이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.
Apigee Edge 문서 보기
개요
지능화된 API 보안 위험 평가는 API 프록시 구성을 지속적으로 평가하고 보안 점수를 계산하여 API의 취약점을 식별하고 해결하는 데 도움을 줍니다.
위험 평가는 다음과 같은 이점을 제공합니다.
- 모든 API에 일관적인 보안 표준을 적용합니다.
- API 설정에서 잘못된 구성을 감지합니다.
- 권장 조치를 통해 전반적인 보안 점수를 개선합니다.
- 중앙 집중식 대시보드를 통해 보안 문제를 신속하게 조사하고 해결합니다.
이 페이지의 설명대로 Apigee UI를 통해 또는 보안 점수 및 프로필 API를 통해 위험 평가에 액세스할 수 있습니다.
위험 평가 태스크를 수행하는 데 필요한 역할은 위험 평가에 필요한 역할을 참조하세요.
이 기능을 사용하려면 부가기능을 사용 설정해야 합니다. 구독 고객인 경우 조직에 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 구독 조직에 대한 지능화된 API 보안 관리를 참조하세요. 사용한 만큼만 지불하는 고객은 적격 환경에서 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 지능화된 API 보안 부가기능 관리를 참조하세요.
위험 평가 v1 및 v2
위험 평가는 정식 버전인 위험 평가 v1과 프리뷰 버전인 위험 평가 v2의 두 가지 버전으로 제공됩니다. 두 버전 중 하나를 사용하려면 지능화된 API 보안 부가기능이 필요합니다.
v1과 v2의 주요 기능 차이점은 다음과 같습니다.
- v2에는 다음이 포함됩니다.
- 최근 프록시 데이터를 사용한 빠른 점수 계산을 포함한 안정성 향상
- 먼저 보안 프로필을 환경에 연결할 필요 없는 점수 계산
- 0~100%의 척도를 기반으로 한 간소화된 점수 표시
- v1에는 없는 가중치 개념. 보안 평가 및 가중치를 참조하세요.
- v1에 비해 추가 평가를 제공하여 점수를 계산할 때 더 많은 정책을 확인합니다.
예를 들어 v1은 승인 관련 정책을 5개 지원하는 반면 v2는 8개를 지원합니다. 또한 v2에는 연결된 정책이 포함된 트래픽 관리 카테고리가 있으며
continueOnError
속성을 비롯하여 정책에서 추가 검사를 수행합니다. - 중첩된 공유 흐름 및 흐름 후크를 5단계 중첩 수준까지 확인합니다. v1은 공유 흐름 체이닝을 통해 포함된 정책을 평가하지 않습니다.
- 대상 점수(대상 서버 점수)를 프록시 기반 평가 및 권장사항으로 대체합니다. 대상이 프록시에 사용되는 경우 해당 프록시의 보안 점수에는 대상 서버의 점수도 포함됩니다.
- v2는 다음을 지원하지 않습니다.
- 악성 트래픽을 기반으로 한 소스 평가
- 커스텀 프로필. 현재 v2는
google-default
프로필만 지원합니다. - 측정항목 및 모니터링은 현재 지원되지 않습니다.
위험 평가 v2
이 섹션에서는 위험 평가의 새 버전인 위험 평가 v2를 설명합니다. 일부 위험 평가 개념과 동작은 v1과 v2 간에 다릅니다. 위험 평가 v1 사용에 대한 자세한 내용은 위험 평가 v1을 참조하세요.
위험 평가 v2를 사용하려면 보안 점수 및 심각도 및 보안 프로필이라는 기본 개념을 이해해야 합니다.
보안 점수 및 심각도
보안 점수는 API 보안을 평가하고 환경에 적용된 보안 프로필의 보안 평가 및 가중치의 통과/실패 출력을 기반으로 합니다. 점수는 0%~100% 사이의 값입니다. 100%는 프록시가 평가를 완전히 준수하며 평가를 기반으로 위험이 발견되지 않았음을 나타냅니다.
위험 평가 v2는 보안 점수를 기반으로 하는 심각도 값도 제공합니다. 잠재적 심각도 값은 높음(0~50%), 중간(51~90%), 낮음(91~99%), 최소(100%/할당된 보안 프로필의 평가를 기반으로 위험이 발견되지 않음)입니다.
또한 보안 점수는 시간 경과에 따른 API의 보안 상황을 평가합니다. 예를 들어 변동이 있는 점수는 API 동작이 자주 변경되고 있음을 나타내며 바람직하지 않을 수 있습니다. 점수가 낮아질 수 있는 환경의 변화는 다음과 같습니다.
- 필요한 보안 정책 없이 여러 API 프록시 배포
- 흐름 후크 배포 및 FlowCallout 정책 추가를 통한 공유 흐름 수정
- 환경 또는 프록시 배포의 대상 서버 변경사항
정책이 프록시 보안 점수에 미치는 영향
프록시 평가의 경우 사용 중인 정책을 기반으로 보안 점수가 결정됩니다. 이러한 정책을 평가하는 방법은 흐름에 연결되었는지 여부와 그 방식에 따라 다릅니다.
