivants, en raison de la façon dont les données sont traitées :

Lorsque vous activez Advanced API Security dans une organisation, l'actualisation des scores des proxys et des cibles existants dans un environnement peut prendre jusqu'à six heures.
Les nouveaux événements liés aux proxys (déploiement et annulation du déploiement) et aux cibles (créer, mettre à jour, supprimer) dans un environnement peuvent prendre jusqu'à six heures pour apparaître dans le score de l'environnement.
Les données transmises par le pipeline Apigee Analytics ont un délai moyen de 15 à 20 minutes. Par conséquent, les données d'utilisation abusive des scores des sources présentent un retard de traitement d'environ 15 à 20 minutes.

Ouvrir la page Évaluation des risques

La page Évaluation des risques affiche des scores qui mesurent la sécurité de votre API dans chaque environnement.

Le chargement de la page Évaluation des risques peut prendre quelques minutes. La page prendra plus de temps à se charger dans les environnements ayant un volume de trafic élevé et un grand nombre de proxys et de cibles.

Apigee dans la console Cloud

Pour ouvrir la page Évaluation des risques, procédez comme suit :

Ouvrez l'interface utilisateur d'Apigee dans la console Cloud.
Sélectionnez Advanced API Security > Évaluation des risques.

La page Évaluation des risques s'affiche :

Cette page comporte deux onglets, décrits dans les sections suivantes :

Scores de sécurité : Affichez les scores de sécurité.
Profils de sécurité : Affichez, créez et modifiez des profils de sécurité.

Afficher les scores de sécurité

Pour afficher les scores de sécurité, cliquez sur l'onglet Scores de sécurité.

Notez qu'aucun score n'est calculé pour un environnement tant que vous n'avez pas associé de profil de sécurité, comme décrit dans la section Associer un profil de sécurité à un environnement. Apigee fournit une règle de sécurité par défaut ou vous pouvez créer un profil personnalisé, comme décrit dans la section Créer et modifier des profils de sécurité.

La table Scores de sécurité contient les colonnes suivantes :

Environment (Environnement) : environnement dans lequel les scores sont calculés.
Niveau de risque : niveau de risque pour l'environnement, qui peut être faible, modéré ou grave
Score de sécurité : score total de l'environnement, sur 1200.
Remarque : Vous pouvez cliquer sur Actualiser les scores en haut de la page pour recalculer les scores à l'aide des données les plus récentes.

Remarque : Si aucun score ne peut être calculé pour l'environnement, en raison des limites des scores de sécurité, la colonne "Score" affiche Impossible d'accéder au fichier.
Recommandations totales : nombre de recommandations fournies
Profil : nom du profil de sécurité associé
Dernière mise à jour : date de la dernière mise à jour des scores de sécurité
Actions : cliquez sur le menu à trois points sur la ligne de l'environnement pour effectuer les actions suivantes :
- Associer un profil : associez un profil de sécurité à l'environnement.
- Dissocier un profil : dissociez un profil de sécurité de l'environnement.

Associer un profil de sécurité à un environnement

Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement comme suit :

Sous Actions, cliquez sur le menu à trois points de la ligne de l'environnement.
Cliquez sur Associer un profil.
Dans la boîte de dialogue Associer un profil :
1. Cliquez sur le champ Profil et sélectionnez le profil que vous souhaitez associer. Si vous n'avez pas créé de profil de sécurité personnalisé, le seul profil disponible est celui par défaut.
2. Cliquez sur Attribuer.

Lorsque vous associé un profil de sécurité à un environnement, Advanced API Security commence immédiatement à l'évaluer et à lui attribuer un score. Notez que l'affichage du score peut prendre quelques minutes.

Le score global est calculé à partir des scores individuels des trois types d'évaluation :

Évaluation de la source
Évaluation du proxy
Évaluation de la cible

Notez que tous les scores sont compris entre 200 et 1 200. Plus le score d'évaluation est élevé, plus le risque de sécurité est faible.

Consultez les scores

Une fois que vous avez associé un profil de sécurité à un environnement, vous pouvez afficher les scores et les recommandations dans l'environnement. Pour ce faire, cliquez sur la ligne de l'environnement dans la page principale Scores de sécurité. Les scores de l'environnement s'affichent, comme indiqué ci-dessous :

Scores de sécurité dans un environnement.

