Halaman ini diterjemahkan oleh Cloud Translation API.

Penilaian risiko

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Penilaian risiko Advanced API Security mengevaluasi risiko ancaman keamanan terhadap API Anda. Untuk melakukannya, Advanced API Security menghitung skor keamanan, berdasarkan traffic API serta konfigurasi proxy dan target API Anda. Jika skornya rendah, yang menunjukkan risiko keamanan yang lebih besar, Advanced API Security akan memberi Anda rekomendasi tentang cara meningkatkan skor.

Penilaian risiko memiliki tiga tujuan utama:

Kerahasiaan: Jaga privasi data Anda.
Integritas: Mencegah pihak luar mendapatkan akses tidak sah ke API Anda.
Ketersediaan: Pastikan API Anda tersedia 24/7.

Anda dapat mengakses penilaian risiko melalui UI Apigee, seperti yang dijelaskan di halaman ini, atau melalui API skor dan profil keamanan.

Lihat Peran yang diperlukan untuk penilaian risiko untuk mengetahui peran yang diperlukan untuk melakukan tugas penilaian risiko.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Mengelola add-on Advanced API Security.

Bagian berikut ini menjelaskan penilaian risiko:

Skor keamanan
Profil keamanan
Batasan skor keamanan
Keterlambatan data
Buka halaman Penilaian risiko

Skor keamanan

Skor keamanan menilai keamanan API Anda, serta stabilitasnya dari waktu ke waktu. Misalnya, skor yang banyak berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan pada lingkungan yang dapat menyebabkan skor turun meliputi:

Men-deploy banyak proxy API tanpa kebijakan keamanan yang diperlukan.
Lonjakan traffic penyalahgunaan dari sumber berbahaya.

Mengamati perubahan pada skor keamanan dari waktu ke waktu akan memberikan indikator baik untuk setiap aktivitas yang tidak diinginkan atau mencurigakan di lingkungan.

Skor keamanan dihitung berdasarkan profil keamanan Anda, yang menentukan kategori keamanan yang ingin dievaluasi oleh skor Anda. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan khusus yang hanya menyertakan kategori keamanan yang paling penting bagi Anda.

Jenis penilaian skor keamanan

Ada tiga jenis penilaian yang berkontribusi pada skor keamanan keseluruhan yang dihitung oleh Advanced API Security:

Penilaian sumber: Menilai traffic penyalahgunaan yang terdeteksi, menggunakan aturan deteksi Advanced API Security. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain yang dimaksudkan API.

Catatan: Skor sumber dihitung berdasarkan jangka waktu yang dimulai pada pukul 0.00 UTC pada hari ini dan berakhir pada waktu saat ini.
Penilaian proxy: Menilai seberapa baik proxy telah menerapkan berbagai kebijakan keamanan di area berikut:
- Mediasi: Periksa apakah salah satu kebijakan mediasi berikut dikonfigurasi untuk semua proxy di lingkungan: OASValidation atau SOAPMessageValidation.
- Keamanan:
  - Otorisasi: Memeriksa apakah salah satu kebijakan otorisasi berikut dikonfigurasi untuk semua proxy di lingkungan:
  - CORS: Memeriksa apakah CORS dikonfigurasi.
  - Ancaman: Memeriksa apakah salah satu kebijakan berikut dikonfigurasi untuk semua proxy di lingkungan: XMLThreatProtection atau JSONThreatProtection.
Lihat Pengaruh kebijakan terhadap skor keamanan proxy untuk informasi selengkapnya.
Penilaian target: Memeriksa apakah timbal balik transport layer security (mTLS) dikonfigurasi dengan server target di lingkungan.

Setiap jenis penilaian ini diberi skor sendiri. Skor keseluruhan adalah rata-rata skor masing-masing jenis penilaian.

