Esta página foi traduzida pela API Cloud Translation.

Vista geral e IU da avaliação de risco

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Vista geral

A avaliação de risco de segurança avançada da API avalia continuamente as configurações do proxy de API e calcula as classificações de segurança para ajudar a identificar e resolver vulnerabilidades nas suas APIs.

A avaliação de risco ajuda a:

Aplique padrões de segurança consistentes em todas as APIs.
Detetar configurações incorretas nas configurações de APIs.
Melhore a sua pontuação de segurança geral com ações recomendadas.
Investigue e resolva rapidamente problemas de segurança através de um painel de controlo centralizado.

Além de avaliar o risco atual de cada proxy, a avaliação de risco pode ser usada para monitorizar a postura de segurança das suas APIs ao longo do tempo. Uma pontuação de avaliação que flutua pode indicar que o comportamento da API está a mudar frequentemente, incluindo proxies implementados sem as políticas de segurança necessárias, modificações do fluxo partilhado através de implementações de hooks de fluxo e adições de políticas FlowCallout, bem como alterações do servidor de destino em implementações de ambiente ou proxy.

Pode aceder à avaliação de risco através da IU do Apigee, conforme descrito nesta página, ou através da API de perfis e pontuações de segurança.

Consulte Funções necessárias para a avaliação de riscos para ver as funções necessárias para realizar tarefas de avaliação de riscos.

Para usar esta funcionalidade, tem de ativar o suplemento. Se for cliente de uma subscrição, pode ativar o suplemento para a sua organização. Consulte o artigo Faça a gestão da segurança avançada da API para organizações de subscrição para obter mais detalhes. Se for cliente de pagamento conforme o uso, pode ativar o suplemento nos seus ambientes elegíveis. Para mais informações, consulte o artigo Faça a gestão do suplemento de segurança avançada da API.

Avaliação de risco v1 e v2

A avaliação de risco está disponível em duas versões: avaliação de risco v1, que está disponível de forma geral, e avaliação de risco v2, que está em pré-visualização. A utilização de qualquer uma das versões requer o suplemento de segurança avançada da API.

As principais diferenças entre as funcionalidades da v1 e da v2 são:

A v2 inclui:
- Fiabilidade melhorada, incluindo cálculos de pontuação mais rápidos com dados de proxy recentes
- Cálculo da pontuação sem necessidade de anexar primeiro um perfil de segurança a um ambiente
- Apresentação simplificada da pontuação, baseada numa escala de 0% a 100%
- O conceito de pesos de verificação de avaliação, que a v1 não suporta. Consulte Conceitos e pontuação da avaliação de risco.
- Avaliações adicionais em relação à v1, que verificam mais políticas ao calcular as classificações. Por exemplo, a v1 suporta cinco políticas relacionadas com a autorização e a autenticação, enquanto a v2 suporta oito. Além disso, a v2 inclui uma categoria de gestão de tráfego com políticas associadas e realiza verificações adicionais nas políticas, incluindo para o atributo continueOnError.
- Verificações de fluxos partilhados aninhados e hooks de fluxo até cinco níveis de aninhamento. A v1 não avalia as políticas incluídas através do encadeamento de fluxos partilhados.
- Substituição das classificações de destino (classificações de servidores de destino) por avaliações baseadas em proxy e recomendações. Se for usado um destino num proxy, as classificações de segurança desse proxy incluem também a classificação do servidor de destino.
- Perfis personalizados que usam as novas verificações de avaliação v2, bem como o perfil do sistema.google-default
- Monitorização das classificações e métricas de segurança ao longo do tempo através do Cloud Monitoring e configuração de alertas através dos alertas do Cloud Monitoring.
A v2 não suporta a avaliação da origem com base no tráfego abusivo.

Avaliação de risco v2

Esta secção descreve a avaliação de risco v2, a nova versão da avaliação de risco. Alguns conceitos e comportamentos de avaliação de risco diferem entre a v1 e a v2. Para utilização com a API Risk Assessment v1, consulte a API Risk Assessment v1.

