עיון בדוחות האבטחה

אתם קוראים את מאמרי העזרה של Apigee Edge.
כדאי לעיין במסמכי העזרה בנושא Apigee X. מידע

ההסבר המפורט הזה יעזור לכם להבין איך אפשר להבין טוב יותר את נקודות החולשה הנוכחיות והפוטנציאליות באבטחה. במאמר הזה מוסבר על הדוחות שמוצגים בממשק המשתמש, ומוצעות דרכים לחשוב על אבטחה של שרתי proxy של API.

רק אדמינים של הארגון ואדמינים של הארגון עם הרשאת קריאה בלבד יכולים לגשת לדוחות האלה בממשק המשתמש של Edge.

דוחות שזמינים ב-Advanced API Ops

בדף הזה מוסבר איך להשתמש בדוחות אבטחה, כולל דוחות שזמינים לכל לקוחות Edge for Cloud Enterprise ודוחות שזמינים רק ללקוחות Advanced API Ops. לקוחות של Edge for Cloud Enterprise שלא רכשו את Advanced API Ops לא תהיה גישה לחלק מהדוחות שמתוארים בהמשך.

במאמר הזה מפורטת רשימה מלאה של הדוחות שזמינים לכל לקוחות Enterprise, ושל הדוחות שזמינים רק ללקוחות Advanced API Ops.

קבלת תמונת מצב של פעילות ושל הגדרות בזמן ריצה

בדף סקירה כללית אפשר לראות תמונת מצב של האבטחה בהגדרות ובתעבורת הנתונים בזמן הריצה, כולל פעולות שעלולות להיות רגישות. בעזרת תמונה של הכמויות הגדולות ביותר של פעילות – במיוחד פעילות שמייצגת פגיעות אפשרית באבטחה – תוכלו לעיין בנתונים מפורטים יותר על התצורה והתנועה.

כדי לראות את הפעילות בזמן הריצה:

  1. בתפריט הניווט הצדדי, לוחצים על ניתוח > דוחות אבטחה > סקירה כללית.

  2. בפינה השמאלית העליונה, לוחצים על התפריט הנפתח של תקופת הזמן ובוחרים את התקופה הקודמת שרוצים לראות את הנתונים שלה:

    תרשים התנועה צפונה

  3. בתרשים Northbound traffic מוצג מידע על בקשות נכנסות לשרתי ה-API proxy של כל סביבה בארגון.

  4. כדי לבדוק את התנועה הנכנסת בפירוט רב יותר, לוחצים על דוחות בזמן ריצה כדי להציג נתונים מפורטים בדף זמן ריצה, שמתואר בהמשך.

  5. מתחת לתרשים Northbound traffic, מוצגים תרשימים של Traffic by region (רק אם יש לכם כמה אזורים), Error distribution by fault code ו-Users by potentially sensitive operations (רק לאדמינים של הארגון):

    התרשימים 'תנועה לפי אזור', 'התפלגות השגיאות לפי קוד תקלה' ו'משתמשים לפי פעולות רגישות פוטנציאליות'

    כתובות האימייל מוסתרות בכוונה בתמונה הזו. תיאור של פעולות רגישות מופיע בקטע מידע על פעולות רגישות בהמשך.

לשאול שאלות על מה שרואים

תמונת המצב הכללית שמוצגת בדף סקירה כללית עוזרת לכם לראות מאפיינים בולטים שקשורים לאבטחת המערכת. על סמך מה שאתם רואים, כדאי לשאול את עצמכם את השאלות הבאות:

  • האם אחוז הבקשות גבוה מהצפוי? כדאי לבדוק לעומק אילו שרתי proxy של API מקבלים את הבקשות האלה.
  • האם אחוז התנועה בכל אזור נראה נכון? האם יש עומס יתר באזור מסוים?
  • האם מופיע מספר גדול של קודי תקלות? איפה הן מתרחשות?
  • (אדמינים של הארגון בלבד) אילו משתמשים מפעילים את מספר הפעולות הרגישות הגדול ביותר?