Cara kebijakan memengaruhi skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut melekat pada alur:

Hanya kebijakan yang disertakan ke alur (praflow, alur bersyarat, alur pasca di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak disertakan pada alur apa pun tidak akan memengaruhi skor.
Skor proxy memperhitungkan alur bersama yang dipanggil proxy melalui flow hook dan kebijakan FlowCallout di proxy, asalkan kebijakan FlowCallout dikaitkan ke flow. Namun, jika FlowCallout tidak dikaitkan ke flow, kebijakan dari sharedflow tertaut tidak akan memengaruhi skor keamanan.
Untuk kebijakan yang terikat pada alur bersyarat, skor keamanan hanya memperhitungkan apakah kebijakan ada atau tidak; tidak memperhitungkan apakah atau bagaimana kebijakan diterapkan saat runtime.

Profil keamanan

Profil keamanan adalah sekumpulan kategori keamanan (dijelaskan di bawah) yang Anda inginkan untuk menilai API. Profil dapat berisi subset kategori keamanan apa pun. Untuk melihat skor keamanan suatu lingkungan, Anda harus menambahkan profil keamanan ke lingkungan tersebut terlebih dahulu. Anda dapat menggunakan profil keamanan default Apigee, atau membuat keamanan kustom yang hanya berisi kategori keamanan yang penting bagi Anda.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua kategori keamanan. Jika Anda menggunakan profil default, skor keamanan akan didasarkan pada semua kategori.

Profil keamanan khusus

Profil keamanan kustom memungkinkan Anda mendasarkan skor keamanan pada kategori keamanan yang ingin disertakan dalam skor. Lihat Membuat dan mengedit profil keamanan untuk mempelajari cara membuat profil kustom.

Kategori keamanan

Skor keamanan didasarkan pada penilaian kategori keamanan yang dijelaskan di bawah.

Kategori	Deskripsi	Rekomendasi
Penyalahgunaan	Pemeriksaan penyalahgunaan, yang mencakup semua permintaan yang dikirim ke API untuk tujuan selain yang dimaksudkan, seperti volume permintaan yang tinggi, scraping data, dan penyalahgunaan yang terkait dengan otorisasi.	Lihat Rekomendasi penyalahgunaan
Otorisasi	Memeriksa apakah Anda memiliki kebijakan otorisasi.	Tambahkan salah satu kebijakan berikut ke proxy Anda: Kebijakan JWS atau JWT OAuth BasicAuth VerifyAPIKey
CORS	Memeriksa apakah Anda menerapkan kebijakan CORS.	Tambahkan kebijakan CORS ke proxy Anda.
MTLS	Memeriksa apakah Anda telah mengonfigurasi mTLS (Mutual transport layer security) untuk server target.	Lihat Konfigurasi mTLS server target.
Mediasi	Memeriksa apakah Anda memiliki kebijakan mediasi yang diterapkan.	Tambahkan salah satu kebijakan berikut ke proxy Anda: OASValidation SOAPMessageValidation
Ancaman	Memeriksa apakah Anda memiliki kebijakan perlindungan terhadap ancaman.	Tambahkan salah satu kebijakan berikut ke proxy Anda: XMLThreatProtection JSONThreatProtection

Batasan skor keamanan

Skor keamanan memiliki batasan berikut:

Anda dapat membuat hingga 100 profil kustom per organisasi.
Skor keamanan hanya dihasilkan jika lingkungan memiliki proxy, server target, atau traffic, serta jika add-on Advanced API Security diaktifkan. Jika tidak, pesan "Tidak dapat menilai" akan ditampilkan.

Keterlambatan data

Data yang menjadi dasar skor keamanan Advanced API Security memiliki penundaan berikut karena cara data diproses:

Jika Anda mengaktifkan Advanced API Security dalam organisasi, diperlukan waktu hingga 6 jam agar skor untuk proxy dan target yang ada ditampilkan dalam lingkungan.
Peristiwa baru yang terkait dengan proxy (deployment dan pembatalan deployment) dan target (membuat, memperbarui, menghapus) dalam lingkungan dapat memerlukan waktu hingga 6 jam agar ditampilkan dalam skor lingkungan.
Data yang mengalir ke pipeline Analisis Apigee rata-rata mengalami keterlambatan hingga 15 hingga 20 menit. Akibatnya, data penyalahgunaan skor sumber mengalami penundaan pemrosesan sekitar 15 hingga 20 menit.

