探索安全性報告

您目前查看的是 Apigee Edge 說明文件。
前往 Apigee X 說明文件。 info

請參閱本逐步導覽，瞭解如何進一步掌握目前和潛在的安全漏洞。本主題說明您會在使用者介面中看到的報表，並提供 API Proxy 安全性的思考方式。

只有機構管理員和唯讀機構管理員，才能在 Edge 使用者介面中存取這些報表。

Advanced API Ops 提供的報表

本頁說明如何使用安全防護報告，包括提供給所有 Edge for Cloud Enterprise 客戶的報告，以及僅供 Advanced API Ops 客戶使用的報告。如果 Cloud Enterprise 客戶未購買 Advanced API Ops，就無法存取下列部分報表。

如需所有 Enterprise 客戶和僅適用於 Advanced API Ops 客戶的報表完整清單，請參閱「安全性報告簡介」。

取得執行階段活動和設定的快照

您可以使用「總覽」頁面取得設定和執行階段流量的安全性快照，包括可能涉及機密資訊的作業。有了活動量最大的圖片 (特別是代表可能安全漏洞的活動)，您就能探索設定和流量的更詳細資料。

如要查看執行階段活動，請按照下列步驟操作：

1. 在側邊導覽選單中，依序點選「分析」>「安全性報告」>「總覽」。

2. 按一下右上角的「時間範圍」下拉式選單，然後選取要查看資料的前一個期間：

   

3. 「北向流量」圖表會顯示機構中每個環境的 API Proxy 傳入要求相關資訊。

4. 如要進一步檢查傳入流量，請按一下「執行階段報表」，查看「執行階段」頁面的詳細資料 (詳情請見下文)。

5. 在「北向流量」圖表下方，您會看到「依區域劃分的流量」 (僅限多個區域)、「依錯誤代碼劃分的錯誤分布」，以及「依可能涉及私密資訊的作業劃分的使用者」 (僅限機構管理員)：

   

   這張圖片中的電子郵件地址經過模糊處理，如要瞭解敏感作業，請參閱下方的「關於敏感作業」。

詢問你看到的內容

「總覽」頁面提供的總體快照，可協助您查看與系統安全性相關的顯著特徵。根據您看到的內容，您可能會問自己下列問題：

• 請求百分比是否超出預期？您是否應進一步瞭解哪些 API Proxy 收到這些要求？
• 各區域的流量百分比是否正確？某個區域是否過度負載？
• 您是否看到大量故障代碼？發生地點
• (僅限機構管理員) 哪些使用者最常叫用可能涉及機密的操作？

取得執行階段流量詳細資料

您可以在「執行階段」頁面查看執行階段流量的詳細資料，並找出目前的安全漏洞。 例如，您可以：

• 找出傳送至 Proxy 和目標的非 HTTPS 流量。
• 查看提供該流量服務的開發人員應用程式和虛擬主機詳細資料。
• 依故障代碼查看錯誤數。

如要查看執行階段流量詳細資料，請按照下列步驟操作：

1. 在側邊導覽選單中，依序點選「分析」>「安全性報告」>「執行階段」。
2. 如要設定要查看的資料範圍，請在頁面頂端選取要查看資料的環境、區域和時間範圍。
3. 確認環境下拉式選單旁的下拉式選單顯示「Proxies」(而非「Targets」或其他值，您會在下方查看)，並將其值保留為「Any」。

4. 請注意，表格會列出您設定範圍內的 API Proxy，以及該期間的總流量。請特別注意列出非 HTTPS 流量的資料欄。這代表傳送至所列 Proxy 的要求是透過非 HTTPS 傳入，而非 HTTPS。這屬於安全漏洞：

   

5. 按一下表格中的資料列，即可查看 Proxy 的詳細資訊。與「總流量」圖表一樣，您可以將滑鼠游標懸停在「北向流量」圖表的長條上，查看基礎資料：

   

6. 按一下頁面頂端的「Proxy」下拉式選單，然後按一下「目標」。

7. 請注意，這個表格列出的 Proxy 目標資訊與 Proxy 表格列出的資訊類似。

8. 按一下表格中的資料列，即可查看目標的詳細資料。

   

9. 按一下頁面頂端的「目標」下拉式選單，然後按一下「應用程式」，即可查看應用程式的相關資訊。

10. 按一下頁面頂端的「應用程式」下拉式選單，然後按一下「故障代碼」，即可查看故障代碼資訊。

詢問你看到的內容

「執行階段」頁面會說明 Proxy 在目前流量環境中的行為，包括來自用戶端的請求，以及傳送至目標的請求。根據顯示的內容，詢問自己 Proxy 是否正常運作。

• 查看接收非 HTTPS 流量的每個 Proxy 詳細資料。該流量比例是否適合該 Proxy？是否應重新設定 Proxy，透過 HTTPS 接收要求？
• 從各種範圍查看資料，例如更多或更少的記錄。你是否可以回應某個趨勢？
• 從 Proxy 到目標的流量是否大幅增加？是否應透過流量管理政策調解該流量？