Conceitos e metodologia de pontuação da avaliação de risco v2

As pontuações de segurança da avaliação de risco avaliam o risco de segurança das suas APIs com base na pontuação das avaliações de segurança e nos pesos num perfil de segurança.

A pontuação da avaliação de risco baseia-se no seguinte:

Avaliações e verificações de avaliações: as verificações individuais realizadas em proxies e em que os proxies são classificados. Cada verificação também tem um peso, o que confere a uma verificação mais ou menos importância quando avaliada em comparação com um proxy. As ponderações são definidas como menor, moderada ou maior para cada verificação. Cada ponderação tem um valor em pontos que é usado para calcular uma pontuação:
- Menor: 1
- Moderada: 5
- Major: 15
Perfil de segurança: uma coleção de verificações de avaliação, com base nas quais os proxies implementados num ambiente são avaliados.
Pontuação de segurança: a pontuação de um proxy após a avaliação em relação a um perfil de segurança.

A pontuação é um valor entre 0% e 100%. 100% indica que o proxy está totalmente em conformidade com a avaliação e que não foram encontrados riscos com base nas verificações da avaliação.

A pontuação de segurança é essencialmente o total de todos os pontos atribuídos por verificações de avaliação aprovadas dividido pelo total de pontos potenciais no perfil. A pontuação é uma média ponderada, pelo que, quanto mais políticas o perfil de segurança tiver, menor é o impacto de cada verificação de avaliação na pontuação de segurança.

A ponderação da verificação de avaliação também afeta a pontuação de segurança. As ponderações mais elevadas têm mais impacto no cálculo e as ponderações mais baixas têm menos impacto, usando o valor em pontos para cada ponderação. Se os pesos forem iguais para todas as verificações de avaliação no perfil de segurança (como quando todas as verificações de avaliação têm um peso médio), a pontuação de segurança é calculada como uma média normal.
Gravidade: um valor de gravidade para cada proxy avaliado, com base na pontuação de segurança. Os valores de gravidade potenciais são elevados (0 a 50%), médios (51 a 90%), baixos (91 a 99%) e mínimos (100%/nenhum risco encontrado com base nas avaliações no perfil de segurança atribuído).

Categorias e verificações de avaliação

Esta tabela mostra as categorias de avaliação e as verificações individuais que podem fazer parte dos perfis de segurança. Também mostra recomendações sobre como resolver as avaliações com falhas para cada um.

Categoria de avaliação Descrição

Autenticação

Neste caso, "Auth" significa autorização e autenticação. Avaliações de autorização Verifique se tem políticas de autorização e autenticação implementadas e se o atributo continueOnError para políticas de autorização está definido como false.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação das políticas de autorização / `auth-policies-check`	Verifique se alguma das seguintes políticas de autorização está ativada: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS ou VerifyJWT policy.	Pelo menos uma das políticas necessárias para o proxy
continueOnError check in auth policies / `continue-on-error-auth-policies-check`	Verifica se o campo `continueOnError` está ativado em todas as políticas de autenticação no proxy. Isto envolve verificar se está a ser usada uma política de autorização e esta verificação não tem impacto se não existirem políticas de autorização no proxy.	Defina `continueOnError` como falso para todas as políticas de autorização incluídas no proxy.
Verificação da política AccessControl / `access-control-policy-check`	Se a política AccessControl está em utilização.	Adicione a política AccessControl ao proxy.
Verificação da política de autenticação básica / `basic-auth-policy-check`	Se a política BasicAuthentication está em utilização.	Adicione a política BasicAuthentication ao proxy.
Verificação da política de HMAC / `hmac-policy-check`	Indica se a política HMAC está em utilização.	Adicione a política HMAC ao proxy.
Verificação da política OAuthV2 / `oauthv2-policy-check`	Se a política OAuth está em utilização.	Adicione a política OAuthV2 ao proxy.
Verificação da política ValidateSAMLAssertion / `validate-saml-assertion-policy-check`	Se a política ValidateSAMLAssertion está a ser usada.	Adicione a política ValidateSAMLAssertion ao proxy.
Política VerifyAPIKey / `verify-api-key-policy-check`	Se a política VerifyAPIKey está em utilização.	Adicione a política VerifyAPIKey ao proxy.
Política VerifyJWS / `verify-jws-policy-check`	Se a política VerifyJWS está em utilização.	Adicione a política VerifyJWS ao proxy.
Política VerifyJWT / `verify-jwt-policy-check`	Se a política VerifyJWT está em utilização.	Adicione a política VerifyJWT ao proxy.