Buka halaman Penilaian risiko

Halaman Penilaian risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.

Apigee di Konsol Cloud

Untuk membuka halaman Penilaian risiko:

Buka https://console.cloud.google.com/apigee.
Pilih Advanced API security > Risk assessment.

Tindakan ini akan menampilkan halaman Penilaian risiko:

Halaman ini memiliki dua tab, yang dijelaskan di bagian berikut:

Skor Keamanan: Lihat skor keamanan.
Profil Keamanan: Melihat, membuat, dan mengedit profil keamanan.

Lihat skor keamanan

Untuk melihat skor keamanan, klik tab Skor Keamanan.

Perlu diperhatikan bahwa tidak ada skor yang dihitung untuk lingkungan sebelum Anda melampirkan profil keamanan, seperti yang dijelaskan dalam Melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil khusus, seperti yang dijelaskan dalam Membuat dan mengedit profil keamanan.

Tabel Skor keamanan menampilkan kolom berikut:

Lingkungan: Lingkungan tempat skor dihitung.
Tingkat risiko: Tingkat risiko untuk lingkungan, yang bisa rendah, sedang, atau berat.
Skor keamanan: Total skor untuk lingkungan, dari 1.200.
Catatan: Anda dapat mengklik Refresh Skor di bagian atas halaman untuk menghitung ulang skor menggunakan data terbaru.

Catatan: Jika tidak ada skor yang dapat dihitung untuk lingkungan, karena batasan pada skor keamanan, kolom skor akan menampilkan Tidak dapat mengakses.
Total rekomendasi: Jumlah rekomendasi yang diberikan.
Profil: Nama profil keamanan yang dilampirkan.
Terakhir diperbarui: Tanggal terbaru skor keamanan diperbarui.
Tindakan: Klik menu tiga titik di baris agar lingkungan melakukan tindakan berikut:
- Lampirkan profil: Melampirkan profil keamanan ke lingkungan.
- Melepas profil: Melepaskan profil keamanan dari lingkungan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan suatu lingkungan, Anda harus terlebih dahulu melampirkan profil keamanan ke lingkungan tersebut sebagai berikut:

Pada bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
Klik Lampirkan profil.
Pada dialog Attach Profile:
1. Klik kolom Profil dan pilih profil yang ingin dilampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
2. Klik Tetapkan.

Saat Anda memasang profil keamanan ke lingkungan, Advanced API Security akan langsung mulai menilai dan menilainya. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.

Skor keseluruhan dihitung dari skor individu dalam tiga jenis penilaian:

Penilaian sumber
Penilaian proxy
Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Semakin tinggi skornya, semakin baik penilaian keamanannya.

Lihat skor

Setelah melampirkan profil keamanan ke suatu lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan tersebut. Untuk melakukannya, klik baris untuk lingkungan di halaman Security Score. Ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Tampilan ini menampilkan empat tab:

Overview
Penilaian Sumber
Penilaian Proxy
Target Penilaian

Ringkasan

Tab Ringkasan menampilkan hal berikut:

Sorotan teratas untuk setiap penilaian:
- Proxy: Menampilkan rekomendasi teratas untuk proxy di lingkungan. Klik Edit Proxy untuk membuka Proxy Editor Apigee, tempat Anda dapat menerapkan rekomendasi.
- Target: Menampilkan rekomendasi teratas untuk target di lingkungan. Klik View Target Servers untuk membuka tab Target Servers di halaman Management > Environments pada UI Apigee.
- Sumber: Menampilkan traffic penyalahgunaan yang terdeteksi. Klik Traffic yang Terdeteksi untuk melihat tab Traffic yang terdeteksi di halaman Deteksi penyalahgunaan.
Ringkasan untuk Penilaian Sumber, Penilaian Proxy, dan Penilaian Target, termasuk:
- Skor terbaru untuk setiap jenis penilaian.
- Panel Source Assessment menampilkan traffic dan jumlah alamat IP yang terdeteksi.
- Panel Proxy Assessment dan Target Assessment menampilkan tingkat risiko untuk penilaian tersebut.
Klik Lihat Detail Penilaian di salah satu panel ringkasan untuk melihat detail jenis penilaian tersebut:
Histori penilaian, yang menampilkan grafik total skor harian untuk lingkungan selama jangka waktu terkini, yang dapat Anda pilih 3 hari atau 7 hari. Secara default, grafik menampilkan 3 hari. Grafik ini juga menunjukkan total skor rata-rata selama periode yang sama.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu untuk dinilai. Misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Penilaian sumber

Klik tab Sumber Penilaian untuk melihat detail penilaian lingkungan.

Panel penilaian sumber.

Klik ikon luaskan di sebelah kanan Detail penilaian untuk melihat grafik penilaian sumber selama jangka waktu terbaru, yang dapat Anda pilih selama 3 hari atau 7 hari.

Panel Source menampilkan tabel dengan informasi berikut:

Kategori: Kategori untuk penilaian.
Tingkat risiko: Tingkat risiko untuk kategori.
Skor keamanan: Skor keamanan untuk kategori penyalahgunaan.
Catatan: Skor sumber dihitung berdasarkan jangka waktu yang dimulai pada pukul 0.00 UTC pada hari ini dan berakhir pada waktu saat ini.
Rekomendasi: Jumlah rekomendasi untuk kategori.

Detail sumber

Panel Source details menampilkan detail traffic penyalahgunaan yang terdeteksi di lingkungan, termasuk:

Detail lalu lintas:
- Traffic yang terdeteksi: Jumlah panggilan API yang berasal dari alamat IP yang telah terdeteksi sebagai sumber penyalahgunaan.
- Total traffic: Total jumlah panggilan API yang dilakukan.
- Jumlah alamat IP yang terdeteksi: Jumlah alamat IP berbeda yang telah terdeteksi sebagai sumber penyalahgunaan.
- Waktu mulai pengamatan (UTC): Waktu mulai dalam UTC periode saat traffic dipantau.
- Waktu berakhir pengamatan (UTC): Waktu berakhir dalam UTC periode saat traffic dipantau.
Tanggal penilaian: Tanggal penilaian dilakukan.
Rekomendasi untuk meningkatkan skor. Lihat Rekomendasi penyalahgunaan untuk rekomendasi lebih lanjut tentang penanganan traffic penyalahgunaan.

Untuk membuat tindakan keamanan guna menangani masalah yang dilaporkan oleh penilaian sumber, klik tombol Buat Tindakan Keamanan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik tab Penilaian Proxy:

Panel penilaian proxy.

Panel Proxy akan menampilkan tabel dengan informasi berikut:

Proxy: Proxy sedang dinilai.
Level risiko: Tingkat risiko untuk proxy.
Skor keamanan: Skor keamanan untuk proxy.
Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor proxy.
Rekomendasi: Jumlah rekomendasi untuk proxy.

Klik nama proxy dalam tabel untuk membuka Editor Editor, tempat Anda dapat membuat perubahan yang direkomendasikan pada proxy tersebut.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Recommendations. Untuk melihat rekomendasi terkait proxy, klik di kolom Needs attention untuk proxy di panel Proxy.

Panel Recommendations akan menampilkan:

Tanggal penilaian: Tanggal penilaian dilakukan.
Rekomendasi untuk meningkatkan skor.

Penilaian target

Penilaian target menghitung skor Mutual Transport Layer Security (mTLS) untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

Tidak ada TLS: 200
Hadir TLS satu arah: 900
Terdapat dua arah atau mTLS: 1200

Untuk melihat penilaian target, klik tab Penilaian Target:

Panel penilaian target.