- 흐름에 연결된 정책(사전 흐름, 조건부 흐름, 프록시 사후 흐름, 공유 흐름)만 점수에 영향을 줍니다. 흐름에 연결되지 않은 정책은 점수에 영향을 주지 않습니다.
- 프록시 점수에는 프록시가 흐름 후크를 통해 호출하는 공유 흐름 및 프록시의 FlowCallout 정책(FlowCallout 정책이 흐름에 연결된 경우)이 반영됩니다. 하지만 FlowCallout이 흐름에 연결되어 있지 않으면 연결된 공유 흐름의 정책이 보안 점수에 영향을 주지 않습니다.
- 연결된 공유 흐름은 최대 5단계까지 평가됩니다. 프록시 및 공유 흐름의 처음 5단계에 직접 포함된 모든 정책은 보안 점수에 반영됩니다.
- 조건부 흐름에 연결된 정책의 경우 보안 점수에는 정책의 존재 여부만 반영되며, 런타임에 정책이 적용되는지 여부 및 그 방식은 반영되지 않습니다.
보안 평가 및 가중치
보안 점수는 여기에 나열된 평가 카테고리를 기반으로 합니다.
점수는 프로필마다 다른 각 카테고리의 가중치도 고려하여 산정됩니다. 가중치는 프로필의 각 카테고리에 대해 중요, 중간, 경미로 설정되며 규칙이 점수에 미치는 영향에 영향을 줄 수 있습니다. 중요 가중치 카테고리에서 평가가 실패하면 중간 또는 경미한 가중치보다 부정적인 영향이 더 큽니다.
평가 카테고리 | 설명 | 무게 | 권장사항 |
---|---|---|---|
승인 | 승인 정책이 준비되었는지 확인합니다. | 전공 | 다음 정책 중 하나를 프록시에 추가합니다. |
승인 | 승인 정책의 'continueOnError' 속성이 false 로 설정되어 있는지 확인합니다. 여기에는 승인 정책이 적용되어 있는지 확인하는 작업도 포함됩니다. |
전공 | 사용 중인 승인 정책의 'continueOnError'를 false 로 설정합니다. |
CORS | AssignMessage 정책에 CORS 정책 또는 CORS 헤더가 있는지 확인합니다. | 전공 | CORS 정책을 프록시에 추가합니다. |
미디에이션 | 미디에이션 정책이 설정되었는지 확인합니다. | 전공 | 다음 정책 중 하나를 프록시에 추가합니다. |
대상 | 단방향 또는 mTLS 정책이 설정되어 있는지 확인합니다. | 전공 | 대상 서버에서 보안을 구성합니다. |
대상 | 엄격한 SSL 시행에 'enforce'가 true 로 설정되었는지 확인합니다. 여기에는 SSL 정책이 설정되었는지 확인하는 작업이 포함됩니다. |
전공 | Apigee와 대상 간에 엄격한 SSL에 대해 'enforce' 필드를 구성합니다. 엄격한 SSL 시행 구성을 참조하세요. |
위협 | 위협 보호 정책이 설정되었는지 확인합니다. | 전공 | 다음 정책 중 하나를 프록시에 추가합니다. |
위협 | 위협 정책의 'continueOnError' 속성이 false 로 설정되었는지 확인합니다. 여기에는 위협 정책이 적용되어 있는지 확인하는 것도 포함됩니다. |
전공 | 사용 중인 위협 정책의 'continueOnError'를 false 로 설정합니다. |
트래픽 관리 | 트래픽 관리 정책이 설정되었는지 확인합니다. | 전공 | 다음 정책 중 하나를 프록시에 추가합니다. |
보안 프로필 v2
보안 프로필은 API에 점수를 매기는 보안 평가 및 가중치 집합입니다.
기본 보안 프로필
지능화된 API 보안은 모든 평가가 포함된 기본 보안 프로필을 제공합니다. 기본 프로필을 사용할 경우 보안 점수는 모든 카테고리를 기반으로 합니다.
보안 점수 v2의 제한사항 및 알려진 문제
보안 점수에는 다음과 같은 제한사항 및 알려진 문제가 있습니다.
- 보안 점수는 환경에 프록시가 있는 경우에만 생성됩니다.
- 새로 배포된 프록시와 새로 사용 설정된 조직 및 환경에는 점수가 즉시 표시되지 않습니다.
- 현재 사용 가능한 유일한 보안 프로필은
google-default
프로필입니다. 커스텀 보안 프로필은 현재 지원되지 않습니다. - VPC-SC 지원 조직에서는 새로운 조직 사용 설정 및 프록시, 타겟, 공유 흐름 업데이트와 함께 점수 생성에 더 많은 시간이 소요되며 최대 3시간이 걸릴 수 있습니다.
데이터 지연
지능화된 API 보안의 보안 점수를 기준으로 하는 데이터에는 결과를 사용할 수 있기 전에 다음과 같은 처리 기간이 있습니다.
- 조직에서 지능화된 API 보안을 처음 사용 설정하면 기존 프록시와 대상의 점수가 환경에 반영되는 데 시간이 걸립니다. 가이드라인으로 구독 조직의 경우 30~90분, 사용한 만큼만 지불 조직의 경우 그보다 짧은 시간이 소요됩니다.
