セキュリティ レポートを確認する

<ph type="x-smartling-placeholder"></ph> 現在、Apigee Edge のドキュメントが表示されています。
Apigee X のドキュメント 詳細

このチュートリアルでは、現在のセキュリティの脆弱性と潜在的なセキュリティの脆弱性をより深く理解する方法について説明します。 このトピックでは、ユーザー インターフェースに表示されるレポートについて説明し、API プロキシのセキュリティに関する考え方を示します。

組織管理者と読み取り専用組織管理者のみがアクセスできる 作成できます。

Advanced API Ops で利用可能なレポート

このページでは、すべてのお客様に提供されているものを含め、セキュリティ レポートの使用方法について説明します。 Edge for Cloud Enterprise のお客様と、Advanced API Ops のお客様のみが利用できるエディション。 Advanced API Ops を購入していない Cloud Enterprise のお客様向けの Edge 以下の一部のレポートにアクセスできません。

利用可能なレポートの完全なリストについては、セキュリティ レポートの概要をご覧ください。 すべてのエンタープライズのお客様、および Advanced API Ops のお客様のみが利用できるプロダクトです。

ランタイム アクティビティと構成のスナップショットを取得する

[概要] ページを使用すると、構成とランタイム トラフィックのセキュリティ スナップショットを確認できます。これには次のような情報が含まれます。 回避できます。大量のアクティビティ、特にセキュリティの脆弱性を示すアクティビティを把握することで、構成とトラフィックに関するより詳細なデータを調べることができます。

ランタイム アクティビティを表示するには:

  1. サイド ナビゲーション メニューで、[Analyze] >セキュリティ レポート >概要をご覧ください。

  2. 右上にある期間のプルダウンをクリックして、表示するデータの対象期間を選択します。

    ノースバウンド トラフィック グラフ

  3. [ノースバウンド トラフィック] グラフには、組織内の各環境の API プロキシへの受信リクエストに関する情報が表示されます。

  4. 受信トラフィックをさらに詳しく調べるには、[ランタイム レポート] をクリックして、[ランタイム] ページで詳細データを表示します。これについては、以降で説明します。

  5. [ノースバウンド トラフィック] グラフの下には、[リージョン別のトラフィック](複数のリージョンがある場合のみ)、[障害コード別のエラー分布]、[機密性の高い操作別のユーザー](組織管理者のみ)を示すグラフが表示されます。

    リージョン別のトラフィック、障害コード別のエラー分布、機密の可能性があるオペレーション別のユーザー数のグラフ

    この画像では、メールアドレスが意図的に隠されています。機密性の高いオペレーションの詳細については、後述の機密性の高いオペレーションについてをご覧ください。

表示されているものについて質問できます

[概要] ページで提供される概要のスナップショットを使用すると、システムのセキュリティに関連する主な特性を確認できます。これを踏まえて、次のような点を考えてみましょう。

  • リクエストの割合は予想を超えていますか?どの API プロキシがこれらのリクエストを取得しているかを詳しく調べたほうがよいでしょうか。
  • 各リージョンのトラフィックの割合は正しいと思いますか?1 つのリージョンが過負荷状態になっていますか?
  • 多数の障害コードが表示されていますか?どこで発生していますか?
  • (組織管理者のみ)最も機密性の高い操作を行っているのはどのユーザーか?

ランタイム トラフィックの詳細を取得する

[ランタイム] ページを使用して、ランタイム トラフィックの詳細を表示し、現在のセキュリティの脆弱性を特定します。 たとえば、次のようなことができます。

  • プロキシとターゲットに送信される HTTPS 以外のトラフィックの量を特定します。
  • そのトラフィックを処理するデベロッパー アプリと仮想ホストの詳細を表示します。
  • 障害コード別にエラー数を表示します。

ランタイム トラフィックの詳細を表示するには:

  1. サイド ナビゲーション メニューで、[Analyze] >セキュリティ レポート >ランタイム
  2. 表示するデータのスコープを設定するには、ページの上部で、データを表示する環境、リージョン、期間を選択します。
  3. [Environments] プルダウンの横にあるプルダウンに [Proxies] と表示されていることを確認します。(「Targets」などの値は使用できません。後述します)。値は [Any] のままにします。

