Explorar informes de seguridad

Estás viendo la documentación de Apigee Edge.
Ve a la Documentación de Apigee X. información

Usa esta explicación para entender mejor las vulnerabilidades de seguridad actuales y potenciales. En este tema, se describen los informes que verás en la interfaz de usuario y se ofrecen maneras de analizar la seguridad de los proxies de tu API.

Solo pueden acceder los administradores de la organización y el administrador de la organización con acceso de solo lectura estos informes en la IU de Edge.

Informes disponibles en Operaciones de API avanzadas

En esta página, se describe cómo usar los informes de seguridad, incluidos los que se proporcionan a todos Edge para clientes de Cloud Enterprise y aquellos disponibles solo para clientes de Operaciones avanzadas de API. Edge para clientes de Cloud Enterprise que no compraron operaciones de API avanzadas no tendrá acceso a algunos de los informes que se describen a continuación.

Consulta Introducción a los informes de seguridad para obtener una lista completa de los informes disponibles para todos los clientes de Enterprise y aquellos disponibles solo para los clientes de Operaciones de API avanzadas.

Obtén un resumen de la actividad y la configuración del entorno de ejecución

Puedes usar la página Descripción general para obtener un resumen de seguridad del tráfico de configuración y del entorno de ejecución, lo que incluye operaciones potencialmente sensibles. Con una imagen de la mayor cantidad de actividad (en particular, la actividad que representa una posible vulnerabilidad de seguridad), puedes explorar datos más detallados sobre la configuración y el tráfico.

Para ver la actividad del tiempo de ejecución, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en Analyze > Informes de seguridad > Descripción general.

  2. En la esquina superior derecha, haz clic en el menú desplegable del período y, luego, selecciona el período anterior para el que deseas ver los datos:

    El gráfico de tráfico en dirección norte

  3. En el gráfico Tráfico hacia el norte, se muestra información sobre las solicitudes entrantes a los proxies de tu API para cada entorno de tu organización.

  4. Para examinar el tráfico entrante con más detalle, haz clic en Informes de entorno de ejecución para ver datos detallados en la página Entorno de ejecución, que se describe a continuación.

  5. Debajo del gráfico Tráfico hacia el norte, encontrarás gráficos que muestran el Tráfico por región (solo cuando tienes varias regiones), Distribución de errores por código de falla y Usuarios por operaciones potencialmente sensibles (solo para administradores de la organización):

    El tráfico por región, la distribución de errores por código de falla y los usuarios según los gráficos de operaciones potencialmente sensibles

    Las direcciones de correo electrónico están oscurecidas intencionalmente en esta imagen. Consulta Acerca de las operaciones sensibles a continuación para obtener una descripción de las operaciones sensibles.

Haz preguntas sobre lo que ves

El resumen de alto nivel que proporciona la página Descripción general te ayuda a ver las características destacadas relacionadas con la seguridad de tu sistema. En función de lo que veas, puedes hacerte las siguientes preguntas:

  • ¿El porcentaje de solicitudes supera tus expectativas? ¿Deberías analizar con más detalle qué proxies de API reciben esas solicitudes?
  • ¿El porcentaje de tráfico de cada región parece correcto? ¿Se está sobrecargando una región?
  • ¿Ves una gran cantidad de códigos de falla? ¿Dónde ocurren?
  • (Solo para administradores de la organización) ¿Qué usuarios invocan las operaciones más potencialmente sensibles?

Obtén detalles del tráfico del entorno de ejecución

Usa la página Entorno de ejecución para ver detalles sobre el tráfico del entorno de ejecución y también identificar las vulnerabilidades de seguridad actuales. Por ejemplo, puedes hacer lo siguiente:

  • Identifica la cantidad de tráfico que no es HTTPS hacia tus proxies y destinos.
  • Consulta los detalles sobre las apps de desarrollador y los hosts virtuales que prestan servicios a ese tráfico.
  • Visualiza el recuento de errores por código de falla.

Para ver los detalles del tráfico del entorno de ejecución, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en Analyze > Informes de seguridad > Entorno de ejecución.
  2. Para establecer el alcance de los datos que deseas ver, en la parte superior de la página, selecciona el entorno, la región y el período para el que deseas ver los datos.
  3. Asegúrate de que el menú desplegable junto al menú desplegable del entorno diga "Proxies". (no "Targets" ni ningún otro valor; verás eso a continuación) y deja su valor como "Any".