- 환경의 프록시(배포 및 배포 취소)와 대상(만들기, 업데이트, 삭제)과 관련된 새 이벤트는 환경 점수에 반영되는 데 60초~5분(매우 큰 환경의 경우)이 소요됩니다.
Apigee UI에서 위험 평가 보기
위험 평가 페이지에는 각 환경에서 API 보안을 측정하는 점수가 표시됩니다.
위험 평가 페이지를 열려면 다음 안내를 따르세요.
- Cloud 콘솔에서 Apigee UI를 엽니다.
- 지능화된 API 보안 > 위험 평가를 선택합니다.
그러면 위험 평가 페이지가 표시됩니다.
페이지에는 다음 섹션이 있습니다.
- 환경: 평가를 볼 환경을 선택합니다.
- 보안 프로필: 현재
google-default
만 사용 가능한 유일한 보안 프로필입니다. - 심각도별 배포된 프록시: 환경이 설정되면 페이지에 해당 환경의 프록시별 심각도 요약이 표시됩니다. 보안 점수 및 심각도를 참조하세요.
- 평가 세부정보: 선택한 환경의 보안 프로필, 평가 날짜 및 시간, 총 평가 구성, 배포된 총 프록시를 표시합니다. 평가된 총 구성 수는 수행된 총 '검사' 수를 반영합니다. 이 수는 프로필의 평가 수보다 클 수 있습니다. 'continueOnError' 속성이
false
로 설정되어 있는지 확인하는 것과 같은 일부 평가는 관련 정책이 적용되고 사용 설정되어 있는지도 확인합니다. - 배포된 프록시: 환경에 배포된 프록시와 위험 평가 점수에 대한 요약입니다.
- 프록시: 프록시의 이름입니다.
- 심각도: 프록시의 위험 평가 심각도입니다. 자세한 내용은 보안 점수 및 심각도를 참조하세요.
- 점수: 프록시의 위험 평가 점수입니다. 자세한 내용은 보안 점수 및 심각도를 참조하세요.
- 버전: 점수가 평가된 프록시 버전입니다.
- 가중치별 실패한 평가: 평가 가중치로 그룹화된 실패한 평가 수입니다.
- 권장사항: 프록시의 점수를 개선하기 위한 구체적인 권장사항입니다. 권장사항을 보려면 숫자를 클릭합니다.
위험 평가 v1
이 섹션에서는 위험 평가 v1에 대해 설명합니다. 위험 평가 v2에 대한 자세한 내용은 위험 평가 v2를 참조하세요.
보안 점수
보안 점수는 API 보안과 시간 경과에 따른 보안 상황을 평가합니다. 예를 들어 변동이 심한 점수는 API 동작이 자주 변경되고 있음을 나타내며 바람직하지 않을 수 있습니다. 점수가 낮아질 수 있는 환경의 변화는 다음과 같습니다.
- 필요한 보안 정책 없이 여러 API 프록시 배포
- 악의적인 소스의 악용 트래픽 급증
시간 경과에 따른 보안 점수 변화를 관측하면 환경에서 원치 않거나 의심스러운 활동을 나타내는 좋은 지표를 얻을 수 있습니다.
보안 점수는 점수를 평가할 보안 카테고리를 지정하는 보안 프로필을 기준으로 계산됩니다. Apigee의 기본 보안 프로필을 사용하거나 가장 중요한 보안 카테고리만 포함된 커스텀 보안 프로필을 만들 수 있습니다.
보안 점수 평가 유형
지능화된 API 보안에서 계산한 전체 보안 점수에 영향을 주는 평가 유형은 세 가지입니다.
소스 평가: 지능화된 API 보안 감지 규칙을 사용하여 감지된 악용 트래픽을 평가합니다. '악용'은 API에 의도되지 않은 목적으로 API에 전송된 요청을 나타냅니다.
- 프록시 평가: 다음 영역에서 프록시가 여러 보호 정책을 잘 구현했는지 정도를 평가합니다.
- 미디에이션: 환경의 모든 프록시에 OASValidation 또는 SOAPMessageValidation 미디에이션 정책 중 하나가 구성되었는지 확인합니다.
- 보안:
- 승인: 환경의 모든 프록시에 다음 승인 정책 중 하나가 구성되었는지 확인합니다.
- CORS: CORS가 구성되었는지 확인합니다.
- 위협: 환경의 모든 프록시에 XMLThreatProtection 또는 JSONThreatProtection 정책 중 하나가 구성되었는지 확인합니다.
자세한 내용은 정책이 프록시 보안 점수에 미치는 영향을 참조하세요.
- 대상 평가: 환경에서 대상 서버에 상호 전송 계층 보안(mTLS)이 구성되었는지 확인합니다.
이러한 각 평가 유형에는 자체 점수가 할당됩니다. 전체 점수는 개별 평가 유형의 평균 점수입니다.
정책이 프록시 보안 점수에 미치는 영향
프록시 평가의 경우 사용 중인 정책을 기반으로 보안 점수가 결정됩니다. 이러한 정책을 평가하는 방법은 흐름에 연결되었는지 여부와 그 방식에 따라 다릅니다.