  4. 表には、設定したスコープ内の API プロキシと、その期間の合計トラフィックが一覧表示されます。特に、HTTPS 以外のトラフィックが表示されている列に注目してください。リストされているプロキシに送信され、HTTPS ではなく HTTPS 以外で受信されたリクエストを表します。これはセキュリティの脆弱性です。

    ランタイム トラフィックの詳細を表示します。

  5. テーブル内の行をクリックすると、プロキシの詳細が表示されます。[合計トラフィック] グラフと同様に、[ノースバウンド トラフィック] グラフのバーにカーソルを合わせると、基になるデータが表示されます。

    プロキシの詳細情報を取得します。

  6. ページの上部にある [Proxies] プルダウンをクリックし、[Targets] をクリックします。

  7. この表には、プロキシについて表示された表と同様の情報がプロキシ ターゲットについて一覧表示されています。

  8. テーブル内の行をクリックして、ターゲットの詳細を表示します。

    ターゲットの詳細を表示します。

  9. ページの上部にある [ターゲット] プルダウンをクリックし、[アプリ] をクリックしてアプリに関する情報を表示します。

  10. ページの上部で [Apps] プルダウンをクリックし、[Fault code] をクリックして障害コードに関する情報を表示します。

表示されているものについて質問できます

[ランタイム] ページには、現在のトラフィック コンテキストでのプロキシの動作(クライアントからのリクエスト、ターゲットへのリクエスト)が表示されます。ここに示された内容を使用して、プロキシが正常に動作しているかどうかを自問してください。

  • HTTPS 以外のトラフィックを受信する各プロキシの詳細を確認します。そのトラフィックの割合はそのプロキシに適切であるか。HTTPS 経由でリクエストを受信するようにプロキシを再構成する必要がありますか?
  • 履歴の増減など、さまざまなスコープでデータを確認します。対応できそうな傾向はありますか?
  • プロキシからターゲットへのトラフィックが大幅に増加していますか?そのトラフィックは、トラフィック管理ポリシーによってメディエーションされるべきか。

構成の詳細を取得する

セキュリティの観点から構成の詳細を確認することで、プロキシの構成方法を変更することでセキュリティを強化できる部分を特定できます。[Configuration] ページには、Apigee Edge で利用可能なツールをプロキシとターゲットがどのように使用しているかの詳細が表示されます。

構成の詳細を表示するには:

  1. サイド ナビゲーション メニューで、[Analyze] >セキュリティ レポート >Configuration メニュー項目を選択します。
  2. 表示するデータのスコープを設定するには、ページの上部で、データを表示する環境を選択します。
  3. [Environments] プルダウンの横にあるプルダウンに [Proxies] と表示されていることを確認します。(「ターゲット」や他の値は使用できません)。値は [すべて] のままにします。
  4. この表には、プロキシごとに次の情報が表示されます。 <ph type="x-smartling-placeholder">
      </ph>
    • セキュリティ関連のポリシー グループから使用されているポリシーの数。ポリシー グループは、トラフィック管理、セキュリティ、拡張機能です。グループの詳細については、ポリシー リファレンスの概要をご覧ください。
    • プロキシで使用される共有フローの数(存在する場合)。
    • プロキシの仮想ホストが HTTPS 以外のリクエスト、HTTPS リクエスト、またはその両方を受信するように設定されているかどうか。

  5. テーブル内の行をクリックすると、プロキシの構成の詳細が表示されます。

    プロキシ構成の詳細を表示します。

  6. 選択したプロキシに共有フローが含まれている場合は、UI の右側にある [Shared Flows] をクリックして、このプロキシによって呼び出される共有フローで構成されているセキュリティ関連のポリシーのリストを表示します。