CORS

Verifica se existe uma política do CORS ou um cabeçalho do CORS na política AssignMessage.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação das políticas de CORS / `cors-policies-check`	Verifique se existe uma política de CORS ou um cabeçalho CORS na política AssignMessage.	Adicione a política CORS ou a política AssignMessage com os cabeçalhos CORS ao proxy.
Verificação da política de CORS / `cors-policy-check`	Verifique se está a ser usada uma política CORS.	Adicione a política CORS ao proxy.
Verificação da política AssignMessage do CORS / `cors-assignmessage-policy-check`	Verifique se os cabeçalhos CORS são adicionados numa política AssignMessage.	Adicione a política AssignMessage com cabeçalhos CORS ao proxy.

Mediação

Verifica se uma política de mediação está ativada.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação das políticas de mediação / `mediation-policies-check`	Verifique se alguma das seguintes políticas de mediação está ativada: SOAPMessageValidation ou OASValidation.	Adicione uma das seguintes políticas de mediação ao seu proxy: SOAPMessageValidation ou OASValidation.
Verificação da política SOAPMessageValidation / `soap-validation-policy-check`	Verifique se a política SOAPMessageValidation está em utilização.	Adicione a política SOAPMessageValidation ao proxy.
Verificação da política de validação da OAS / `oas-validation-policy-check`	Verifique se a política OASValidation está a ser usada.	Adicione a política OASValidationCheck ao proxy.

Destino

Verifica se são usadas proteções do servidor de destino. Para ver informações sobre a configuração do servidor de destino, consulte o artigo Equilibrar a carga entre servidores de back-end.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação de TLS do servidor de destino / `tls-target-server-check`	Verifique a existência de TLS/SSL nos servidores de destino.	Configure o TLS/SSL em todos os servidores de destino configurados no proxy para comunicações seguras.
Verificação de mTLS do servidor de destino / `mtls-target-server-check`	Verifique se existe mTLS nos servidores de destino.	Configure o mTLS em todos os servidores de destino configurados no proxy para máxima segurança.
Verificação do campo de aplicação do servidor de destino / `target-enforce-field-check`	Verifique se o campo `Enforce` está ativado na configuração do servidor de destino.	Configure o campo Enforce para aplicar o SSL rigoroso entre o proxy do Apigee e o destino.

Ameaça

Verifica se são usadas políticas de prevenção de ameaças.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação de políticas de ameaças / `threat-policies-check`	Verifique se alguma das seguintes políticas de ameaças está ativada: JSONThreatProtection, RegularExpressionProtection, ou XMLThreatProtection.	Adicione uma das políticas de ameaças necessárias ao seu proxy.
continueOnError check in threat policies / `continue-on-error-threat-policies`	Verifique se o campo `continueOnError` está ativado em todas as políticas de ameaças usadas no proxy. Isto envolve verificar se está a ser usada uma política de ameaças e esta verificação não tem impacto se não existirem políticas de ameaças no proxy.	Defina `continueOnError` como `false` para todas as políticas de ameaças em utilização no proxy.
Verificação da política JSONThreatProtection / `json-threat-protection-policy-check`	Verifique se a política JSONThreatProtection está a ser usada.	Adicione a política JSONThreatProtection ao proxy.
Verificação da política RegularExpressionProtection / `regex-protection-policy-check`	Verifique se a política RegularExpressionProtection está a ser usada.	Adicione a política RegularExpressionProtection ao proxy.
Verificação da política XMLThreatProtection / `xml-threat-protection-policy-check`	Verifique se a política XMLThreatProtection está em utilização.	Adicione a política XMLThreatProtection ao proxy.

