Explorar os relatórios de segurança

Esta é a documentação do Apigee Edge.
Acesse Documentação da Apigee X.
informações

Use este tutorial para entender melhor as vulnerabilidades de segurança atuais e potenciais. Este tópico descreve os relatórios que você verá na interface do usuário, oferecendo maneiras de pensar sobre a segurança para seus proxies de API.

Somente administradores da organização e administradores da organização com acesso somente leitura podem acessar esses relatórios na interface do Edge.

Relatórios disponíveis em Operações de APIs avançadas

Nesta página, descrevemos como usar relatórios de segurança, incluindo aqueles fornecidos a todos Edge para clientes do Cloud Enterprise e disponíveis apenas para clientes de Operações de APIs avançadas. Edge para clientes do Cloud Enterprise que não compraram o Advanced API Ops não terá acesso a alguns dos relatórios descritos abaixo.

Consulte Introdução aos relatórios de segurança para ver uma lista completa dos relatórios disponíveis para todos os clientes corporativos e para aqueles disponíveis apenas para os clientes de operações de APIs avançadas.

Receber um snapshot da atividade e das configurações no ambiente de execução

Use a página Visão geral para ver um snapshot de segurança do tráfego de configuração e do ambiente de execução, incluindo: operações potencialmente sensíveis. Com uma imagem das maiores quantidades de atividade -- particularmente atividade que representa uma possível vulnerabilidade de segurança -- você pode explorar dados mais detalhados sobre configuração e tráfego.

Para ver a atividade do ambiente de execução:

  1. No menu de navegação lateral, clique em Analisar > Relatórios de segurança > Visão geral.

  2. No canto superior direito, clique no menu suspenso "Período" e selecione o período anterior para o qual você quer visualizar os dados:

    Gráfico de tráfego na direção norte

  3. O gráfico Tráfego da região norte mostra informações sobre as solicitações recebidas para seus proxies de API em cada ambiente na sua organização.

  4. Para analisar o tráfego de entrada em mais detalhes, clique em Relatórios de ambiente de execução para conferir dados detalhados na página Ambiente de execução, descrita abaixo.

  5. Abaixo do gráfico Tráfego da região norte, você encontra gráficos que mostram Tráfego por região (somente quando você tem várias regiões), Distribuição de erros por código de falha e Usuários por operações possivelmente sensíveis (somente administradores da organização):

    Os gráficos de tráfego por região, distribuição de erros por código de falha e usuários por operações potencialmente sensíveis

    Os endereços de e-mail estão intencionalmente ocultos nesta imagem. Consulte Sobre as operações confidenciais abaixo para conferir uma descrição delas.

Faça perguntas sobre o que você está vendo

O resumo de alto nível fornecido pela página Visão geral ajuda você a ver características proeminentes relacionadas à segurança do seu sistema. Com base no que você vê, faça a si mesmo as seguintes perguntas:

  • A porcentagem de solicitações superou suas expectativas? Você deve dar uma olhada mais de perto em quais proxies de API estão recebendo essas solicitações?
  • A porcentagem de tráfego de cada região parece correta? Uma região está sobrecarregada?
  • Você está vendo um grande número de códigos de falha? Onde eles estão ocorrendo?
  • (Somente administradores da organização) Quais usuários estão invocando as operações com maior potencial de confidencialidade?

Receber detalhes do tráfego do ambiente de execução

Use a página Ambiente de execução para ver detalhes sobre o tráfego do ambiente de execução e identificar as vulnerabilidades de segurança atuais. Por exemplo, você pode:

  • Identifique a quantidade de tráfego não HTTPS indo para seus proxies e destinos.
  • Confira detalhes sobre os apps para desenvolvedores e hosts virtuais que disponibilizam esse tráfego.
  • Visualize a contagem de erros por código de falha.