  7. ページの上部にある [Proxies] プルダウンをクリックし、[Targets] をクリックします。

  8. この表には、ターゲットに HTTPS 以外の呼び出しと HTTPS 呼び出しのどちらで到達しているかが示されています。

    HTTPS 以外または HTTPS 以外の呼び出しで到達したターゲット。

  9. ページの上部にある [ターゲット] プルダウンをクリックし、[共有フロー] をクリックすると、次のような共有フローに関する情報が表示されます。

    • セキュリティ関連のポリシー グループから使用されているポリシーの数。
    • 各共有フローを使用するプロキシの数。

    共有フロー構成の詳細。

表示されているものについて質問できます

[ランタイム] ページにはプロキシがランタイム条件でどのように動作するかが示され、[構成] ページではそれらの条件を処理するようにプロキシがどのように構成されているかが示されます。レポートを確認するときに、各プロキシを詳しく調べます。

  • プロキシに適切なセキュリティ ポリシーが含まれているか。セキュリティの観点から、すべてのプロキシを同じように構成する必要はありません。たとえば、リクエストの負荷が高いプロキシや、リクエスト量が大幅に変動するプロキシには、SpikeArrest ポリシーなどのトラフィック制御ポリシーを構成する必要があります。
  • 共有フローの使用量が少ない場合、その理由は何ですか?共有フローは、再利用可能なセキュリティ関連機能を作成するのに便利な方法です。共有フローの詳細については、再利用可能な共有フローをご覧ください。
  • フローフックに接続された共有フローを使用していますか?セキュリティ関連のポリシーを含む共有フローをフローフックに接続すると、環境内のプロキシ間でセキュリティ機能を適用できます。フローフックの詳細については、フローフックを使用した共有フローの接続をご覧ください。
  • プロキシに HTTPS 以外の仮想ホストを含めることを許可するべきか。

ユーザー アクティビティの詳細を取得する

セキュリティをモニタリングする一環として、ユーザーが実行している、機密性が高い可能性のあるオペレーションに注意してください。[User Activity] ページには、ユーザーが行った機密性の高い操作の数が一覧表示されます。機密性の高いオペレーションの詳細については、後述の機密性の高いオペレーションについてをご覧ください。

Advanced API Ops を購入した組織管理者のみ [ユーザー アクティビティ] ページにアクセスできます。 読み取り専用組織管理者など、他のロールではこのページにアクセスできません

ユーザー アクティビティを表示するには:

  1. サイド ナビゲーション メニューで、[Analyze] >セキュリティ レポート >User Activity メニュー項目を選択します。
  2. 日付ボックスをクリックして期間を設定します。

  3. 組織内の各ユーザーについて、表には以下のものが表示されます(メールアドレスは意図的に隠されています)。

    • ログイン回数。
    • ユーザーが UI または API を使用して行った機密オペレーションの数。
    • 選択した期間のアクティビティの変化。
    • ユーザーによって実行されたすべてのオペレーションのうち、機密性が高いとみなされるものの割合。

    ユーザーに関する情報を表示します。

  4. 表内の行をクリックすると、ユーザーのアクティビティに関する詳細情報が表示されます。

    ユーザーの詳細を表示します。

機密性の高いオペレーションについて

[概要] ページと [ユーザー アクティビティ] ページの両方に、ユーザーが行う機密性の高い操作に関する情報が表示されます。 機密性の高いオペレーションとは、GET/PUT/POST/DELETE を実行する UI または API のあらゆるオペレーションのことです。 アクションを実行できます。

ユースケース リクエスト URI パターン
デベロッパーへのアクセス /v1/organizations/org_name/developers*
アプリへのアクセス /v1/organizations/org_name/apps*
カスタム レポートへのアクセス /v1/organizations/org_name/environments/env_name/stats*
トレース セッションへのアクセス /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
仮想ホストへのアクセス /v1/organizations/org_name/environments/env_name/virtualhosts*

これらのパターンでは、* 文字は任意のリソースパスに対応します。たとえば URI パターンの場合:

/v1/organizations/org_name/developers*

Edge は、次の URI に対して GET/PUT/POST/DELETE アクションを追跡します。

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

表示されているものについて質問できます

[ユーザー アクティビティ] ページでは、組織ユーザーのアクティビティをドリルダウンできます。 ユーザーごとに、次のことを検討します。

  • ログイン回数はユーザーに適切か。
  • ユーザーは機密性の高い操作を多数実行していますか?これらはこのユーザーが実行すべき想定される操作ですか?
  • 一定の期間にユーザーのアクティビティに変化はありましたか?割合が変更されたのはなぜですか?