Trânsito

Verifica se tem políticas de gestão de tráfego implementadas.

Verificação / nome da avaliação	Descrição	Recomendação
Verificação das políticas de gestão de tráfego / `traffic-management-policies-check`	Verifique se alguma das seguintes políticas de gestão de tráfego está ativada: LookupCache, Quota, ResponseCache, ou SpikeArrest.	Adicione uma das políticas de gestão de tráfego ao seu proxy.
Verificação da política LookupCache / `lookup-cache-policy-check`	Verifique se a política LookupCache está ativada.	Adicione a política LookupCache ao proxy.
Verificação da política de quotas / `quota-policy-check`	Verifique se a política de quota está a ser usada.	Adicione a política de quotas ao proxy.
Verificação da política ResponseCache / `response-cache-policy-check`	Verifique se a política ResponseCache está em utilização.	Adicione a política ResponseCache ao proxy.
Verificação da política SpikeArrest / `spike-arrest-policy-check`	Verifique se a política SpikeArrest está a ser usada.	Adicione a política SpikeArrest ao proxy.

Anexo de políticas e pontuações de segurança de proxy

Para avaliações de proxy, as pontuações de segurança baseiam-se nas políticas que está a usar. A forma como essas políticas são avaliadas depende de se estão ou não anexadas a fluxos e de como estão anexadas:

Apenas as políticas anexadas a um fluxo (preflow, conditional flow, post flow em proxies ou fluxo partilhado) afetam as classificações. As políticas que não estão anexadas a nenhum fluxo não afetam as classificações.
As classificações de proxy têm em conta os fluxos partilhados e as chamadas de proxy através de hooks de fluxo e políticas FlowCallout no proxy, desde que a política FlowCallout esteja anexada a um fluxo. No entanto, se o FlowCallout não estiver associado a um fluxo, as políticas do respetivo fluxo partilhado associado não afetam as pontuações de segurança.
Os fluxos partilhados encadeados são avaliados até cinco níveis de profundidade. Todas as políticas incluídas diretamente no proxy e nos primeiros cinco níveis de fluxos partilhados são contabilizadas para a pontuação de segurança.
Para políticas anexadas a fluxos condicionais, as classificações de segurança só têm em conta se as políticas estão presentes. Não têm em conta se nem como as políticas são aplicadas em tempo de execução.

Perfis de segurança v2

Um perfil de segurança é um conjunto de avaliações e ponderações de segurança para classificar proxies de API. Pode usar o perfil de segurança predefinido da Apigee, denominado google-default, ou criar um perfil de segurança personalizado que contenha apenas as categorias de segurança e os pesos que quer avaliar.

Quando trabalha com perfis de segurança ou cria perfis de segurança personalizados, tenha em atenção que várias verificações de avaliação numa categoria são avaliadas individualmente.

Por exemplo, se existirem três verificações de políticas de autenticação num perfil de segurança e o proxy avaliado incluir uma das três, a pontuação da avaliação inclui pontos completos para a política encontrada e zero pontos para as outras duas políticas que não estão presentes. Neste exemplo, o proxy avaliado não receberia a pontuação máxima nas verificações de políticas de autenticação, mesmo que inclua uma política de autenticação. Tenha cuidado com a interpretação da pontuação de segurança e a conceção do perfil de segurança, dado este comportamento.