- 흐름에 연결된 정책(사전 흐름, 조건부 흐름, 프록시 사후 흐름, 공유 흐름)만 점수에 영향을 줍니다. 흐름에 연결되지 않은 정책은 점수에 영향을 주지 않습니다.
- 프록시 점수에는 프록시가 흐름 후크를 통해 호출하는 공유 흐름 및 프록시의 FlowCallout 정책(FlowCallout 정책이 흐름에 연결된 경우)이 반영됩니다. 하지만 FlowCallout이 흐름에 연결되어 있지 않으면 연결된 공유 흐름의 정책이 보안 점수에 영향을 주지 않습니다.
- 공유 흐름 체이닝은 지원되지 않습니다. 공유 흐름 체인을 통해 포함된 정책은 보안 점수를 계산할 때 평가되지 않습니다.
- 조건부 흐름에 연결된 정책의 경우 보안 점수에는 정책의 존재 여부만 반영되며, 런타임에 정책이 적용되는지 여부 및 그 방식은 반영되지 않습니다.
보안 프로필
보안 프로필은 API에 점수를 매길 보안 카테고리 집합입니다(다음에 설명됨). 프로필 하나에 보안 카테고리의 모든 하위 집합이 포함될 수 있습니다. 환경 보안 점수를 보려면 먼저 보안 프로필을 환경에 연결해야 합니다. Apigee의 기본 보안 프로필을 사용하거나 중요한 보안 카테고리만 포함된 커스텀 보안 프로필을 만들 수 있습니다.
기본 보안 프로필
지능화된 API 보안은 모든 보안 카테고리가 포함된 기본 보안 프로필을 제공합니다. 기본 프로필을 사용할 경우 보안 점수는 모든 카테고리를 기반으로 합니다.
커스텀 보안 프로필
커스텀 보안 프로필을 사용하면 점수에 포함할 보안 카테고리만을 기준으로 보안 점수를 계산할 수 있습니다. 커스텀 프로필을 만드는 방법은 보안 프로필 만들기 및 수정을 참조하세요.
보안 카테고리
보안 점수는 다음에 설명된 보안 카테고리 평가를 기준으로 합니다.
카테고리 | 설명 | 권장사항 |
---|---|---|
악용 | 악용 검사: 대용량 요청, 데이터 스크래핑, 승인 관련 악용과 같은 원래 목적 이외의 목적으로 API에 전송된 요청이 포함됩니다. | 악용 권장사항을 참조하세요. |
승인 | 승인 정책이 준비되었는지 확인합니다. | 다음 정책 중 하나를 프록시에 추가합니다. |
CORS | CORS 정책이 설정되었는지 확인합니다. | CORS 정책을 프록시에 추가합니다. |
MTLS | 대상 서버에 mTLS(상호 전송 계층 보안)를 구성했는지 확인합니다. | 대상 서버 mTLS 구성을 참조하세요. |
미디에이션 | 미디에이션 정책이 설정되었는지 확인합니다. | 다음 정책 중 하나를 프록시에 추가합니다. |
위협 | 위협 보호 정책이 설정되었는지 확인합니다. | 다음 정책 중 하나를 프록시에 추가합니다. |
보안 점수 v1 제한사항
보안 점수에는 다음과 같은 제한사항이 있습니다.
- 조직당 커스텀 프로필을 최대 100개까지 만들 수 있습니다.
- 보안 점수는 환경에 프록시, 대상 서버, 트래픽이 있는 경우에만 생성됩니다.
- 새로 배포된 프록시는 점수가 즉시 표시되지 않습니다.
데이터 지연
지능화된 API 보안의 보안 점수를 기준으로 하는 데이터에는 데이터 처리 방식으로 인해 다음과 같은 지연이 발생합니다.
- 조직에서 지능화된 API 보안을 사용 설정하면 기존 프록시와 대상의 점수가 환경에 반영되는 데 최대 6시간이 걸릴 수 있습니다.
- 환경의 프록시(배포 및 배포 취소)와 대상(만들기, 업데이트, 삭제)과 관련된 새 이벤트에는 환경 점수에 반영되는 데 최대 6시간이 걸릴 수 있습니다.
- Apigee Analytics 파이프라인으로 들어가는 데이터는 평균적으로 최대 15~20분 정도까지 지연됩니다. 따라서 소스 점수 악용 데이터는 약 15~20분 정도까지 처리가 지연됩니다.
위험 평가 페이지 열기
위험 평가 페이지에는 각 환경에서 API 보안을 측정하는 점수가 표시됩니다.
위험 평가 페이지가 로드되는 데 몇 분 정도 걸릴 수 있습니다. 트래픽이 많고 프록시 및 대상 수가 많은 환경에서 페이지를 로드하려면 시간이 더 오래 걸립니다.
Cloud 콘솔의 Apigee
위험 평가 페이지를 열려면 다음 안내를 따르세요.
- Cloud 콘솔에서 Apigee UI를 엽니다.
- 지능화된 API 보안 > 위험 평가를 선택합니다.
그러면 위험 평가 페이지가 표시됩니다.
이 페이지에는 다음 섹션에 설명되어 있는 탭 2개가 있습니다.
- 보안 점수: 보안 점수를 봅니다.