Para ver os detalhes do tráfego do ambiente de execução:

  1. No menu de navegação lateral, clique em Analisar > Relatórios de segurança > Ambiente de execução.
  2. Para definir o escopo dos dados que você quer ver, na parte de cima da página, selecione o ambiente, a região e o período dos dados.
  3. Verifique se o menu suspenso ao lado do menu suspenso de ambiente mostra "Proxies" (não "Targets" ou qualquer outro valor, como você verá abaixo), e deixe o valor como "Any".
  4. A tabela lista os proxies de API no escopo definido, além do tráfego total no período. Em particular, observe a coluna que lista o tráfego não HTTPS. Isso representa as solicitações enviadas ao proxy listado que chegam por não HTTPS, e não HTTPS. Isso é uma vulnerabilidade de segurança:

    Mais detalhes do tráfego do ambiente de execução.

  5. Clique em uma linha da tabela para conferir mais informações sobre o proxy. Assim como no gráfico "Tráfego total", você pode passar o cursor sobre as barras do gráfico Tráfego da direção norte para visualizar os dados subjacentes:

    Saiba mais sobre o proxy.

  6. Na parte superior da página, clique no menu suspenso Proxies e, depois, em Destinos.

  7. A tabela lista informações semelhantes para destinos de proxy como a tabela listada para proxies.

  8. Clique em uma linha na tabela para conferir detalhes sobre o destino.

    Mais detalhes sobre o alvo.

  9. Na parte de cima da página, clique no menu suspenso Destinos e depois em Apps para conferir informações sobre seus apps.

  10. Na parte superior da página, clique no menu suspenso Apps e depois em Códigos de falha para conferir informações sobre os códigos de falha.

Faça perguntas sobre o que você está vendo

A página Ambiente de execução ilustra como seus proxies se comportam no contexto de tráfego atual: solicitações de clientes, solicitações para destinos. Use o que foi mostrado para fazer a si mesmo perguntas sobre se seus proxies estão se comportando como deveriam.

  • Confira os detalhes de cada proxy que recebe tráfego não HTTPS. A parte desse tráfego parece apropriada para o proxy? O proxy deve ser reconfigurado para receber solicitações por HTTPS?
  • Observe os dados de uma variedade de escopos, como mais ou menos histórico. A uma tendência à qual você poderia estar respondendo?
  • Há algum aumento significativo no tráfego de um proxy para um destino? Esse tráfego precisa ser mediado por políticas de gerenciamento de tráfego?

Receber detalhes da configuração

Com os detalhes sobre a configuração de uma perspectiva de segurança, você pode começar a identificar locais em que é possível melhorar a segurança alterando a forma como seus proxies são configurados. A página Configuração apresenta uma visão detalhada de como seus proxies e destinos usam as ferramentas disponíveis no Apigee Edge.

Para ver os detalhes da configuração:

  1. No menu de navegação lateral, clique em Analisar > Relatórios de segurança > Configuration.
  2. Para definir o escopo dos dados que você quer ver, na parte de cima da página, selecione o ambiente com os dados.
  3. Verifique se o menu suspenso ao lado do menu suspenso de ambiente mostra "Proxies" (não "Targets" ou outros valores) e deixe o valor como "Any".
  4. Para cada proxy, a tabela indica:
    • O número de políticas usadas dos grupos de políticas relacionadas à segurança. Os grupos de políticas são gerenciamento de tráfego, segurança e extensão. Para saber mais sobre os grupos, consulte Visão geral da referência da política.
    • O número de fluxos compartilhados, se houver, usados por um proxy.
    • Se os hosts virtuais de um proxy estão configurados para receber solicitações não HTTPS, HTTPS ou ambas.
  5. Clique em uma linha na tabela para conferir mais informações sobre a configuração do proxy:

    Mais detalhes da configuração de proxy.

  6. Se o proxy selecionado incluir fluxos compartilhados, no lado direito da IU, clique em Fluxos compartilhados para exibir a lista de políticas relacionadas à segurança configuradas em fluxos compartilhados chamados por esse proxy.

  7. Na parte superior da página, clique no menu suspenso Proxies e, depois, em Destinos.

  8. A tabela indica se os destinos estão sendo alcançados por chamadas não HTTPS ou HTTPS:

    Destinos atingidos por chamadas não HTTPS ou HTTPS.

  9. Na parte superior da página, clique no menu suspenso Destinos e, depois, em Fluxos compartilhados para ver informações sobre fluxos compartilhados, incluindo:

    • O número de políticas usadas dos grupos de políticas relacionadas à segurança.
    • O número de proxies que usam cada fluxo compartilhado.