Perfil de segurança predefinido

A segurança avançada da API fornece um perfil de segurança predefinido que contém todas as avaliações. Quando usa o perfil predefinido, as pontuações de segurança baseiam-se em todas as categorias.

Não é possível editar nem eliminar o perfil de segurança predefinido, google-default.

Perfil de segurança personalizado

Pode criar perfis de segurança personalizados que incluam apenas as verificações e as ponderações de avaliação escolhidas para fazer a avaliação em relação a proxies. Para obter instruções sobre como criar e usar perfis de segurança personalizados a partir da IU do Apigee, consulte o artigo Faça a gestão de perfis personalizados na IU do Apigee.

Para perfis de segurança personalizados:

O nome do perfil (também denominado ID do perfil) é obrigatório e é apresentado na tabela de resumo quando lista perfis. O nome tem de ter entre 1 e 63 carateres, que podem ser letras minúsculas, números de 0 a 9 ou hífenes. O primeiro caráter tem de ser uma letra minúscula. O último caráter tem de ser uma letra minúscula ou um número. Os perfis de segurança personalizados têm de ter nomes exclusivos e não podem duplicar os nomes de perfis existentes.
A descrição do perfil é opcional e não pode exceder 1000 carateres.

Monitorização de condições e alertas

A segurança avançada da API permite-lhe adicionar condições de monitorização à avaliação de risco. Depois de criar uma condição de monitorização, a avaliação de risco publica métricas de classificação de segurança no Cloud Monitoring. A Monitorização na nuvem pode monitorizar as pontuações de segurança ao longo do tempo para proxies avaliados em função dos perfis de segurança.

Para usar as condições de monitorização:

Familiarize-se com a funcionalidade do Cloud Monitoring.
Certifique-se de que tem as funções ou as autorizações necessárias para gerir as condições de monitorização. Consulte os papéis necessários para a avaliação de risco.
Use a API ou a IU do Apigee para criar e gerir condições de monitorização. Consulte os artigos Faça a gestão das condições de monitorização e dos alertas na IU do Apigee e Faça a gestão das condições de monitorização na API.
Nota: quando é criada uma nova condição de monitorização ou é alterada uma condição de monitorização existente, as alterações demoram até 5 minutos a serem refletidas nas métricas do Cloud Monitoring.

Depois de criar uma condição de monitorização, pode configurar alertas de monitorização nas métricas de condição, através dos alertas do Cloud Monitoring.

Para criar alertas de monitorização a partir da IU do Apigee, consulte o artigo Faça a gestão de condições de monitorização e alertas na IU do Apigee. Para obter informações sobre os alertas na segurança avançada de APIs e como gerir os alertas de monitorização, consulte o artigo Alertas de segurança.

Limitações e problemas conhecidos na avaliação de risco v2

As pontuações de segurança têm as seguintes limitações e problemas conhecidos:

As classificações de segurança só são geradas se um ambiente tiver proxies implementados.
Os proxies implementados recentemente e as organizações e os ambientes ativados recentemente não mostram imediatamente as pontuações. Consulte o artigo Atrasos nos dados para ver informações.
Para perfis personalizados, pode criar um máximo de 100 perfis personalizados por organização.
De momento, não é suportada a notificação de novos cálculos e classificações de avaliações.
Só pode existir uma condição de monitorização para uma combinação de âmbito e perfil de segurança. Se um perfil já fizer parte de uma condição de monitorização existente para o âmbito selecionado, é apresentada uma mensagem de aviso e a criação da nova condição é impedida.
Apenas os proxies implementados são monitorizados. Se um proxy incluído numa condição de monitorização for anulado, não é monitorizado e não é apresentado como monitorizado nos detalhes da condição de monitorização. No novo implemento, o proxy é monitorizado automaticamente e apresentado como monitorizado nos detalhes da condição de monitorização.
Pode criar um máximo de 1000 condições de monitorização de segurança por organização.
As novas pontuações monitorizadas por uma condição de monitorização de segurança podem demorar até 5 minutos a serem apresentadas no Cloud Monitoring.
As pontuações de segurança estão disponíveis no Cloud Monitoring durante um máximo de 6 semanas. Consulte o artigo Retenção de dados.

