您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
阅读本演示,了解如何更好地了解当前和潜在安全漏洞。 本主题介绍了您将在界面中看到的报告,并提供了一些关于如何看待 API 代理安全性的方法。
只有组织管理员和只读组织管理员才能访问 Edge 界面中的这些报告。
Advanced API Ops 中提供的报告
本页面介绍了如何使用安全报告,包括提供给所有 Edge for Cloud Enterprise 客户的安全报告,以及仅向高级 API Ops 客户提供的安全报告。未购买 Advanced API Ops 的 Edge for Cloud Enterprise 客户将无法访问下面所述的某些报告。
请参阅安全报告简介,了解所有企业客户以及仅供高级 API 运维客户使用的报告的完整列表。
获取运行时活动和配置的快照
您可以使用概览页面获取配置和运行时流量(包括潜在的敏感操作)的安全快照。通过查看最大量的活动(尤其是可能存在安全漏洞的活动),您可以探索有关配置和流量的更详细的数据。
如需查看运行时活动,请执行以下操作:
在侧边导航菜单中,依次点击 Analyze > Security Reporting > Overview。
点击右上角的时间段下拉菜单,然后选择要查看其数据的上一个时间段:
北向流量图表显示了贵组织中每种环境向 API 代理的传入请求的相关信息。
如需更详细地检查传入流量,请点击运行时报告以在运行时页面上查看详细数据(如下所述)。
在北向流量图表下方,您会看到显示按区域划分的流量(仅适用于多个区域)、错误分布(按故障代码)和按可能敏感的操作划分的用户数(仅限组织管理员)的图表:
电子邮件地址在此图片中被特意遮盖。请参阅下文的敏感操作简介,了解敏感操作的说明。
询问您所看到的内容
概览页面提供的概要信息可帮助您了解与系统安全性相关的重要特征。根据您看到的内容,您可以问自己以下问题:
- 请求所占的百分比是否超出您的预期?您是否应该详细了解一下哪些 API 代理在接收这些请求?
- 每个地区的流量百分比看起来是否正确?某个区域是否过载?
- 您是否看到大量错误代码?发生在何处?
- (仅限组织管理员)哪些用户正在调用可能最敏感的操作?
获取运行时流量详情
在运行时页面中,您可以查看有关运行时流量的详细信息,并识别当前的安全漏洞。 例如,您可以:
- 确定流向代理和目标的非 HTTPS 流量数量。
- 查看提供相应流量的开发者应用和虚拟主机的详细信息。
- 按错误代码查看错误数。
如需查看运行时流量详情,请执行以下操作:
- 在侧边导航菜单中,依次点击 Analyze > Security Reporting > Runtime。
- 如要设置要查看的数据的范围,请在页面顶部选择要查看数据的环境、区域和时间段。
- 确保环境下拉菜单旁边的下拉菜单中显示的是“代理”(而不是“目标”或任何其他值 - 您将在下文中看到),并将其值保留为“不限”。
请注意,表格中会列出您设置的范围内的 API 代理,以及这些代理在相应时间段内的总流量。尤其要注意列出非 HTTPS 流量的列。这表示发送到所列的代理且通过非 HTTPS(而非 HTTPS)传入的请求。这是一个安全漏洞:
点击表格中的某一行可查看有关代理的详细信息。与“总流量”图表一样,您可以将鼠标悬停在北向流量图表中的条形上,以查看基础数据:
在页面顶部,点击代理下拉菜单,然后点击目标。
请注意,此表列出的代理目标信息与为代理列出的表类似。
点击表格中的某一行可查看目标的详细信息。
在页面顶部,点击目标下拉菜单,然后点击应用以查看有关您的应用的信息。
在页面顶部,点击应用下拉菜单,然后点击错误代码以查看有关错误代码的信息。
询问您所看到的内容
运行时页面说明了代理在当前流量情境(来自客户端的请求、发送到目标的请求)下的行为方式。根据显示的内容询问自己关于代理行为是否正常的问题。
- 查看接收非 HTTPS 流量的每个代理的详细信息。这部分流量看起来是否适用于该代理?是否应重新配置代理以通过 HTTPS 接收请求?
- 查看来自各种范围的数据,例如更多或更少的历史记录。是否有某种趋势能够做出响应?
- 从代理到目标的流量是否有任何显著增加?该流量是否应由流量管理政策进行中介?