Panel Target menampilkan informasi berikut:

Target: Nama target.
Tingkat risiko: Tingkat risiko untuk target.
Skor keamanan: Skor keamanan untuk target.
Perlu diperhatikan: Kategori penilaian yang harus ditangani untuk meningkatkan skor target.
Rekomendasi: Jumlah rekomendasi untuk target.

Klik nama target dalam tabel untuk membuka tab Target Servers di halaman Management > Environments pada UI Apigee, tempat Anda dapat menerapkan tindakan yang disarankan ke target.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Recommendations. Untuk melihat rekomendasi untuk sebuah target, klik kolom Needs attention untuk target di panel Target.

Panel Recommendations akan menampilkan:

Tanggal penilaian: Tanggal penilaian dilakukan.
Rekomendasi untuk meningkatkan skor.

Membuat dan mengedit profil keamanan

Untuk membuat atau mengedit profil keamanan , pilih tab Security Profiles.

Tab Security Profiles menampilkan daftar profil keamanan, termasuk informasi berikut:

Nama: Nama profil.
Kategori: Kategori keamanan yang disertakan dalam profil.
Deskripsi: Deskripsi opsional untuk profil.
Lingkungan: Lingkungan tempat profil ditambahkan. Jika kolom ini kosong, profil tidak dikaitkan ke lingkungan apa pun.
Terakhir diperbarui (UTC): Tanggal dan waktu terakhir profil diperbarui.
Tindakan: Menu dengan item berikut:
- Mengedit: Mengedit profil.
- Menghapus: Menghapus profil.

Melihat detail profil keamanan

Untuk melihat detail profil keamanan, klik namanya pada baris untuk profil tersebut. Cara ini akan menampilkan detail profil seperti yang ditunjukkan di bawah ini.

Baris pertama di tab Details menampilkan Revisi ID: nomor revisi terbaru profil. Saat Anda mengedit profil dan mengubah kategori keamanannya, ID revisi bertambah 1. Namun, mengubah deskripsi profil saja tidak akan meningkatkan ID revisi.

Baris di bawah yang menampilkan informasi yang sama dengan yang ditampilkan di baris untuk profil pada tab Security Profiles.

Tampilan detail profil juga memiliki dua tombol berlabel Edit dan Delete, yang dapat Anda gunakan untuk mengedit atau menghapus profil keamanan.

Histori

Untuk melihat histori profil, klik tab Histori. Tindakan ini akan menampilkan daftar semua revisi profil. Untuk setiap revisi, daftar akan menampilkan:

Revision ID: Nomor revisi.
Kategori: Kategori keamanan yang disertakan dalam revisi profil tersebut.
Terakhir diupdate (UTC): Tanggal dan waktu dalam UTC saat revisi dibuat.

Buat profil keamanan khusus

Untuk membuat profil keamanan khusus baru:

Klik Create di bagian atas halaman.
Pada dialog yang terbuka, masukkan informasi berikut:
- Nama: Nama profil. Nama harus terdiri dari 1 sampai 63 huruf kecil, angka, atau tanda hubung, dan harus diawali dengan huruf dan diakhiri dengan huruf atau angka. Nama harus berbeda dari nama profil yang ada.
- (Opsional) Deskripsi: Deskripsi profil.
- Di kolom Kategori, pilih kategori penilaian yang ingin Anda sertakan dalam profil.

Mengedit profil keamanan khusus

Untuk mengedit profil keamanan khusus:

Di akhir baris untuk profil keamanan, klik menu Tindakan.
Pilih Edit.
Di halaman Edit profil keamanan, Anda dapat mengubah:
- Deskripsi: Deskripsi opsional profil keamanan.
- Kategori: Kategori keamanan yang dipilih untuk profil. Klik menu drop-down dan ubah kategori yang dipilih dengan memilih atau membatalkan pilihan kategori dalam menu.
Klik OK.