קבלת פרטים על תעבורת הנתונים בזמן הריצה

בדף זמן ריצה אפשר לראות פרטים על התנועה בזמן הריצה ולזהות נקודות חולשה באבטחה. לדוגמה, אפשר:

  • מזהים את נפח התנועה שאינו HTTPS שמופנה אל השרתים והיעדים שלכם.
  • הצגת פרטים על אפליקציות המפתחים והמארחים הווירטואליים שמטפלים בתנועה הזו.
  • הצגת מספר השגיאות לפי קוד תקלה.

כדי לראות את פרטי התנועה בזמן הריצה:

  1. בתפריט הניווט הצדדי, לוחצים על ניתוח > דוחות אבטחה > זמן ריצה.
  2. כדי להגדיר את היקף הנתונים שרוצים לראות, בחלק העליון של הדף בוחרים את הסביבה, האזור ותקופת הזמן שרוצים לראות לגביהם נתונים.
  3. מוודאים שבתפריט הנפתח לצד התפריט הנפתח של הסביבה מופיע הערך Proxies (ולא Targets או ערך אחר – נבדוק את זה בהמשך), ומשאירים את הערך שלו כ-Any.

  4. שימו לב שבטבלה מופיעים שרתי proxy ל-API בהיקף שהגדרתם, יחד עם התעבורה הכוללת שלהם לתקופה. בפרט, שימו לב לעמודה שבה מפורטת תנועת הגולשים שלא מתבצעת באמצעות HTTPS. הערך הזה מייצג בקשות שנשלחות לשרת ה-proxy שמופיע ברשימה, שמגיעות באמצעות פרוטוקול שאינו HTTPS, ולא באמצעות HTTPS. זוהי נקודת חולשה באבטחה:

    מעיינים בפרטי התנועה בזמן הריצה.

  5. כדי לראות מידע נוסף על השרת הפרוקסי, לוחצים על שורה בטבלה. בדומה לתרשים 'סה"כ תנועה', אפשר להעביר את העכבר מעל העמודות בתרשים תנועה לכיוון צפון כדי לראות את הנתונים שעליהם הוא מתבסס:

    מידע נוסף על השרת הפרוקסי

  6. בחלק העליון של הדף, לוחצים על התפריט הנפתח Proxies (שרתי Proxy) ואז על Targets (יעדים).

  7. שימו לב שהטבלה מציגה מידע דומה לגבי יעדי פרוקסי כמו הטבלה שמוצגת לגבי שרתי פרוקסי.

  8. כדי לראות פרטים על היעד, לוחצים על שורה בטבלה.

    צפייה בפרטים על היעד.

  9. בראש הדף, לוחצים על התפריט הנפתח יעדים ואז על אפליקציות כדי לראות מידע על האפליקציות.

  10. בראש הדף, לוחצים על התפריט הנפתח אפליקציות ואז על קודי תקלות כדי לראות מידע על קודי תקלות.

לשאול שאלות על מה שרואים

בדף Runtime (זמן ריצה) אפשר לראות איך ה-proxies מתנהגים בהקשר הנוכחי של התנועה – בקשות מלקוחות ובקשות ליעדים. אפשר להשתמש בנתונים שמוצגים כדי לשאול את עצמכם שאלות לגבי ההתנהגות של שרתי ה-proxy.

  • בודקים את הפרטים של כל שרת proxy שמקבל תנועה שאינה HTTPS. האם החלק הזה בתנועת הגולשים מתאים לשרת הפרוקסי הזה? האם צריך להגדיר מחדש את ה-proxy כדי לקבל בקשות דרך HTTPS?
  • כדאי לבדוק את הנתונים ממגוון היקפים, כמו היסטוריה ארוכה יותר או קצרה יותר. האם יש טרנד שאתם יכולים להגיב אליו?
  • האם יש עלייה משמעותית בתנועה משרת proxy ליעד? האם כדאי להשתמש במדיניות לניהול תנועה כדי לנהל את התנועה הזו?

