Esplora i report sulla sicurezza

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Usa questa procedura dettagliata per capire come comprendere meglio le vulnerabilità di sicurezza attuali e potenziali. Questo argomento descrive i report disponibili nell'interfaccia utente, offrendoti alcuni modi per valutare la sicurezza dei proxy API.

Solo gli amministratori dell'organizzazione e gli amministratori dell'organizzazione in sola lettura possono accedere e configurare questi report nell'UI di Edge.

Report disponibili in Advanced API Ops

In questa pagina viene descritto come utilizzare i report di sicurezza, inclusi quelli forniti a tutti Clienti Edge per Cloud Enterprise e quelli disponibili solo per i clienti Advanced API Ops. Edge per i clienti Cloud Enterprise che non hanno acquistato Advanced API Ops non avranno accesso ad alcuni dei report descritti di seguito.

Consulta Introduzione ai report sulla sicurezza per un elenco completo dei report disponibili. per tutti i clienti Enterprise e per quelli disponibili solo per i clienti Advanced API Ops.

Ottieni uno snapshot dell'attività e della configurazione di runtime

Puoi utilizzare la pagina Panoramica per ottenere un'istantanea della sicurezza del traffico di configurazione e di runtime, che include le operazioni potenzialmente sensibili. Tramite una panoramica delle maggiori quantità di attività, in particolare quelle che rappresentano una possibile vulnerabilità della sicurezza, puoi esaminare dati più dettagliati sulla configurazione e sul traffico.

Per visualizzare l'attività di runtime:

  1. Nel menu di navigazione laterale, fai clic su Analizza > Report sulla sicurezza > Panoramica.

  2. Nell'angolo in alto a destra, fai clic sul menu a discesa del periodo di tempo, poi seleziona il periodo precedente di cui vuoi visualizzare i dati:

    Grafico del traffico in direzione nord

  3. Il grafico Traffico verso nord mostra informazioni sulle richieste in arrivo ai proxy API per ciascun ambiente della tua organizzazione.

  4. Per esaminare il traffico in entrata in modo più dettagliato, fai clic su Report di runtime per visualizzare dati dettagliati nella pagina Runtime, descritta di seguito.

  5. Sotto il grafico Traffico diretto, troverai grafici che mostrano Traffico per regione (solo se hai più regioni), Distribuzione degli errori per codice di errore e Utenti per operazioni potenzialmente sensibili (solo per amministratori dell'organizzazione):

    I grafici Traffico per regione, Distribuzione degli errori per codice di errore e Utenti in base ai grafici delle operazioni potenzialmente sensibili

    Gli indirizzi email sono oscurati intenzionalmente in questa immagine. Per una descrizione delle operazioni sensibili, consulta la sezione Informazioni sulle operazioni sensibili di seguito.

Fai domande su ciò che vedi

L'istantanea generale fornita dalla pagina Panoramica ti consente di visualizzare le caratteristiche in evidenza relative alla sicurezza del sistema. In base a ciò che vedi, potresti porti le seguenti domande:

  • La percentuale di richieste supera le tue aspettative? Dovresti controllare più da vicino quali proxy API ricevono queste richieste?
  • La percentuale di traffico per ogni regione sembra corretta? Una regione è sovraccarica?
  • Visualizzi un numero elevato di codici di errore? Dove si verificano?
  • (Solo amministratori dell'organizzazione) Quali utenti stanno richiamando le operazioni potenzialmente sensibili?

Ottieni dettagli sul traffico di runtime

Utilizza la pagina Runtime per visualizzare i dettagli sul traffico di runtime e identificare le vulnerabilità di sicurezza attuali. Ad esempio, puoi:

  • Identifica la quantità di traffico non HTTPS diretto ai tuoi proxy e alle tue destinazioni.
  • Visualizza i dettagli sulle app sviluppatore e sugli host virtuali che gestiscono questo traffico.
  • Visualizza il numero di errori per codice di errore.

Per visualizzare i dettagli sul traffico del runtime:

  1. Nel menu di navigazione laterale, fai clic su Analizza > Report sulla sicurezza > di runtime.
  2. Per impostare l'ambito dei dati che vuoi visualizzare, seleziona l'ambiente, la regione e il periodo di tempo nella parte superiore della pagina di cui vuoi visualizzare i dati.
  3. Assicurati che il menu a discesa accanto al menu a discesa dell'ambiente sia "Proxy". (non "Target" o qualsiasi altro valore, lo vedrai di seguito) e lascia il valore impostato su "Qualsiasi".