Menghapus profil keamanan khusus

Untuk menghapus profil keamanan, klik Tindakan di akhir baris untuk profil, lalu pilih Hapus. Perhatikan bahwa menghapus profil juga akan melepaskan profil dari semua lingkungan.

Apigee Klasik

Untuk membuka tampilan Skor keamanan:

Buka UI Apigee klasik.
Pilih Analyze > API Security > Security Score.

Tindakan ini akan menampilkan tampilan Skor keamanan:

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan sebelum Anda melampirkan profil keamanan ke lingkungan tersebut. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil khusus menggunakan Apigee API. Lihat Menggunakan profil keamanan khusus untuk mengetahui detailnya.

Pada gambar di atas, tidak ada profil keamanan yang ditambahkan ke lingkungan integration, sehingga kolom Nama Profil menampilkan Not set untuk lingkungan tersebut.

Tabel Skor keamanan menampilkan kolom berikut:

Lingkungan: Lingkungan tempat skor dihitung.
Skor Terbaru: Total skor terbaru untuk lingkungan, dari 1.200.
Tingkat Risiko: Tingkat risiko, yang bisa rendah, sedang, atau berat.
Total Rekomendasi: Jumlah rekomendasi yang diberikan. Setiap rekomendasi sesuai dengan baris dalam tabel Needs Attention.
Nama Profil: Nama profil keamanan.
Tanggal Penilaian: Tanggal terakhir penghitungan skor keamanan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan suatu lingkungan, Anda harus terlebih dahulu melampirkan profil keamanan ke lingkungan tersebut sebagai berikut:

Pada bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
Klik Lampirkan profil.
Pada dialog Attach Profile:
1. Klik kolom Profil dan pilih profil yang ingin dilampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
2. Klik Tetapkan.

Saat Anda memasang profil keamanan ke lingkungan, Advanced API Security akan langsung mulai menilai dan menilainya. Perhatikan bahwa mungkin perlu waktu beberapa menit hingga skor ditampilkan.

Gambar di bawah menampilkan tampilan Security Score dengan lingkungan yang menyertakan profil keamanan default:

Baris untuk lingkungan kini menampilkan skor keamanan terbaru, tingkat risiko, jumlah rekomendasi tindakan keamanan yang harus diambil, dan Tanggal Penilaian skor.

Skor keseluruhan dihitung dari skor individu dalam tiga jenis penilaian:

Penilaian sumber
Penilaian proxy
Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Semakin tinggi skornya, semakin baik penilaian keamanannya.

Lihat skor

Setelah melampirkan profil keamanan ke suatu lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan tersebut. Untuk melakukannya, klik baris untuk lingkungan di tampilan Security Score. Ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Tampilan menampilkan:

Skor terbaru untuk Sumber, Proxies, dan Target. Klik Lihat Detail Penilaian di salah satu panel ini untuk melihat penilaian untuk jenis tersebut.
Environment Score History, yang menampilkan grafik total skor harian untuk lingkungan selama 5 hari terakhir, serta total skor rata-rata selama periode yang sama.
Tabel Needs Attention, yang mencantumkan jenis penilaian API yang dapat Anda gunakan untuk meningkatkan keamanan.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu untuk dinilai. Misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Bagian berikut menjelaskan cara melihat penilaian untuk setiap jenis:

Penilaian sumber
Penilaian proxy
Penilaian target

Tabel Perlu Diperhatikan

Tabel Needs Attention, yang ditampilkan di atas, mencantumkan kategori API yang skornya di bawah 1.200, beserta:

Skor terbaru untuk kategori
Tingkat risiko untuk kategori tersebut, yang bisa rendah, sedang, atau parah
Tanggal penilaian
Jenis penilaian