  4. Ten en cuenta que la tabla enumera los proxies de API dentro del alcance que configuraste, junto con su tráfico total para el período. En particular, observa la columna que enumera el tráfico no HTTPS. Esto representa las solicitudes enviadas al proxy en la lista que llegan a través de un protocolo que no es HTTPS, en lugar de HTTPS. Esta es una vulnerabilidad de seguridad:

    Consulta los detalles del tráfico del entorno de ejecución.

  5. Haz clic en una fila de la tabla para ver más información sobre el proxy. Al igual que con el gráfico Tráfico total, puedes colocar el cursor sobre las barras del gráfico Tráfico hacia el norte para ver los datos subyacentes:

    Obtén más información sobre el proxy.

  6. En la parte superior de la página, haz clic en el menú desplegable Proxies y, luego, en Destinos.

  7. Ten en cuenta que la tabla incluye información similar para los destinos de proxy a la que se muestra para los proxies.

  8. Haz clic en una fila de la tabla para ver los detalles del destino.

    Ver detalles sobre el destino.

  9. En la parte superior de la página, haz clic en el menú desplegable Destinos y, luego, en Aplicaciones para ver información sobre tus aplicaciones.

  10. En la parte superior de la página, haz clic en el menú desplegable Aplicaciones y, luego, en Códigos de error para ver información sobre los códigos de falla.

Haz preguntas sobre lo que ves

La página Entorno de ejecución muestra cómo se comportan tus proxies en el contexto de tráfico actual: solicitudes de clientes, solicitudes a objetivos. Usa lo que se muestra para hacerte preguntas sobre si tus proxies se comportan como deberían.

  • Consulta los detalles de cada proxy que recibe tráfico que no sea HTTPS. ¿La parte de ese tráfico parece apropiada para ese proxy? ¿Se debe reconfigurar el proxy para recibir solicitudes por HTTPS?
  • Observa los datos desde una variedad de alcances, como más o menos historial. ¿Hay alguna tendencia a la que podrías estar respondiendo?
  • ¿Hay algún aumento significativo en el tráfico de un proxy a un objetivo? ¿Las políticas de administración de tráfico deben mediar ese tráfico?

Obtén detalles de configuración

Con los detalles sobre la configuración desde una perspectiva de seguridad, puedes comenzar a identificar los lugares en los que puedes mejorar la seguridad cambiando la forma en que se configuran tus proxies. En la página Configuración, se proporciona una vista detallada de cómo los proxies y destinos usan las herramientas disponibles en Apigee Edge.

Para ver los detalles de configuración, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en el botón Analizar > Informes de seguridad > Configuración.
  2. Para establecer el alcance de los datos que quieres ver, en la parte superior de la página, selecciona el entorno del que quieres ver los datos.
  3. Asegúrate de que el menú desplegable junto al menú desplegable del entorno diga "Proxies". (no “Targets” ni otros valores) y deja su valor como “Any”.
  4. Para cada proxy, la tabla indica lo siguiente:
    • La cantidad de políticas que se usaron de los grupos de políticas relacionadas con la seguridad. Los grupos de políticas son administración del tráfico, seguridad y extensiones. Para obtener más información sobre los grupos, consulta la Descripción general de la referencia de políticas.
    • La cantidad de flujos compartidos, si los hay, que usa un proxy
    • Indica si los hosts virtuales de un proxy están configurados para recibir solicitudes no HTTPS, solicitudes HTTPS o ambas.

  5. Haz clic en una fila de la tabla para ver más información sobre la configuración del proxy:

    Consulta los detalles de configuración del proxy.

  6. Si el proxy que seleccionaste incluye flujos compartidos, en la parte derecha de la IU, haz clic en Flujos compartidos para ver la lista de políticas relacionadas con la seguridad que se configuraron en flujos compartidos a los que llama este proxy.

  7. En la parte superior de la página, haz clic en el menú desplegable Proxies y, luego, en Destinos.

  8. Ten en cuenta que la tabla indica si se alcanzan los objetivos a través de llamadas que no son HTTPS o HTTPS:

    Destinos alcanzados por llamadas que no son HTTPS o HTTPS.

  9. En la parte superior de la página, haz clic en el menú desplegable Destinos y, luego, en Flujos compartidos para ver información sobre los flujos compartidos, incluidos los siguientes:

    • La cantidad de políticas que se usaron de los grupos de políticas relacionadas con la seguridad.
    • La cantidad de proxies que usan cada flujo compartido.