La vue affiche quatre onglets :

Présentation
Évaluation de la source
Évaluation du proxy
Évaluation de la cible

Présentation

L'onglet Aperçu affiche les éléments suivants :

Principales caractéristiques de chaque évaluation :
- Proxy : affiche la recommandation principale pour les proxys dans l'environnement. Cliquez sur Modifier Proxy pour ouvrir l'éditeur de proxy Apigee, dans lequel vous pouvez implémenter la recommandation.
- Cible : affiche la recommandation principale pour les cibles de l'environnement. Cliquez sur Afficher les serveurs cibles pour ouvrir l'onglet Serveurs cibles sur la page Gestion > Environnements de l'interface utilisateur d'Apigee.
- Source : affiche le trafic détecté comme abusif. Cliquez sur Trafic détecté pour afficher l'onglet Trafic détecté sur la page "Détection d'utilisation abusive".
Résumés de l'évaluation de la source, de l'évaluation du proxy et de l'évaluation de la cible, y compris :
- Le dernier score pour chaque type d'évaluation.
- Le volet Évaluation de la source affiche le trafic détecté comme abusif et le nombre d'adresses IP.
- Les volets Évaluation du proxy et Évaluation de la cible affichent le niveau de risque de ces évaluations.
Cliquez sur Afficher les détails de l'évaluation dans l'un des volets récapitulatifs pour afficher les détails de ce type d'évaluation :
L'historique des évaluations, qui affiche un graphique du score total quotidien de l'environnement sur une période récente, que vous pouvez choisir sur 3 jours ou 7 jours. Par défaut, le graphique affiche 3 jours. Le graphique indique également le score total moyen sur la même période.

Notez qu'un score n'est calculé que pour le type d'évaluation lorsqu'il existe quelque chose à évaluer. Par exemple, s'il n'existe aucun serveur cible, aucun score ne sera indiqué pour le champ Target (Cible).

Évaluation de la source

Cliquez sur l'onglet Évaluation de la source pour afficher les détails de l'évaluation de l'environnement.

Volet Évaluation de la source.

Cliquez sur l'icône de développement à droite des détails de l'évaluation pour afficher un graphique de l'évaluation source sur une période récente, que vous pouvez choisir sur 3 ou 7 jours.

Le volet Source affiche une table contenant les informations suivantes :

Catégorie : catégorie de l'évaluation
Niveau de risque : niveau de risque de la catégorie
Score de sécurité : score de sécurité de la catégorie abusive.
Remarque : Les scores des sources sont calculés sur une période commençant à 0:00 UTC le jour concerné, et se terminant à l'heure actuelle.
Recommandations : nombre de recommandations pour la catégorie

Détails de la source

Le volet Détails de la source affiche les détails du trafic détecté dans l'environnement, y compris :

Informations sur le trafic :
- Trafic détecté : nombre d'appels d'API provenant d'une adresse IP détectée comme une source abusive
- Trafic total : nombre total d'appels d'API effectués
- Nombre d'adresses IP détectées : nombre d'adresses IP distinctes détectées comme sources d'abus
- Heure de début de l'observation (UTC) : heure de début, au format UTC, de la période pendant laquelle le trafic a été surveillé
- Heure de fin de l'observation (UTC) : heure de fin (UTC) de la période pendant laquelle le trafic a été surveillé
Date d'évaluation : date et heure de l'évaluation.
Recommandation pour améliorer le score. Consultez la section Recommandations liées à l'utilisation abusive pour en savoir plus sur la gestion du trafic abusif.

Pour créer une action de sécurité permettant de résoudre les problèmes liés à l'évaluation de la source, cliquez sur le bouton Créer une action de sécurité.

Évaluation du proxy

L'évaluation de proxy d'API calcule les scores de tous les proxys de l'environnement. Pour afficher l'évaluation du proxy, cliquez sur l'onglet Évaluation du proxy :

Volet d'évaluation du proxy.

Le volet Proxy affiche une table contenant les informations suivantes :

Proxy : proxy en cours d'évaluation
Niveau de risque : niveau de risque du proxy
Score de sécurité : score de sécurité du proxy
Attention requise : catégories d'évaluation à traiter pour améliorer le score du proxy
Recommandations : nombre de recommandations pour le proxy

Cliquez sur le nom d'un proxy dans le tableau pour ouvrir l'éditeur de proxy, où vous pouvez apporter les modifications recommandées au proxy.

Recommandations liées au proxy

Si un proxy a un score faible, vous pouvez afficher des recommandations pour l'améliorer dans le volet Recommandations. Pour afficher les recommandations concernant un proxy, cliquez sur la colonne Attention requise du proxy dans le volet Proxy.

Le volet Recommandations s'affiche :

Date d'évaluation : date et heure de l'évaluation.
Recommandation pour améliorer le score.