Melihat rekomendasi

Untuk setiap baris dalam tabel, Advanced API Security memberikan rekomendasi untuk meningkatkan skor. Anda dapat melihat rekomendasi dalam tampilan Detail penilaian untuk setiap jenis, Sumber, Proxies, atau Target, seperti yang dijelaskan di bagian berikut:

Rekomendasi sumber
Rekomendasi proxy
Rekomendasi target

Anda dapat membuka tampilan Detail penilaian dengan salah satu cara berikut:

Klik View Assessment Details di salah satu panel di tampilan Security Profiles utama.
Di Tabel Perlu Diperhatikan:
1. Perluas grup kategori di tabel:
2. Klik kategori yang rekomendasinya ingin Anda lihat. Tindakan ini akan membuka tampilan detail penilaian yang sesuai dengan rekomendasi.

Penilaian sumber

Penilaian sumber menghitung skor penyalahgunaan untuk lingkungan. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain yang dimaksudkan API.

Untuk melihat penilaian sumber, klik View di panel Sources untuk membuka tampilan API Source Assessment:

Panel penilaian sumber.

Histori Skor Sumber menampilkan skor selama 5 hari terakhir, beserta skor rata-ratanya dan skor terbaru. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi sumber

Jika kategori memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat rekomendasi kategori penyalahgunaan, klik barisnya dalam tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi penyalahgunaan di panel Rekomendasi.

Untuk melihat perincian detail penyalahgunaan, klik Lihat Detail. Tindakan ini akan membuka tampilan Traffic yang Terdeteksi di halaman Deteksi penyalahgunaan. Tampilan Traffic yang Terdeteksi menampilkan informasi mendetail tentang penyalahgunaan yang terdeteksi.

Di bawah baris View Details, panel Recommendations akan menampilkan:

Rekomendasi: "Blokir atau izinkan traffic yang diidentifikasi oleh deteksi penyalahgunaan" akan ditampilkan.
Baris Actions menampilkan link ke dokumentasi untuk rekomendasi penyalahgunaan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik View di panel Proxies untuk membuka tampilan API Proxy Assessment:

Panel penilaian proxy.

Histori Skor Proxy menampilkan skor selama 5 hari terakhir, beserta skor rata-rata dan skor terakhirnya. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Misalnya, untuk melihat rekomendasi untuk proxy hellooauth2, klik barisnya dalam Tabel detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations. Dua di antaranya ditampilkan di bawah ini.

Rekomendasi proxy.

Penilaian target

Penilaian target menghitung skor mTLS untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

Tidak ada TLS: 200
Hadir TLS satu arah: 900
Terdapat dua arah atau mTLS: 1200

Untuk melihat penilaian target, klik View di panel Targets untuk membuka tampilan API Target Assessment:

Panel penilaian target.

Histori Target Skor menampilkan skor selama 5 hari terakhir, beserta skor rata-rata dan skor terbaru. Tabel Detail penilaian menampilkan skor individual terbaru untuk kategori penilaian.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat penilaian server target, klik barisnya. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi proxy.

Rekomendasi penyalahgunaan

Jika skor sumber rendah, Apigee menyarankan agar Anda meninjau IP yang penyalahgunaannya telah terdeteksi. Kemudian, jika Anda setuju bahwa traffic dari IP tersebut merupakan penyalahgunaan, gunakan halaman Tindakan keamanan untuk memblokir permintaan dari alamat IP yang merupakan sumber traffic penyalahgunaan.

Untuk mendapatkan informasi selengkapnya tentang penyalahgunaan, Anda dapat menggunakan salah satu referensi berikut:

Halaman Deteksi penyalahgunaan, yang menampilkan informasi tentang insiden keamanan yang melibatkan traffic penyalahgunaan.
Halaman Laporan keamanan. Misalnya, Anda dapat membuat laporan berikut:
- Alamat IP bot, seperti yang dijelaskan dalam Contoh: laporan Alamat IP bot.
- Traffic bot oleh bot_reason, seperti yang dijelaskan di Contoh: traffic bot berdasarkan laporan alasan bot.