קבלת פרטי ההגדרה

בעזרת פרטים על ההגדרה מנקודת מבט של אבטחה, תוכלו להתחיל לזהות מקומות שבהם אפשר לשפר את האבטחה על ידי שינוי ההגדרה של השרתים הפרוקסי. בדף Configuration (הגדרה) מוצג תצוגה מפורטת של אופן השימוש ב-proxy ובמטרות בכלים שזמינים ב-Apigee Edge.

כדי לראות את פרטי ההגדרה:

  1. בתפריט הניווט הצדדי, לוחצים על פריט התפריט ניתוח > דוחות אבטחה > הגדרה.
  2. כדי להגדיר את היקף הנתונים שרוצים לראות, בוחרים את הסביבה שרוצים לראות את הנתונים שלה בחלק העליון של הדף.
  3. מוודאים שבתפריט הנפתח לצד התפריט הנפתח של הסביבה מופיע הערך Proxies (ולא Targets או ערכים אחרים), ומשאירים את הערך שלו כ-Any.
  4. לכל שרת proxy, בטבלה מצוינים:
    • מספר כללי המדיניות שנעשה בהם שימוש מתוך קבוצות כללי המדיניות שקשורות לאבטחה. קבוצות המדיניות הן ניהול תנועה, אבטחה ותוספים. מידע נוסף על הקבוצות זמין במאמר סקירה כללית של הפניות למדיניות.
    • מספר התהליכים המשותפים, אם יש כאלה, שנעשה בהם שימוש בשרת proxy.
    • האם המארחים הווירטואליים של ה-proxy מוגדרים לקבל בקשות שאינן HTTPS, בקשות HTTPS או את שניהם.

  5. לוחצים על שורה בטבלה כדי לראות מידע נוסף על הגדרת ה-Proxy:

    הצגת פרטים על הגדרת שרת ה-proxy.

  6. אם ה-proxy שבחרתם כולל רכיבי Shared Flow, בצד שמאל של ממשק המשתמש לוחצים על Shared Flows כדי לראות את רשימת המדיניות שקשורה לאבטחה ומוגדרת ברכיבי Shared Flow שמופעלים על ידי ה-proxy הזה.

  7. בחלק העליון של הדף, לוחצים על התפריט הנפתח Proxies (שרתי Proxy) ואז על Targets (יעדים).

  8. שימו לב שהטבלה מציינת אם מגיעים ליעדים באמצעות קריאות שאינן HTTPS או באמצעות קריאות HTTPS:

    יעדים שהגיעה אליהם תנועה דרך קריאות שאינן HTTPS או דרך קריאות HTTPS.

  9. בחלק העליון של הדף, לוחצים על התפריט הנפתח יעדים ואז על תהליכים משותפים כדי לראות מידע על תהליכים משותפים, כולל:

    • מספר כללי המדיניות שנעשה בהם שימוש מתוך קבוצות כללי המדיניות שקשורות לאבטחה.
    • מספר ה-proxies שמשתמשים בכל זרימה משותפת.

    פרטי ההגדרה של תהליך עבודה משותף.

לשאול שאלות על מה שרואים

בדף Runtime (זמן ריצה) מוצג אופן הפעולה של השרתים הפרוקסיים בתנאי זמן ריצה, ובדף Configuration (הגדרה) מוצג האופן שבו הגדרתם אותם לטיפול בתנאים האלה. כשמעיינים בדוחות, כדאי לבדוק כל שרת proxy.