- 보안 프로필: 보안 프로필을 보고 만들고 수정합니다.
보안 점수 보기
보안 점수를 보려면 보안 점수 탭을 클릭합니다.
환경에 보안 프로필 연결의 설명대로 보안 프로필을 연결할 때까지 환경 점수가 계산되지 않습니다. Apigee에서 기본 보안 정책을 제공하거나 개발자가 보안 프로필 만들기 및 수정의 설명대로 커스텀 프로필을 만들 수 있습니다.
보안 점수 표에는 다음 열이 표시됩니다.
- 환경: 점수가 계산되는 환경입니다.
- 위험 수준: 환경의 위험 수준(낮음, 보통 또는 심각일 수 있음)입니다.
- 보안 점수: 환경의 총점(1200점)입니다.
- 총 추천 수: 제공된 추천 항목 수입니다.
- 프로필: 연결된 보안 프로필의 이름입니다.
- 최종 업데이트: 보안 점수가 업데이트된 최근 날짜입니다.
- 작업: 환경의 행에서 점 3개로 된 메뉴를 클릭하여 다음 작업을 수행합니다.
- 프로필 연결: 환경에 보안 프로필을 연결합니다.
- 프로필 분리: 환경에서 보안 프로필을 분리합니다.
환경에 보안 프로필 연결
환경의 보안 점수를 보려면 먼저 다음과 같이 보안 프로필을 환경에 연결해야 합니다.
- 작업 아래에서 해당 환경의 행에서 점 3개로 된 메뉴를 클릭합니다.
- 프로필 연결을 클릭합니다.
- 프로필 연결 대화상자에서 다음을 수행합니다.
- 프로필 필드를 클릭하고 연결하려는 프로필을 선택합니다. 커스텀 보안 프로필을 만들지 않았으면 사용 가능한 유일한 프로필은 기본입니다.
- 할당을 클릭합니다.
환경에 보안 프로필을 연결하면 지능화된 API 보안에서 즉시 이를 평가하고 점수를 매깁니다. 점수가 표시되는 데 몇 분 정도 걸릴 수 있습니다.
전체 점수는 3가지 평가 유형의 개별 점수로 계산됩니다.
- 소스 평가
- 프록시 평가
- 대상 평가
모든 점수는 200~1200 범위입니다. 평가 점수가 높을수록 보안 위험이 낮음을 나타냅니다.
점수 보기
한 환경에 보안 프로필을 연결한 후 해당 환경의 점수 및 권장사항을 볼 수 있습니다. 이렇게 하려면 기본 보안 점수 페이지에서 해당 환경의 행을 클릭합니다. 이렇게 하면 아래 표시된 대로 환경의 점수가 표시됩니다.
뷰에 탭 4개가 표시됩니다.
개요
개요 탭에는 다음이 표시됩니다.
- 각 평가의 주요 특징은 다음과 같습니다.
- 다음을 포함한 소스 평가, 프록시 평가, 대상 평가에 대한 요약:
- 각 평가 유형의 최신 점수를 제공합니다.
- 소스 평가 창에 감지된 악용 트래픽 및 IP 주소 수가 표시됩니다.
- 프록시 평가 및 대상 평가 창에 이러한 평가의 위험 수준이 표시됩니다.
- 요약 창에서 평가 세부정보 보기를 클릭하여 해당 평가 유형의 세부정보를 확인합니다.
- 평가 기록: 최근 기간 동안의 환경 일일 총 점수 그래프를 표시합니다. 3일 또는 7일을 선택할 수 있습니다. 기본적으로 그래프에는 3일이 표시됩니다. 그래프에는 동일한 기간의 평균 총 점수도 표시됩니다.
점수는 평가할 대상이 있는 경우에만 평가 유형에 대해 계산됩니다. 예를 들어 대상 서버가 없으면 대상 점수가 보고되지 않습니다.
소스 평가
소스 평가 탭을 클릭하여 환경의 평가 세부정보를 확인합니다.
평가 세부정보 오른쪽에 있는 펼치기 아이콘을 클릭하여 최근 기간의 소스 평가 그래프를 확인합니다. 3일 또는 7일을 선택할 수 있습니다.
소스 창에는 다음 정보가 있는 테이블이 표시됩니다.
- 카테고리: 평가의 카테고리입니다.
- 위험 수준: 카테고리의 위험 수준입니다.
- 보안 점수: 악용 카테고리의 보안 점수입니다.
- 추천: 카테고리의 추천 항목 수입니다.
소스 세부정보
소스 세부정보 창에는 다음을 포함하여 환경에서 감지된 악용 트래픽에 대한 세부정보가 표시됩니다.
- 트래픽 세부정보:
- 감지된 트래픽: 악용 소스로 감지된 IP 주소에서 발생한 API 호출 수입니다.
- 총 트래픽: 이루어진 총 API 호출 수입니다.
- 감지된 IP 주소 수: 악용 소스로 감지된 고유 IP 주소 수입니다.
- 관찰 시작 시간(UTC): 트래픽이 모니터링된 기간의 시작 시간(UTC)입니다.
- 관찰 종료 시간(UTC): 트래픽이 모니터링된 기간의 종료 시간(UTC)입니다.