Atrasos nos dados

Os dados que as classificações de segurança da segurança avançada da API têm as seguintes janelas de processamento antes de os resultados estarem disponíveis:

Quando ativa a segurança avançada da API numa organização pela primeira vez, demora algum tempo até que as classificações dos proxies e dos destinos existentes se refletirem num ambiente. Como orientação, espere 30 a 90 minutos para organizações com subscrição e menos tempo para organizações com pagamento conforme o uso.
Os novos eventos relacionados com proxies (implementação e desimplementação) e alvos (criar, atualizar, eliminar) num ambiente demoram, pelo menos, 60 segundos e até 5 minutos (para ambientes muito grandes) a refletir-se na pontuação do ambiente.

Veja as avaliações de risco na IU do Apigee

A página Avaliação de risco apresenta pontuações que medem a segurança da sua API em cada ambiente.

Para abrir a página Avaliação de risco:

Na Google Cloud consola, aceda à página Segurança avançada da API > Avaliação de risco.

Aceder à avaliação de risco

É apresentada a página Avaliação de risco:

A página tem estas secções:

Ambiente: selecione o ambiente no qual quer ver as avaliações.
Perfil de segurança: selecione o perfil predefinido (google-default) ou um perfil personalizado, se disponível. Consulte Perfis de segurança para ver informações sobre perfis de segurança.
Proxies implementados por gravidade: assim que o ambiente estiver definido, a página mostra um resumo das gravidades nos proxies nesse ambiente. Consulte Conceitos e pontuação da avaliação de risco.
Detalhes da avaliação: mostra o perfil de segurança, a data e a hora da avaliação, o total de configurações avaliadas e o total de proxies implementados para o ambiente selecionado. A contagem total de configurações avaliadas reflete o número total de "verificações" realizadas. Esta contagem pode ser superior ao número de avaliações num perfil. Algumas avaliações, como a verificação de que o atributo "continueOnError" está definido como false, também verificam se as políticas relacionadas estão em vigor e ativadas.
Proxies implementados: um resumo dos proxies implementados no ambiente e as respetivas classificações de avaliação de risco:
- Proxy: nome do proxy.
- Gravidade: a gravidade da avaliação de risco para o proxy. Consulte as Pontuações de segurança e gravidades para obter informações.
- Pontuação: a pontuação da avaliação de risco para o proxy. Consulte o artigo Conceitos e classificação da avaliação de risco para ver informações.
  Nota: se não for possível calcular uma pontuação para o ambiente devido às limitações nas pontuações de segurança, o campo do nome do proxy apresenta um ícone e uma mensagem a indicar que as pontuações ainda não estão disponíveis.
- Revisão: a revisão do proxy na qual a pontuação foi avaliada.
- Avaliações com falhas por ponderação: o número de avaliações com falhas agrupadas pela ponderação da avaliação.
- Recomendações: recomendações específicas para melhorar a pontuação no proxy. Clique no número para ver as recomendações.

Faça a gestão de perfis personalizados na IU do Apigee

Esta secção mostra como ver, criar, editar e eliminar perfis personalizados através da IU do Apigee. Tenha em atenção as limitações dos perfis personalizados indicadas nas Limitações das pontuações de segurança.

Comece por Ver as avaliações de risco na IU do Apigee.

Crie e edite perfis personalizados

No ecrã Avaliação de riscos, selecione o separador Perfis de segurança. Para editar um perfil existente, clique no nome do perfil para ver os detalhes do perfil e, de seguida, em Editar. Em alternativa, pode selecionar Editar no menu Ações na linha desse perfil.