Évaluation de la cible

L'évaluation de la cible calcule un score mTLS (Mutual Transport Layer Security) pour chaque serveur cible de l'environnement. Les scores de la cible sont attribués comme suit :

Absence d'une communication TLS : 200
Présence d'une communications TLS unidirectionnelle : 900
Présence d'une communications TLS bidirectionnelle ou mTLS : 1200

Pour afficher l'évaluation de la cible, cliquez sur l'onglet Évaluation de la cible :

Volet d'évaluation cible.

Le volet Cible affiche les informations suivantes :

Cible : nom de la cible
Niveau de risque : niveau de risque de la cible
Score de sécurité : score de sécurité de la cible
Attention requise : catégories d'évaluation à traiter pour améliorer le score de la cible
Recommandations : nombre de recommandations pour la cible

Cliquez sur le nom d'une cible dans le tableau pour ouvrir l'onglet Serveurs cibles dans la page Gestion > Environnements de l'interface utilisateur d'Apigee, où vous pouvez appliquer les actions recommandées à la cible.

Recommandations liées à la cible

Si un serveur cible présente un score faible, vous pouvez afficher des recommandations pour l'améliorer dans le volet Recommandations. Pour afficher les recommandations pour une cible, cliquez sur la colonne Attention requise de la cible dans le volet Cible.

Le volet Recommandations s'affiche :

Date d'évaluation : date et heure de l'évaluation.
Recommandation pour améliorer le score.

Créer et modifier des profils de sécurité

Pour créer ou modifier un profil de sécurité , sélectionnez l'onglet Profils de sécurité.

L'onglet Profils de sécurité affiche la liste des profils de sécurité, y compris les informations suivantes :

Nom : nom du profil
Catégories : catégories de sécurité incluses dans le profil
Description : description facultative du profil
Environnements : environnements auxquels le profil est associé. Si cette colonne est vide, le profil n'est associé à aucun environnement.
Dernière mise à jour (UTC) : date et heure de la dernière mise à jour du profil
Actions : un menu contenant les éléments suivants :
- Modifier : modifiez le profil
- Supprimer : supprimez le profil

Afficher les détails d'un profil de sécurité

Pour afficher les détails d'un profil de sécurité, cliquez sur son nom dans la ligne correspondante. Les détails du profil s'affichent, comme illustré ci-dessous.

La première ligne de l'onglet Détails affiche l'ID de révision : le numéro de révision le plus récent du profil. Lorsque vous modifiez un profil et ses catégories de sécurité, l'ID de révision est augmenté de 1. Toutefois, le simple fait de modifier la description du profil n'augmente pas l'ID de révision.

Les lignes ci-dessous affichent les mêmes informations que celles de la ligne du profil dans l'onglet Profils de sécurité.

La vue Détails du profil comporte également deux boutons intitulés Modifier et Supprimer, que vous pouvez utiliser pour modifier ou supprimer un profil de sécurité.

Historique

Pour afficher l'historique du profil, cliquez sur l'onglet Historique. La liste de toutes les révisions du profil s'affiche. Pour chaque révision, la liste affiche :

ID de révision : numéro de révision
Catégories : catégories de sécurité incluses dans cette révision du profil
Dernière mise à jour (UTC) : date et heure UTC lors de la création de la révision

Créer un profil de sécurité personnalisé

Pour créer un profil de sécurité personnalisé, procédez comme suit :

Cliquez sur Créer en haut de la page.
Dans la boîte de dialogue qui s'ouvre, saisissez ce qui suit :
- Nom : nom du profil Le nom doit comporter entre 1 et 63 lettres minuscules, chiffres ou traits d'union. Il doit commencer par une lettre et se terminer par une lettre ou un chiffre. Le nom doit être différent de celui de tout profil existant.
- (Facultatif) Description : description du profil.
- Dans le champ Catégories, sélectionnez les catégories d'évaluation que vous souhaitez inclure dans le profil.

Modifier un profil de sécurité personnalisé

Pour modifier un profil de sécurité personnalisé, procédez comme suit :

À la fin de la ligne du profil de sécurité, cliquez sur le menu Actions.
Sélectionnez Modifier.
Sur la page Modifier le profil de sécurité, vous pouvez modifier :
- Description : description facultative du profil de sécurité
- Catégories : catégories de sécurité sélectionnées pour le profil. Cliquez sur le menu déroulant, puis sélectionnez ou désélectionnez les catégories de votre choix dans le menu.
Cliquez sur OK.