- 평가 날짜: 평가가 수행된 날짜와 시간입니다.
- 점수 향상을 위한 권장사항입니다. 악용 트래픽 처리 방법에 대한 추가 권장사항은 악용 권장사항을 참조하세요.
소스 평가에서 발생한 문제를 처리하기 위한 보안 작업을 만들려면 보안 작업 만들기 버튼을 클릭합니다.
프록시 평가
API 프록시 평가는 환경의 모든 프록시에 대한 점수를 계산합니다. 프록시 평가를 보려면 프록시 평가 탭을 클릭합니다.
프록시 창에는 다음 정보가 포함된 표가 표시됩니다.
- 프록시: 평가 중인 프록시입니다.
- 위험 수준: 프록시의 위험 수준입니다.
- 보안 점수: 프록시의 보안 점수입니다.
- 주의 필요: 프록시 점수를 개선하기 위해 해결해야 하는 평가 카테고리입니다.
- 추천: 프록시의 추천 항목 수입니다.
테이블에서 프록시 이름을 클릭하여 프록시 편집기를 엽니다. 여기에서 프록시에 추천된 변경사항을 적용할 수 있습니다.
프록시 권장사항
점수가 낮은 프록시가 있는 경우 추천 창에서 점수를 개선하기 위한 추천 항목을 볼 수 있습니다. 프록시에 대한 추천을 보려면 프록시 창에서 프록시의 주의 필요 열을 클릭합니다.
추천 창에 다음이 표시됩니다.
- 평가 날짜: 평가가 수행된 날짜와 시간입니다.
- 점수 향상을 위한 권장사항입니다.
대상 평가
대상 평가는 환경의 각 대상 서버에 대한 상호 전송 계층 보안(mTLS) 점수를 계산합니다. 목표 점수는 다음과 같이 할당됩니다.
- TLS 없음: 200
- 단방향 TLS 있음: 900
- 양방향 또는 mTLS 있음: 1200
대상 평가를 보려면 대상 평가 탭을 클릭합니다.
대상 창에는 다음 정보가 표시됩니다.
- 대상: 대상의 이름입니다.
- 위험 수준: 대상의 위험 수준입니다.
- 보안 점수: 대상의 보안 점수입니다.
- 주의 필요: 대상 점수를 개선하기 위해 해결해야 하는 평가 카테고리입니다.
- 추천: 대상의 추천 항목 수입니다.
테이블에서 대상 이름을 클릭하여 Apigee UI의 관리 > 환경 페이지에서 대상 서버 탭을 엽니다. 대상에 추천된 작업을 적용할 수 있습니다.
대상 권장사항
점수가 낮은 대상 서버가 있는 경우 추천 창에서 점수를 개선하기 위한 추천 항목을 볼 수 있습니다. 대상에 대한 추천을 보려면 대상 창에서 대상의 주의 필요 열을 클릭합니다.
추천 창에 다음이 표시됩니다.
- 평가 날짜: 평가가 수행된 날짜와 시간입니다.
- 점수 향상을 위한 권장사항입니다.
보안 프로필 만들기 및 수정
보안 프로필을 만들거나 수정하려면 보안 프로필 탭을 선택합니다.
보안 프로필 탭에는 다음 정보가 포함된 보안 프로필 목록이 표시됩니다.
- 이름: 프로필 이름입니다.
- 카테고리: 프로필에 포함된 보안 카테고리입니다.
- 설명: 프로필에 대한 선택적 설명입니다.
- 환경: 프로필이 연결된 환경입니다. 이 열이 비어 있으면 프로필이 어떤 환경에도 연결되지 않습니다.
- 최종 업데이트(UTC): 프로필이 마지막으로 업데이트된 날짜와 시간입니다.
- 작업: 다음 항목이 있는 메뉴입니다.
보안 프로필 세부정보 보기
보안 프로필 세부정보를 보려면 프로필 행에서 해당 이름을 클릭합니다. 이렇게 하면 다음과 같이 프로필 세부정보가 표시됩니다.
세부정보 탭의 첫 번째 행에는 프로필의 최신 버전 번호인 버전 ID가 표시됩니다. 프로필을 수정하고 보안 카테고리를 변경하면 버전 ID가 1씩 증가합니다. 그러나 프로필 설명을 변경해도 버전 ID는 증가하지 않습니다.
아래 행에는 보안 프로필 탭의 프로필 행에 표시된 동일한 정보가 표시됩니다.
프로필 세부정보 뷰에는 수정 및 삭제 라벨이 지정된 버튼도 있습니다. 이러한 버튼은 보안 프로필을 수정 또는 삭제하는 데 사용될 수 있습니다.
기록
프로필 기록을 보려면 기록 탭을 클릭합니다. 그러면 프로필의 모든 버전 목록이 표시됩니다. 버전마다 목록이 표시됩니다.
- 버전 ID: 버전 번호입니다.
- 카테고리: 프로필 버전에 포함된 보안 카테고리입니다.
- 최종 업데이트(UTC): 버전이 생성된 날짜와 시간(UTC)입니다.
커스텀 보안 프로필 만들기
새 커스텀 보안 프로필을 만들려면 다음 안내를 따르세요.
