Erweiterte API-Sicherheit – Übersicht

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Advanced API Security überwacht Ihre APIs kontinuierlich, um sie vor Sicherheitsbedrohungen zu schützen, einschließlich Angriffen durch böswillige Clients und Missbrauch. Advanced API Security analysiert Ihren API-Traffic, um verdächtige API-Anfragen zu identifizieren, und bietet Tools zum Blockieren oder Kennzeichnen dieser Anfragen. Darüber hinaus wertet Advanced API Security Ihre API-Konfigurationen aus, um sicherzustellen, dass sie den Sicherheitsstandards entsprechen. Außerdem erhalten Sie Empfehlungen zur Verbesserung, falls erforderlich.

Das folgende Diagramm veranschaulicht die Funktionsweise von Advanced API Security.

Advanced API Security – Übersicht

Advanced API Security verwendet den folgenden Prozess, um Ihre APIs zu schützen:

  1. API Security erfasst Daten für aktuellen Traffic, der über Ihre APIs geleitet wird.
  2. API Security analysiert die Daten, um ungewöhnliche Trafficmuster zu erkennen, die auf eine Bedrohung für Ihre APIs hinweisen.
  3. API Security stellt die Ergebnisse der Analyse auf den folgenden Seiten in der Apigee-Benutzeroberfläche dar:
  4. Nachdem Sie die Analyse überprüft haben, können Sie Anfragen von bestimmten IP-Adressen über die Seite Sicherheitsaktionen blockieren oder kennzeichnen. Sie können auch Sicherheitswarnungen erstellen, die Sie über Ereignisse im Zusammenhang mit der API-Sicherheit informieren.

Erweiterte API-Sicherheit verwenden

Die erweiterte API-Sicherheit ist als kostenpflichtiges Add-on für die folgenden Organisationstypen verfügbar:

  • Apigee-Abo- und „Pay as you go“-Organisationen
  • Apigee Hybrid-Aboorganisationen
  • Apigee-Organisationen (nicht Hybrid) mit aktiviertem Datenstandort

Wenn Sie die erweiterte API-Sicherheit verwenden möchten, müssen Sie sie zuerst aktivieren, wie in den folgenden Abschnitten beschrieben:

Sie können die erweiterte API-Sicherheit in jeder Testorganisation kostenlos testen. Weitere Informationen erhalten Sie von Apigee Sales.

Features von Advanced API Security

In den folgenden Abschnitten werden die Funktionen von Advanced API Security kurz beschrieben.

Missbrauchserkennung

Mithilfe der Missbrauchserkennung können Sie Sicherheitsvorfälle in Verbindung mit Ihren APIs sehen. Ein Sicherheitsvorfall ist eine Gruppe erkannter Sicherheitsereignisse, die miteinander zusammenhängen. Advanced API Security verwendet Erkennungsregeln, die auf den Algorithmen des maschinellen Lernens von Google basieren, um Muster zu identifizieren, die Anzeichen für bösartige Aktivitäten sind, einschließlich API-Scraping und Anomalien. Sie können dann mithilfe von Sicherheitsmaßnahmen Maßnahmen ergreifen, um diese Bedrohungen abzuwehren.

Sicherheitsberichte

Sicherheitsberichte bieten Ihnen eine detaillierte Analyse der Sicherheitsbedrohungen für Ihre APIs. Sie können beispielsweise Berichte für die Anzahl schädlicher Anfragen nach verschiedenen Dimensionen erstellen, z. B. dem Land der Herkunft der Anfrage. Sie können diese Berichte auf der Apigee-Benutzeroberfläche oder über die API anzeigen lassen.

Risikobewertung

Mit der Risikobewertung können Sie APIs ermitteln, die nicht den Sicherheitsstandards entsprechen. Die Risikobewertung wertet Ihre API-Konfigurationen regelmäßig aus und berechnet Punktzahlen, um ihr Sicherheitsniveau zu bewerten. Wenn eine niedrige Punktzahl auf ein Konfigurationsproblem hinweist, gibt Advanced API Security Empfehlungen zur Behebung des Problems.

Sicherheitsaktionen

Mit Sicherheitsaktionen können Sie definieren, wie Apigee erkannten Traffic auf der Grundlage von Informationen auf der Seite zur Missbrauchserkennung verarbeitet. Sie können beispielsweise eine Sicherheitsaktion erstellen, um Anfragen von einer IP-Adresse abzulehnen, die als Missbrauchsquelle identifiziert wurde.

Sicherheitswarnungen

Sie können Sicherheitswarnungen konfigurieren, um Benachrichtigungen zu erhalten, wenn Advanced API Security Ereignisse in Bezug auf die API-Sicherheit erkennt, z. B. Änderungen an Ihren Sicherheitspunktzahlen oder Sicherheitsvorfällen.

ausgeführt werden. Hinweis: Advanced API Security wirkt sich nicht auf den Laufzeittraffic aus.