获取配置详情
通过从安全角度了解配置的详细信息,您可以着手确定可以通过更改代理的配置方式来提高安全性的地方。通过配置页面,您可以详细了解代理和目标如何使用 Apigee Edge 中提供的工具。
如需查看配置详情,请执行以下操作:
- 在侧边导航菜单中,依次点击分析 > 安全报告 > 配置菜单项。
- 如要设置要查看的数据的范围,请在页面顶部选择要查看数据的环境。
- 确保环境下拉菜单旁边的下拉菜单中显示的是“代理”(而不是“目标”或其他值),并将其值保留为“不限”。
- 对于每个代理,下表会指明:
- 安全相关政策组中使用的政策数量。政策组分别是流量管理、安全和扩展程序。如需详细了解这些组,请参阅政策参考概览。
- 代理使用的共享流的数量(如果有)。
- 代理的虚拟主机是否设置为接收非 HTTPS 请求和/或 HTTPS 请求。
点击表格中的某一行可查看有关代理配置的详细信息:
如果您选择的代理包含共享流,请点击界面右侧的共享流,以查看在此代理调用的共享流中配置的安全相关政策列表。
在页面顶部,点击代理下拉菜单,然后点击目标。
请注意,下表指明了是非 HTTPS 调用还是 HTTPS 调用到达了目标:
在页面顶部,点击目标下拉列表,然后点击共享流以查看有关共享流的信息,包括:
- 安全相关政策组中使用的政策数量。
- 使用每个共享流的代理数量。
询问您所看到的内容
运行时页面说明了代理在运行时条件下的行为方式,配置页面说明了您如何配置代理来处理这些条件。在查看报告时,请详细了解每个代理。
- 您的代理是否包含相应的安全政策?就安全性而言,并非所有代理都应以相同的方式配置。例如,如果代理的请求负载很高,或者请求数量波动很大,那么代理可能应该配置 SpikeArrest 政策等流量控制政策。
- 如果共享流的使用率较低,原因是什么?如需创建可重复使用的安全相关功能,共享流是一种非常有用的方式。如需详细了解共享流,请参阅可重复使用的共享流。
- 您是否正在使用附加到流钩子的共享流?通过将包含安全政策的共享流附加到流钩子,您可以在环境中的代理之间强制执行该安全功能。如需详细了解流钩子,请参阅使用流钩子附加共享流。
- 是否应允许代理拥有非 HTTPS 虚拟主机?
获取用户活动详情
在监控安全性的过程中,请注意用户执行的潜在敏感操作。用户活动页面列出了用户执行的敏感操作的次数。请参阅下文的敏感操作简介,了解敏感操作的说明。
只有已购买 Advanced API Ops 的组织管理员才能访问用户活动页面。其他角色(包括拥有只读权限的组织管理员)无法访问此页面
如需查看用户活动,请执行以下操作:
- 在侧边导航菜单中,依次点击分析 > 安全报告 > 用户活动菜单项。
- 点击日期框即可设置日期范围。
对于组织中的每个用户,该表格会显示(故意遮盖的电子邮件地址):
- 登录次数。
- 用户通过界面或 API 执行的敏感操作的次数。
- 所选时间范围内活动的变化。
- 用户执行的所有敏感操作所占的百分比。
点击表格中的某一行可显示有关用户活动的详细信息:
敏感操作简介
概览页面和用户活动页面均显示有关用户执行的敏感操作的信息。 敏感操作是指在界面或 API 中对以下 API 模式执行 GET/PUT/POST/DELETE 操作的任何操作:
使用场景 | 请求 URI 模式 |
---|---|
接触开发者 | /v1/organizations/org_name/developers* |
访问应用 | /v1/organizations/org_name/apps* |
访问自定义报告 | /v1/organizations/org_name/environments/env_name/stats* |
访问跟踪会话 | /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions* |
访问虚拟主机 | /v1/organizations/org_name/environments/env_name/virtualhosts* |
对于这些模式,* 字符对应于任何资源路径。例如,对于 URI 模式:
/v1/organizations/org_name/developers*
Edge 会跟踪对以下 URI 执行的 GET/PUT/POST/DELETE 操作:
/v1/organizations/org_name/developers /v1/organizations/org_name/developers/developer_email /v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name
询问您所看到的内容
通过用户活动页面,您可以深入了解组织用户的活动。 对于每位用户,您都可以思考以下问题:
- 登录次数是否适合用户?
- 用户是否执行了大量敏感操作?这些是该用户应该执行的操作吗?
- 用户的活动是否在一段时间内发生了变化?为什么该百分比发生了变化?