- 페이지 상단의 만들기를 클릭합니다.
- 대화상자가 열리면 다음 정보를 입력합니다.
- 이름: 프로필 이름입니다. 이름은 소문자, 숫자 또는 하이픈 등 1~63자로 구성되어야 하며 문자로 시작하고 문자나 숫자로 끝나야 합니다. 이름은 기존 프로필 이름과 달라야 합니다.
- (선택사항) 설명: 프로필에 대한 설명입니다.
- 카테고리 필드에서 프로필에 포함할 평가 카테고리를 선택합니다.
커스텀 보안 프로필 수정
커스텀 보안 프로필을 수정하려면 다음 안내를 따르세요.
- 보안 프로필 행 끝에 있는 작업 메뉴를 클릭합니다.
- 수정을 선택합니다.
- 보안 프로필 수정 페이지에서 다음 항목을 변경할 수 있습니다.
- 설명: 보안 프로필에 대한 선택적 설명입니다.
- 카테고리: 프로필에 선택된 보안 카테고리입니다. 드롭다운 메뉴를 클릭하고 메뉴에서 카테고리를 선택하거나 선택 해제하여 선택한 카테고리를 변경합니다.
- 확인을 클릭합니다.
커스텀 보안 프로필 삭제
보안 프로필을 삭제하려면 프로필 행 끝에 있는 작업을 클릭하고 삭제를 선택합니다. 프로필을 삭제하면 모든 환경에서 프로필이 분리됩니다.
기본 Apigee UI
보안 점수 뷰를 열려면 다음 안내를 따르세요.
- 기본 Apigee UI를 엽니다.
- 분석 > API 보안 > 보안 점수를 선택합니다.
이렇게 하면 보안 점수 뷰가 표시됩니다.
보안 프로필을 환경에 연결할 때까지 환경 점수가 계산되지 않습니다. Apigee에서 기본 보안 정책을 제공하거나 개발자가 Apigee API를 사용하여 커스텀 프로필을 만들 수 있습니다. 자세한 내용은 커스텀 보안 프로필 사용을 참조하세요.
위 그림에서는 integration
환경에 연결된 보안 프로필이 없으므로 해당 환경의 프로필 이름 열이 설정되지 않음으로 표시됩니다.
보안 점수 표에는 다음 열이 표시됩니다.
- 환경: 점수가 계산되는 환경입니다.
- 최신 점수: 환경의 최근 총점(1200점)입니다.
- 위험 수준: 낮음, 보통 또는 심각일 수 있는 위험 수준입니다.
- 총 추천 수: 제공된 추천 항목 수입니다. 각 권장사항은 주의 필요 테이블의 행에 해당합니다.
- 프로필 이름: 보안 프로필 이름입니다.
- 평가 날짜: 보안 점수가 계산된 최근 날짜입니다.
환경에 보안 프로필 연결
환경의 보안 점수를 보려면 먼저 다음과 같이 보안 프로필을 환경에 연결해야 합니다.
- 작업 아래에서 해당 환경의 행에서 점 3개로 된 메뉴를 클릭합니다.
- 프로필 연결을 클릭합니다.
- 프로필 연결 대화상자에서 다음을 수행합니다.
- 프로필 필드를 클릭하고 연결하려는 프로필을 선택합니다. 커스텀 보안 프로필을 만들지 않았으면 사용 가능한 유일한 프로필은 기본입니다.
- 할당을 클릭합니다.
환경에 보안 프로필을 연결하면 지능화된 API 보안에서 즉시 이를 평가하고 점수를 매깁니다. 점수가 표시되는 데 몇 분 정도 걸릴 수 있습니다.
다음 이미지에서는 기본 보안 프로필이 연결된 환경의 보안 점수 뷰를 보여줍니다.
환경의 행에는 이제 최신 보안 점수, 위험 수준, 수행할 보안 조치에 대한 권장사항 개수, 점수 평가 날짜가 표시됩니다.
전체 점수는 3가지 평가 유형의 개별 점수로 계산됩니다.
- 소스 평가
- 프록시 평가
- 대상 평가
모든 점수는 200~1200 범위입니다. 점수가 높을수록 보안 평가가 높습니다.
점수 보기
한 환경에 보안 프로필을 연결한 후 해당 환경의 점수 및 권장사항을 볼 수 있습니다. 이렇게 하려면 기본 보안 점수 뷰에서 해당 환경의 행을 클릭합니다. 이렇게 하면 아래 표시된 대로 환경의 점수가 표시됩니다.
뷰에 다음이 표시됩니다.
- 소스, 프록시, 대상의 최신 점수입니다. 이러한 창에서 평가 세부정보 보기를 클릭하여 해당 유형의 평가를 확인합니다.
- 환경 점수 기록: 지난 5일 동안의 환경 일일 총 점수 그래프와 동일한 기간의 평균 총 점수를 표시합니다.
- 보안을 향상시킬 수 있는 API의 평가 유형이 나열된 주의 필요 테이블입니다.
점수는 평가할 대상이 있는 경우에만 평가 유형에 대해 계산됩니다. 예를 들어 대상 서버가 없으면 대상 점수가 보고되지 않습니다.