Supprimer un profil de sécurité personnalisé

Pour supprimer un profil de sécurité, cliquez sur Actions à la fin de la ligne du profil, puis sélectionnez Supprimer. Notez que la suppression d'un profil le dissocie également de tous les environnements.

Interface utilisateur classique d'Apigee

Procédez comme suit pour ouvrir la vue Scores de sécurité :

Ouvrez l'interface utilisateur classique d'Apigee.
Sélectionnez Analyse > Sécurité de l'API > Scores de sécurité.

La vue Scores de sécurité s'affiche :

Notez qu'aucun score n'est calculé pour un environnement tant que vous n'avez pas associé un profil de sécurité à l'environnement. Apigee fournit une règle de sécurité par défaut ou vous pouvez créer un profil personnalisé à l'aide de l'API Apigee. Pour en savoir plus, consultez Utiliser un profil de sécurité personnalisé.

Dans l'image ci-dessus, aucun profil de sécurité n'a été associé à l'environnement integration. Par conséquent, la colonne Nom du profil affiche Non défini pour cet environnement.

La table Scores de sécurité contient les colonnes suivantes :

Environment (Environnement) : environnement dans lequel les scores sont calculés.
Latest Score (Dernier score) : dernier score total pour l'environnement, sur 1200.
Risk Level (Niveau de risque) : niveau de risque, qui peut être faible, modéré ou grave.
Total Recommendations (Recommandations totales) : nombre de recommandations fournies. Chaque recommandation correspond à une ligne de la table Attention requise.
Profile Name (Nom du profil) : nom du profil de sécurité.
Assessment Date (Date d'évaluation) : date la plus récente du calcul des scores de sécurité.

Associer un profil de sécurité à un environnement

Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement comme suit :

Sous Actions, cliquez sur le menu à trois points de la ligne de l'environnement.
Cliquez sur Associer un profil.
Dans la boîte de dialogue Associer un profil :
1. Cliquez sur le champ Profil et sélectionnez le profil que vous souhaitez associer. Si vous n'avez pas créé de profil de sécurité personnalisé, le seul profil disponible est celui par défaut.
2. Cliquez sur Attribuer.

L'image ci-dessous montre la vue Scores de sécurité avec un environnement auquel le profil de sécurité par défaut est associé :

La ligne de l'environnement affiche désormais le dernier score de sécurité, le niveau de risque, le nombre de recommandations pour les actions de sécurité à effectuer et la Date d'évaluation du score.

Le score global est calculé à partir des scores individuels des trois types d'évaluation :

Évaluation de la source
Évaluation du proxy
Évaluation de la cible

Notez que tous les scores sont compris entre 200 et 1 200. Plus le score est élevé, meilleure est l'évaluation de la sécurité.

Consultez les scores

Une fois que vous avez associé un profil de sécurité à un environnement, vous pouvez afficher les scores et les recommandations dans l'environnement. Pour ce faire, cliquez sur la ligne de l'environnement dans la vue principale Security Scores (Scores de sécurité). Les scores de l'environnement s'affichent, comme indiqué ci-dessous :

La vue affiche ce qui suit :

Les derniers scores pour les sources, les proxys et les cibles. Cliquez sur Afficher les détails de l'évaluation dans l'un de ces volets pour afficher l'évaluation pour ce type.
L'historique de score de l'environnement, qui affiche un graphique des scores totaux quotidiens de l'environnement au cours des cinq derniers jours, ainsi que le score total moyen sur la même période.
Needs Attention Table (Table "Attention requise"), qui regroupe les types d'évaluation de vos API dans lesquels vous pouvez améliorer la sécurité.

Les sections suivantes décrivent comment afficher les évaluations pour chaque type :

Évaluation de la source
Évaluation du proxy
Évaluation de la cible

Table Attention requise

La table Attention requise, présentée ci-dessus, répertorie les catégories d'API dont les scores sont inférieurs à 1200, ainsi que :

Le dernier score de la catégorie
Le niveau de risque de la catégorie, qui peut être faible, modéré ou grave
La date de l'évaluation
Le type d'évaluation

Afficher les recommandations

Pour chaque ligne du tableau, la sécurité avancée d'API fournit une recommandation permettant d'améliorer le score. Vous pouvez consulter les recommandations dans les vues Assessment details (Détails de l'évaluation) pour chacun des types (Sources, Proxys ou Cibles) comme décrit dans les sections suivantes :

Recommandations liées à la source
Recommandations liées au proxy
Recommandations liées à la cible

Vous pouvez ouvrir une vue Assessment details (Détails de l'évaluation) de l'une des manières suivantes :

Cliquez sur View Assessment Details (Afficher les détails de l'évaluation) dans l'un des volets de la vue principale Security Scores (Scores de sécurité).
Dans la table Attention requise :
1. Développez le groupe de catégorie dans le tableau :
2. Cliquez sur la catégorie pour laquelle vous souhaitez afficher la recommandation. La vue "Détails de l'évaluation" correspondant à la recommandation s'ouvre.