  • האם הכללתם את מדיניות האבטחה המתאימה בשרתי ה-proxy? לא כדאי להגדיר את כל השרתים הפרוקסי באופן זהה מבחינת אבטחה. לדוגמה, אם שרת proxy מקבל עומס כבד של בקשות, או אם כמות הבקשות משתנה באופן דרמטי, כדאי להגדיר בו מדיניות של בקרת תנועה, כמו מדיניות SpikeArrest.
  • אם השימוש בתהליך משותף נמוך, למה זה קורה? תכונת הזרימות המשותפות יכולה לעזור לכם ליצור פונקציונליות שקשורה לאבטחה ושאפשר להשתמש בה שוב ושוב. מידע נוסף על תהליכים משותפים זמין במאמר תהליכים משותפים שאפשר לעשות בהם שימוש חוזר.
  • האם אתם משתמשים בתהליכים משותפים שמצורפים לנקודות חיבור של תהליכים? אם מצרפים וו של זרימה לזרימה משותפת שמכילה מדיניות שקשורה לאבטחה, אפשר לאכוף את פונקציית האבטחה הזו בכל ה-proxy בסביבה. מידע נוסף על ווים של זרימת נתונים זמין במאמר צירוף זרימת נתונים משותפת באמצעות וו של זרימת נתונים.
  • האם צריך לאפשר ל-proxy לארח מארח וירטואלי שאינו HTTPS?

קבלת פרטים על פעילות המשתמש

במסגרת מעקב אחר אבטחה, חשוב להיות מודעים לפעולות רגישות פוטנציאליות שמבצעים משתמשים. בדף פעילות משתמשים מפורט מספר הפעולות הרגישות שבוצעו על ידי משתמשים. תיאור של פעולות רגישות מופיע בקטע מידע על פעולות רגישות בהמשך.

רק אדמינים בארגון שרכשו את Advanced API Ops יכולים לגשת לדף User Activity. אף תפקיד אחר, כולל אדמין ארגוני עם הרשאת קריאה בלבד, לא יכול לגשת לדף הזה

כדי לראות את פעילות המשתמשים:

  1. בתפריט הניווט הצדדי, לוחצים על פריט התפריט ניתוח > דוחות אבטחה > פעילות משתמש.
  2. לוחצים על תיבת התאריך כדי להגדיר את טווח התאריכים.

  3. לכל משתמש בארגון, בטבלה מוצגים הנתונים הבאים (כתובות האימייל מוסתרות בכוונה):

    • מספר ההתחברויות.
    • מספר הפעולות הרגישות שהמשתמש ביצע דרך ממשק המשתמש או ה-API.
    • השינוי בפעילות בטווח הזמן שנבחר.
    • אחוז הפעולות הרגישות שבוצעו על ידי המשתמש מתוך כל הפעולות שבוצעו על ידי המשתמש.

    צפייה במידע על משתמשים.

  4. לוחצים על שורה בטבלה כדי להציג מידע מפורט על הפעילות של המשתמש:

    צפייה בפרטי המשתמש.

מידע על פעולות רגישות

בדף סקירה כללית ובדף פעילות משתמש מוצג מידע על פעולות רגישות שבוצעו על ידי משתמשים. פעולה רגישה היא כל פעולה בממשק המשתמש או ב-API שמבצעת פעולת GET/PUT/POST/DELETE בתבניות ה-API הבאות:

תרחיש לדוגמה תבנית URI של בקשה
גישה למפתחים /v1/organizations/org_name/developers*
גישה לאפליקציות /v1/organizations/org_name/apps*
גישה לדוחות בהתאמה אישית /v1/organizations/org_name/environments/env_name/stats*
גישה לסשנים של יומן מעקב /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
גישה למארחים וירטואליים /v1/organizations/org_name/environments/env_name/virtualhosts*

בתבניות האלה, התו * מתאים לכל נתיב משאב. לדוגמה, עבור תבנית ה-URI:

/v1/organizations/org_name/developers*

‫Edge עוקב אחרי פעולות GET/PUT/POST/DELETE בכתובות ה-URI הבאות:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

לשאול שאלות על מה שרואים

בדף פעילות המשתמש אפשר לראות את הפעילות של משתמשים בארגון. לגבי כל משתמש, כדאי לשאול את עצמכם:

  • האם מספר ההתחברויות מתאים למשתמש?
  • האם המשתמש מבצע מספר גדול של פעולות רגישות? האם אלה הפעולות שהמשתמש הזה אמור לבצע?
  • האם הפעילות של המשתמש השתנתה במהלך תקופת זמן מסוימת? למה אחוז ההנחה השתנה?