다음 섹션에서는 각 유형의 평가를 보는 방법을 설명합니다.
주의 필요 테이블
위에 표시된 주의 필요 테이블에는 점수가 1200점 미만인 API 카테고리가 다음과 함께 나열됩니다.
- 카테고리의 최신 점수
- 카테고리 위험 수준(낮음, 보통 또는 심각일 수 있음)
- 평가 날짜
- 평가 유형
추천 보기
지능화된 API 보안은 테이블의 행마다 점수가 향상될 수 있도록 권장사항을 제공합니다. 다음 섹션의 설명대로 각 유형(소스, 프록시 또는 대상)의 평가 세부정보 뷰에서 권장사항을 볼 수 있습니다.
다음 방법 중 하나로 평가 세부정보 뷰를 열 수 있습니다.
- 기본 보안 점수 뷰의 창에서 평가 세부정보 보기를 클릭합니다.
- 주의 필요 테이블에서 다음을 수행합니다.
- 테이블에서 카테고리 그룹을 펼칩니다.
- 추천 항목을 보려는 카테고리를 클릭합니다. 그러면 권장사항에 해당하는 평가 세부정보 뷰가 열립니다.
소스 평가
소스 평가는 환경에 대한 악용 점수를 계산합니다. '악용'은 API에 의도되지 않은 목적으로 API에 전송된 요청을 나타냅니다.
소스 평가를 보려면 소스 창에서 뷰를 클릭하여 API 소스 평가 뷰를 엽니다.
소스 점수 기록에는 지난 5일 동안의 점수와 평균 및 최신 점수가 표시됩니다. 평가 세부정보 테이블에는 평가 카테고리의 최신 개별 점수가 표시됩니다.
소스 권장사항
점수가 낮은 카테고리가 있으면 개선하기 위한 추천 항목을 볼 수 있습니다. 악용 카테고리에 대한 추천 항목을 보려면 평가 세부정보 테이블에서 해당 행을 클릭합니다. 그러면 권장사항 창에 권장사항이 표시됩니다.
악용 세부정보를 상세히 살펴보려면 세부정보 보기를 클릭합니다. 이렇게 하면 감지된 트래픽 페이지의 감지된 트래픽 뷰가 열립니다. 감지된 트래픽 뷰에는 감지된 악용에 대한 세부정보가 표시됩니다.
세부정보 보기 줄 아래에 권장사항 창이 표시됩니다.
- 권장사항: '악용 감지로 식별된 트래픽을 차단하거나 허용'이 표시됩니다.
- 작업 행에는 악용 권장사항에 대한 문서 링크가 표시됩니다.
프록시 평가
API 프록시 평가는 환경의 모든 프록시에 대한 점수를 계산합니다. 프록시 평가를 보려면 프록시 창에서 보기를 클릭하여 API 프록시 평가 뷰를 엽니다.
프록시 점수 기록에는 지난 5일 동안의 점수와 평균 및 최신 점수가 표시됩니다. 평가 세부정보 테이블에는 평가 카테고리의 최신 개별 점수가 표시됩니다.
프록시 권장사항
점수가 낮은 프록시가 있으면 개선하기 위한 권장사항을 볼 수 있습니다. 예를 들어 hellooauth2 프록시에 대한 권장사항을 보려면 평가 세부정보 표에서 해당 행을 클릭합니다. 그러면 권장사항 창에 권장사항이 표시됩니다. 그 중 두 개가 다음에 나와 있습니다.
대상 평가
대상 평가는 환경의 각 대상 서버에 대한 mTLS 점수를 계산합니다. 목표 점수는 다음과 같이 할당됩니다.
- TLS 없음: 200
- 단방향 TLS 있음: 900
- 양방향 또는 mTLS 있음: 1200
대상 평가를 보려면 대상 창에서 뷰를 클릭하여 API 대상 평가 뷰를 엽니다.
목표 점수 기록에는 지난 5일 동안의 점수와 평균 및 최신 점수가 표시됩니다. 평가 세부정보 테이블에는 평가 카테고리의 최신 개별 점수가 표시됩니다.
대상 권장사항
점수가 낮은 대상 서버가 있으면 개선하기 위한 권장사항을 볼 수 있습니다. 대상 서버의 평가를 보려면 해당 행을 클릭합니다. 그러면 권장사항 창에 권장사항이 표시됩니다.
악용 권장사항
소스 점수가 낮은 경우 악용이 감지된 IP를 검토하는 것이 좋습니다. 그런 다음 이러한 IP의 트래픽이 악용되는 경우 보안 작업 페이지를 사용하여 악용 트래픽의 소스인 IP 주소의 요청을 차단합니다.
악용에 대한 자세한 내용을 보려면 다음 리소스 중 하나를 사용하면 됩니다.
- 악용 감지 페이지: 악용 트래픽과 관련된 보안 이슈에 대한 정보를 표시합니다.
- 보안 보고서 페이지.
예를 들어 다음 보고서를 만들 수 있습니다.
- 예시: 봇 IP 주소 보고서에 설명된 대로 봇의 IP 주소
- 예시: 봇 사유별 봇 트래픽 보고서에 설명된 대로 .bot_reaso별 봇 트래픽