取得設定詳細資料

您可從安全性的角度查看設定詳細資料，然後開始找出可改善安全性的地方，方法是變更 Proxy 的設定方式。「設定」頁面會詳細顯示 Proxy 和目標如何使用 Apigee Edge 提供的工具。

如要查看設定詳細資料，請按照下列步驟操作：

1. 在側邊導覽選單中，依序點選「分析」>「安全性報告」>「設定」選單項目。
2. 如要設定要查看的資料範圍，請在頁面頂端選取要查看資料的環境。
3. 確認環境下拉式選單旁的下拉式選單顯示「Proxies」(而非「Targets」或其他值)，並將值保留為「Any」。
4. 表格會顯示每個 Proxy 的下列資訊：
   • 安全性相關政策群組中使用的政策數量。政策群組包括流量管理、安全性和擴充功能。如要進一步瞭解群組，請參閱政策參考資料總覽。
   • Proxy 使用的共用流程數量 (如有)。
   • Proxy 的虛擬主機是否已設定為接收非 HTTPS 要求、HTTPS 要求或兩者。

5. 按一下表格中的資料列，即可查看 Proxy 設定的詳細資訊：

   

6. 如果選取的 Proxy 包含共用流程，請在 UI 右側按一下「共用流程」，查看這個 Proxy 呼叫的共用流程中設定的安全性相關政策清單。

7. 按一下頁面頂端的「Proxy」下拉式選單，然後按一下「目標」。

8. 請注意，表格會指出目標是否透過非 HTTPS 或 HTTPS 呼叫觸及：

   

9. 按一下頁面頂端的「目標」下拉式選單，然後點選「共用流程」，即可查看共用流程的相關資訊，包括：

   • 安全性相關政策群組中使用的政策數量。
   • 使用各共用流程的 Proxy 數量。

   

詢問你看到的內容

「執行階段」頁面會說明 Proxy 在執行階段條件下的行為方式，「設定」頁面則會說明您如何設定 Proxy 來處理這些條件。查看報表時，請仔細檢查每個 Proxy。

• 您的 Proxy 是否包含適當的安全政策？就安全性而言，並非所有 Proxy 都應採用相同的設定。舉例來說，如果 Proxy 接收大量要求，或要求數量大幅波動，可能就應設定流量控管政策，例如 SpikeArrest 政策。
• 如果共用流程的使用率偏低，原因為何？共用流程是建立可重複使用的安全性相關功能的好方法。如要進一步瞭解共用流程，請參閱「可重複使用的共用流程」。
• 您是否使用附加至流程掛鉤的共用流程？將含有安全性相關政策的共用流程附加至流程掛鉤，即可在環境中的所有 Proxy 強制執行該安全性功能。如要進一步瞭解流程掛鉤，請參閱「使用流程掛鉤附加共用的流程」。
• 是否允許 Proxy 具有非 HTTPS 虛擬主機？

取得使用者活動詳細資料

監控安全性時，請留意使用者執行的潛在敏感作業。「使用者活動」頁面會列出使用者執行的敏感作業次數。如要瞭解敏感作業，請參閱下方的「關於敏感作業」。

只有購買 Advanced API Ops 的機構管理員，才能存取「使用者活動」頁面。包括唯讀機構管理員在內，其他角色都無法存取這個頁面

如要查看使用者活動，請按照下列步驟操作：

1. 在側邊導覽選單中，依序點選「分析」>「安全性報告」>「使用者活動」選單項目。
2. 按一下日期方塊，設定日期範圍。

3. 表格會顯示機構中每位使用者的以下資訊 (電子郵件地址已刻意遮蓋)：

   • 登入次數。
   • 使用者透過 UI 或 API 執行的敏感作業次數。
   • 所選時間範圍內的活動變化。
   • 使用者執行的所有作業中，被視為敏感作業的百分比。

   

4. 按一下表格中的任一列，即可顯示使用者活動的詳細資訊：

   

關於敏感作業

「總覽」和「使用者活動」頁面都會顯示使用者執行的敏感作業相關資訊。 敏感作業是指在 UI 或 API 中，對下列 API 模式執行 GET/PUT/POST/DELETE 動作的任何作業：

在這些模式中，「*」字元對應任何資源路徑。舉例來說，針對 URI 模式：

/v1/organizations/org_name/developers*

Edge 會追蹤下列 URI 的 GET/PUT/POST/DELETE 動作：

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

詢問你看到的內容

「使用者活動」頁面可讓您深入瞭解機構使用者的活動。 針對每位使用者，您可以問自己：

• 登入次數是否適合使用者？
• 使用者是否執行大量私密作業？這些是否為使用者應執行的預期作業？
• 使用者的活動在一段時間內是否有所變化？為什麼百分比會變更？