    Detalhes de configuração do fluxo compartilhado.

Faça perguntas sobre o que você está vendo

Enquanto a página Ambiente de execução ilustra como os proxies se comportam nessas condições, a página Configuração mostra como você os configurou para lidar com essas condições. Analisando os relatórios, dê uma olhada mais de perto em cada proxy.

  • Seus proxies têm as políticas de segurança apropriadas incluídas? Em termos de segurança, nem todos os proxies devem ser configurados de forma idêntica. Por exemplo, um proxy que recebe uma grande carga de solicitações ou cuja quantidade varia drasticamente deve ter políticas de controle de tráfego, como a SpikeArrest, configuradas.
  • Se o uso do fluxo compartilhado é baixo, por que isso acontece? Os fluxos compartilhados podem ser uma maneira útil de criar funcionalidades reutilizáveis relacionadas à segurança. Para saber mais sobre fluxos compartilhados, consulte Fluxos compartilhados reutilizáveis.
  • Você está usando fluxos compartilhados anexados a hooks de fluxo? Ao anexar um fluxo compartilhado que contém políticas relacionadas à segurança a um hook de fluxo, é possível aplicar essa funcionalidade de segurança aos proxies em um ambiente. Para saber mais sobre hooks de fluxo, consulte Como anexar um fluxo compartilhado usando um gancho de fluxo.
  • O proxy deve ter permissão para ter um host virtual não HTTPS?

Receber detalhes da atividade do usuário

Como parte do monitoramento da segurança, esteja ciente das operações potencialmente sensíveis realizadas pelos usuários. A página Atividade do usuário lista o número de operações confidenciais realizadas pelos usuários. Consulte Sobre as operações confidenciais abaixo para conferir uma descrição delas.

Somente administradores da organização que compraram Operações de APIs avançadas pode acessar a página Atividade do usuário. Nenhum outro papel, incluindo Administrador da organização com acesso somente leitura, pode acessar esta página

Para ver a atividade do usuário:

  1. No menu de navegação lateral, clique em Analisar > Relatórios de segurança > Atividade do usuário.
  2. Clique na caixa de data para definir o período.
  3. A tabela mostra (endereços de e-mail intencionalmente ocultos) para cada usuário na organização:

    • O número de logins.
    • O número de operações confidenciais realizadas pelo usuário com a interface ou a API.
    • A mudança na atividade no período selecionado.
    • A porcentagem de todas as operações realizadas pelo usuário que são consideradas sensíveis.

    Veja as informações sobre os usuários.

  4. Clique em uma linha da tabela para exibir informações detalhadas sobre a atividade do usuário:

    Mais detalhes do usuário.

Sobre as operações confidenciais

As páginas Visão geral e Atividade do usuário exibem informações sobre operações confidenciais realizadas pelos usuários. Uma operação sensível é qualquer operação na interface do usuário ou API que execute um comando GET/PUT/POST/DELETE. nos seguintes padrões de API:

Caso de uso Padrão de URI de solicitação
Acesso aos desenvolvedores /v1/organizations/org_name/developers*
Como acessar aplicativos /v1/organizations/org_name/apps*
Como acessar relatórios personalizados /v1/organizations/org_name/environments/env_name/stats*
Como acessar sessões de trace /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Acessar hosts virtuais /v1/organizations/org_name/environments/env_name/virtualhosts*

Para esses padrões, o caractere * corresponde a qualquer caminho de recurso. Por exemplo: para o padrão de URI:

/v1/organizations/org_name/developers*

O Edge rastreia as ações GET/PUT/POST/DELETE nos seguintes URIs:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Faça perguntas sobre o que você está vendo

A página Atividade do usuário oferece uma maneira de detalhar a atividade dos usuários da organização. Para cada usuário, você pode se perguntar:

  • O número de logins é adequado para o usuário?
  • O usuário está executando muitas operações confidenciais? Essas são as operações esperadas que o usuário precisa realizar?
  • A atividade do usuário mudou ao longo de um período? Por que a porcentagem mudou?