Para criar um novo perfil personalizado, clique em + Criar na lista de perfis de segurança.

Quando cria ou edita um perfil personalizado, pode definir estes valores:

Nome: o nome do perfil de segurança. Certifique-se de que é único para o projeto.
Descrição: (opcional). Uma descrição do perfil de segurança.
Verificações de avaliação e ponderações de avaliação: uma ou mais verificações de avaliação a avaliar em relação a proxies e uma ponderação para cada uma. Consulte o artigo Conceitos e classificação da avaliação de risco para ver uma lista de verificações de avaliação disponíveis. Para adicionar verificações e ponderações de avaliação adicionais ao perfil, clique em + Adicionar. Para eliminar um par de verificação/peso, clique no ícone de lixo na linha desse par.

Perfis duplicados

Para duplicar um perfil existente (para criar um novo perfil personalizado), selecione Duplicar no menu Ações na linha desse perfil ou clique no nome do perfil na lista de perfis para ver os metadados do perfil e, de seguida, clique em Duplicar.

O nome do novo perfil personalizado não pode corresponder ao perfil duplicado. Consulte o perfil de segurança personalizado para ver os requisitos de nomenclatura do perfil de segurança.

Elimine perfis personalizados

Para eliminar um perfil personalizado existente, selecione Eliminar no menu Ações na linha desse perfil ou clique no nome do perfil na lista de perfis para ver os metadados do perfil e, em seguida, clique em Eliminar.

Tenha em atenção que não pode eliminar o perfil predefinido do sistema (google-default).

A eliminação de um perfil personalizado é eficaz imediatamente e remove a capacidade de avaliar proxies em função desse perfil ou ver avaliações anteriores em função desse perfil personalizado.

Faça a gestão das condições de monitorização e dos alertas a partir da IU do Apigee

Esta secção mostra como ver, criar, editar e eliminar condições de monitorização, bem como criar alertas de monitorização através da IU do Apigee. Consulte o artigo Monitorização de condições e alertas para ver informações sobre esta funcionalidade.

Comece por Ver as avaliações de risco na IU do Apigee e, de seguida, selecione o separador Condições de monitorização.

Ver, criar e editar condições de monitorização

A página principal apresenta todas as condições de monitorização existentes. Para ver os detalhes de uma condição de monitorização existente, clique no valor Proxies monitorizados/total implementado na linha dessa condição de monitorização. Para editar uma condição existente, selecione Editar no menu Ações na linha dessa condição de monitorização. Para criar uma nova condição de monitorização, clique em + Criar condição de monitorização acima da lista de resultados.

As condições de monitorização incluem estas definições:

Ambiente: o ambiente onde a condição de monitorização é criada. Não editável após a criação da condição de monitorização.
Perfil de segurança/perfil: o perfil de segurança avaliado.
Condições: se deve Include all ou Include proxies especificados do ambiente. Se Include estiver selecionado, selecione cada proxy a incluir selecionando a caixa junto ao nome do proxy.

Veja as métricas de monitorização

Veja as métricas de uma condição de monitorização no Cloud Monitoring. Para ver as métricas, clique em Ver na linha da condição de monitorização.

Elimine as condições de monitorização

Para eliminar uma condição de monitorização existente, selecione Eliminar no menu Ações na linha da condição de monitorização e, de seguida, confirme.

Existe um pequeno atraso antes de as métricas do Cloud Monitoring deixarem de ser publicadas.

Crie alertas de monitorização

Para criar um novo alerta de monitorização, selecione Criar alerta de monitorização no menu Ações na linha da condição de monitorização. Esta ação direciona para a página de alertas do Cloud Monitoring na Google Cloud consola e pré-preenche alguns valores com base na condição de monitorização. Consulte Alertas de segurança para mais informações.

Avaliação de risco v1

Esta secção descreve a avaliação de risco v1. Para informações sobre a avaliação de risco v2, consulte o artigo Avaliação de risco v2.