    Detalles de configuración de flujo compartidos.

Haz preguntas sobre lo que ves

En la página Entorno de ejecución, se muestra cómo se comportan tus proxies en condiciones del entorno de ejecución, mientras que en la página Configuración se muestra cómo los configuraste para controlar esas condiciones. Cuando repasemos los informes, analice con más detalle cada proxy.

  • ¿Tus proxies tienen incluidas las políticas de seguridad adecuadas? No todos los proxies deben configurarse de forma idéntica cuando se trata de seguridad. Por ejemplo, un proxy que recibe una carga pesada de solicitudes, o cuya cantidad de solicitudes fluctúa drásticamente, probablemente debería tener configuradas políticas de control de tráfico como la política SpikeArrest.
  • Si el uso del flujo compartido es bajo, ¿por qué es eso? Los flujos compartidos pueden ser útiles para crear funcionalidades reutilizables relacionadas con la seguridad. Para obtener más información sobre los flujos compartidos, consulta Flujos compartidos reutilizables.
  • ¿Estás usando flujos compartidos adjuntos a hooks de flujo? Cuando adjuntas un flujo compartido que contiene políticas relacionadas con la seguridad a un hook de flujo, puedes aplicar esa funcionalidad de seguridad a los proxies de un entorno. Para obtener más información sobre los hooks de flujo, consulta Adjunta un flujo compartido con un hook de flujo.
  • ¿Se debe permitir que el proxy tenga un host virtual que no sea HTTPS?

Obtén detalles de la actividad del usuario

Como parte de la supervisión de seguridad, debes estar al tanto de las operaciones potencialmente sensibles que realizan los usuarios. En la página Actividad del usuario, se muestra el recuento de operaciones sensibles que realizaron los usuarios. Consulta Acerca de las operaciones sensibles a continuación para obtener una descripción de las operaciones sensibles.

Solo los administradores de la organización que compraron operaciones de API avanzadas puede acceder a la página Actividad del usuario. Ningún otro rol, incluido el de Administrador de solo lectura de la organización, puede acceder a esta página

Para ver la actividad del usuario, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en el botón Analizar > Informes de seguridad > Actividad del usuario.
  2. Haz clic en el cuadro de fecha para establecer el período.

  3. La tabla muestra las direcciones de correo electrónico ocultas intencionalmente para cada usuario de la organización:

    • La cantidad de accesos.
    • Indica la cantidad de operaciones sensibles que realiza el usuario a través de la IU o la API.
    • El cambio en la actividad durante el intervalo de tiempo seleccionado.
    • El porcentaje de todas las operaciones realizadas por el usuario que se consideran sensibles.

    Ver información sobre los usuarios.

  4. Haz clic en una fila de la tabla para mostrar información detallada sobre la actividad del usuario:

    Consulta los detalles del usuario.

Información acerca de las operaciones sensibles

Las páginas Descripción general y Actividad del usuario muestran información sobre las operaciones sensibles que realizan los usuarios. Una operación sensible es cualquier operación en la IU o API que realice un proceso GET, PUT, POST o DELETE. acción en los siguientes patrones de API:

Caso de uso Patrón de URI de la solicitud
Cómo acceder a los desarrolladores /v1/organizations/org_name/developers*
Acceso a aplicaciones /v1/organizations/org_name/apps*
Cómo acceder a los informes personalizados /v1/organizations/org_name/environments/env_name/stats*
Accede a las sesiones de seguimiento /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Acceso a hosts virtuales /v1/organizations/org_name/environments/env_name/virtualhosts*

Para estos patrones, el carácter * corresponde a cualquier ruta de acceso a recursos. Por ejemplo: Para el patrón de URI:

/v1/organizations/org_name/developers*

Edge realiza un seguimiento de las acciones GET/PUT/POST/DELETE en los URI siguientes:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Haz preguntas sobre lo que ves

La página Actividad del usuario proporciona una forma de desglosar la actividad de los usuarios de la organización. Puedes preguntarte lo siguiente para cada usuario:

  • ¿La cantidad de accesos es adecuada para el usuario?
  • ¿El usuario realiza una gran cantidad de operaciones sensibles? ¿Estas son las operaciones esperadas que debería realizar este usuario?
  • ¿La actividad del usuario cambió durante un período de tiempo? ¿Por qué cambió el porcentaje?