Évaluation de la source

L'évaluation de la source définit un score "Abuse" (Utilisation abusive) pour l'environnement. L'"utilisation abusive" désigne des requêtes envoyées à l'API à des fins autres que celles auxquelles l'API est destinée.

Pour afficher l'évaluation de la source, cliquez sur View (Afficher) dans le volet Sources pour ouvrir la vue Évaluation des sources de l'API (Évaluation de la source de l'API) :

Volet Évaluation de la source.

Le volet Historique des scores de la source affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Détails de l'évaluation affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées à la source

Si une catégorie a un score faible, vous pouvez afficher des recommandations pour l'améliorer. Pour afficher une recommandation concernant la catégorie utilisation abusive, cliquez sur la ligne correspondante dans la table Détails de l'évaluation. La recommandation s'affiche alors dans le volet Recommandations.

Recommandation liée à l'utilisation abusive dans le volet "Recommandations".

Pour afficher les détails de l'utilisation abusive, cliquez sur Afficher les détails. La vue Trafic détecté s'ouvre sur la page Détection d'utilisation abusive. La vue Trafic détecté affiche des informations détaillées sur les abus détectés.

Sous la ligne Détails de la vue, le volet "Recommandations" s'affiche :

Recommandation : "Bloquer ou autoriser le trafic identifié par la détection d'utilisation abusive." s'affiche.
La ligne Actions affiche un lien vers la documentation sur les recommandations concernant les utilisations abusives.

Évaluation du proxy

L'évaluation de proxy d'API calcule les scores de tous les proxys de l'environnement. Pour afficher l'évaluation du proxy, cliquez sur Afficher dans le volet Proxys pour ouvrir la vue Évaluation des proxys d'API :

Volet d'évaluation du proxy.

Le volet Proxy Score History (Historique des scores du proxy) affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Assessment details (Détails de l'évaluation) affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées au proxy

Si un proxy a un score faible, vous pouvez afficher des recommandations pour l'améliorer. Par exemple, pour afficher les recommandations pour le proxy hellooauth2, cliquez sur la ligne correspondante dans le tableau des détails des évaluations. Les recommandations s'affichent alors dans le volet Recommandations. Deux d'entre elles sont illustrées ci-dessous.

Recommandation liée au proxy.

Évaluation de la cible

L'évaluation de la cible calcule un score mTLS pour chaque serveur cible dans l'environnement. Les scores de la cible sont attribués comme suit :

Absence d'une communication TLS : 200
Présence d'une communications TLS unidirectionnelle : 900
Présence d'une communications TLS bidirectionnelle ou mTLS : 1200

Pour afficher l'évaluation de la cible, cliquez sur View (Afficher) dans le volet Targets (Cibles) pour ouvrir la vue API Target Assessment (Évaluation cible de l'API) :

Volet d'évaluation cible.

Le volet Target Score History (Historique des scores de la cible) affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Assessment details (Détails de l'évaluation) affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées à la cible

Si un serveur cible présente un score faible, vous pouvez afficher des recommandations pour l'améliorer. Pour afficher l'évaluation d'un serveur cible, cliquez sur la ligne correspondante. La recommandation s'affiche alors dans le volet Recommandations.

Recommandation liée au proxy.

Recommandations liées à une utilisation abusive

Si le score de la source est faible, Apigee vous recommande d'examiner les adresses IP pour lesquelles des utilisations abusives ont été détectées. Ensuite, si vous acceptez le caractère abusif du trafic provenant de ces adresses IP, utilisez la page Actions de sécurité pour bloquer les requêtes provenant des adresses IP qui sont à l'origine du trafic abusif.

Pour obtenir plus d'informations sur l'utilisation abusive, vous pouvez utiliser l'une des ressources suivantes :

La page Détection d'utilisation abusive, qui affiche des informations sur les incidents de sécurité impliquant du trafic abusif.
Page Rapports de sécurité Par exemple, vous pouvez créer les rapports suivants :
- Adresses IP des bots, comme décrit dans le champ Exemple : rapport sur les adresses IP des bots.
- Trafic du bot par motif, comme décrit dans la section Exemple : Trafic du bot par bot_reason.