Pontuações de segurança

As classificações de segurança avaliam a segurança das suas APIs, bem como a respetiva postura de segurança ao longo do tempo. Por exemplo, uma pontuação que flutua muito pode indicar que o comportamento da API está a mudar frequentemente, o que pode não ser desejável. As alterações num ambiente que podem fazer com que a pontuação desça incluem:

Implementar muitos proxies de API sem as políticas de segurança necessárias.
Um pico no tráfego de abuso de origens maliciosas.

A observação das alterações às suas pontuações de segurança ao longo do tempo fornece um bom indicador de qualquer atividade indesejável ou suspeita no ambiente.

As pontuações de segurança são calculadas com base no seu perfil de segurança, que especifica as categorias de segurança que quer que as suas pontuações avaliem. Pode usar o perfil de segurança predefinido do Apigee ou criar um perfil de segurança personalizado que inclua apenas as categorias de segurança mais importantes para si.

Tipos de avaliação das pontuações de segurança

Existem três tipos de avaliação que contribuem para a pontuação de segurança geral calculada pela segurança avançada de APIs:

Avaliação da origem: avalia o tráfego de abuso detetado através das regras de deteção da segurança avançada da API. "Abuso" refere-se a pedidos enviados para a API para fins diferentes daqueles para os quais a API se destina.

Nota: as classificações das fontes são calculadas com base num período que começa às 0:00 UTC do dia atual e termina à hora atual.
Avaliação de proxy: avalia o desempenho dos proxies na implementação de várias políticas de segurança nas seguintes áreas:
- Mediação: verifique se uma das seguintes políticas de mediação está configurada para todos os proxies no ambiente: OASValidation ou SOAPMessageValidation.
- Segurança:
  - Autorização: verifica se uma das seguintes políticas de autorização está configurada para todos os proxies no ambiente:
  - CORS: verifica se o CORS está configurado.
  - Ameaça: verifica se uma das seguintes políticas está configurada para todos os proxies no ambiente: XMLThreatProtection ou JSONThreatProtection.
Consulte o artigo Como as políticas afetam as classificações de segurança do proxy para mais informações.
Avaliação do destino: verifica se a segurança da camada de transporte mútua (mTLS) está configurada com os servidores de destino no ambiente.

A cada um destes tipos de avaliação é atribuída uma pontuação própria. A pontuação geral é a média das pontuações dos tipos de avaliação individuais.

Como as políticas afetam as classificações de segurança de proxies

Apenas as políticas anexadas a um fluxo (preflow, conditional flow, post flow em proxies ou fluxo partilhado) afetam as classificações. As políticas que não estão associadas a nenhum fluxo não afetam as classificações.
As pontuações de proxy têm em conta os fluxos partilhados e as chamadas de proxy através de hooks de fluxo e políticas FlowCallout no proxy, desde que a política FlowCallout esteja anexada a um fluxo. No entanto, se o FlowCallout não estiver associado a um fluxo, as políticas do fluxo partilhado associado não afetam as classificações de segurança.
O encadeamento de fluxos partilhados não é suportado. As políticas incluídas através da encadeamento de fluxos partilhados não são avaliadas quando se calculam as classificações de segurança.
Para políticas anexadas a fluxos condicionais, as classificações de segurança só têm em conta se as políticas estão presentes. Não têm em conta se nem como as políticas são aplicadas em tempo de execução.

Perfis de segurança

Um perfil de segurança é um conjunto de categorias de segurança (descritas abaixo) com base nas quais quer que as suas APIs sejam classificadas. Um perfil pode conter qualquer subconjunto das categorias de segurança. Para ver as pontuações de segurança de um ambiente, primeiro tem de anexar um perfil de segurança ao ambiente. Pode usar o perfil de segurança predefinido da Apigee ou criar um perfil de segurança personalizado que contenha apenas as categorias de segurança importantes para si.