  4. Tieni presente che nella tabella sono elencati i proxy API che rientrano nell'ambito impostato, insieme al traffico totale per il periodo in questione. In particolare, osserva la colonna che elenca il traffico non HTTPS. Rappresenta le richieste inviate al proxy elencato che arrivano su non HTTPS, anziché HTTPS. Si tratta di una vulnerabilità di sicurezza:

    Visualizza i dettagli sul traffico di runtime.

  5. Fai clic su una riga nella tabella per visualizzare ulteriori informazioni sul proxy. Come per il grafico Traffico totale, puoi passare il mouse sopra le barre del grafico Traffico verso nord per visualizzare i dati sottostanti:

    Scopri di più sul proxy.

  6. Nella parte superiore della pagina, fai clic sul menu a discesa Proxy, poi su Destinazioni.

  7. Tieni presente che la tabella elenca informazioni simili per i target proxy rispetto a quella indicata per i proxy.

  8. Fai clic su una riga nella tabella per visualizzare i dettagli sul target.

    Visualizza i dettagli relativi all'obiettivo.

  9. Nella parte superiore della pagina, fai clic sul menu a discesa Target, quindi su App per visualizzare le informazioni sulle tue app.

  10. Nella parte superiore della pagina, fai clic sul menu a discesa App, quindi fai clic su Codici di errore per visualizzare le informazioni sui codici di errore.

Fai domande su ciò che vedi

La pagina Runtime mostra il comportamento dei proxy nel contesto del traffico attuale: richieste dai client, richieste alle destinazioni. Utilizza le informazioni visualizzate per chiederti se i proxy si comportano come dovrebbero.

  • Esamina i dettagli di ciascun proxy che riceve traffico non HTTPS. La porzione di traffico sembra appropriata per quel proxy? Il proxy deve essere riconfigurato per ricevere richieste tramite HTTPS?
  • Osserva i dati da vari ambiti, ad esempio più o meno cronologici. C'è una tendenza a cui potresti rispondere?
  • Si è verificato un aumento significativo del traffico da un proxy a una destinazione? Questo traffico deve essere mediato dai criteri di gestione del traffico?

Ottieni dettagli di configurazione

Grazie ai dettagli della configurazione dal punto di vista della sicurezza, puoi iniziare a identificare gli aspetti in cui migliorare la sicurezza modificando la configurazione dei proxy. La pagina Configurazione offre una visualizzazione dettagliata di come i proxy e le destinazioni utilizzano gli strumenti disponibili in Apigee Edge.

Per visualizzare i dettagli della configurazione:

  1. Nel menu di navigazione laterale, fai clic sul pulsante Analizza > Report sulla sicurezza > Configurazione.
  2. Per impostare l'ambito dei dati che vuoi visualizzare, seleziona l'ambiente nella parte superiore della pagina per il quale vuoi visualizzare i dati.
  3. Assicurati che il menu a discesa accanto al menu a discesa dell'ambiente sia "Proxy". (non "Destinazioni" o altri valori) e lascia il valore impostato su "Qualsiasi".
  4. Per ogni proxy, la tabella indica:
    • Il numero di criteri utilizzati dai gruppi di criteri relativi alla sicurezza. I gruppi di criteri sono gestione del traffico, sicurezza ed estensioni. Per saperne di più sui gruppi, vedi Panoramica di Riferimento alle norme.
    • Il numero di flussi condivisi, se presenti, utilizzati da un proxy.
    • Indica se gli host virtuali di un proxy sono configurati per ricevere richieste non HTTPS, richieste HTTPS o entrambe.

  5. Fai clic su una riga nella tabella per visualizzare ulteriori informazioni sulla configurazione del proxy:

    Visualizza i dettagli della configurazione proxy.

  6. Se il proxy selezionato include flussi condivisi, sul lato destro della UI fai clic su Flussi condivisi per visualizzare l'elenco di criteri relativi alla sicurezza configurati nei flussi condivisi chiamati da questo proxy.

  7. Nella parte superiore della pagina, fai clic sul menu a discesa Proxy, poi su Destinazioni.

  8. Tieni presente che la tabella indica se i target vengono raggiunti da chiamate non HTTPS o HTTPS:

    Target raggiunti da chiamate non HTTPS o HTTPS.

  9. Nella parte superiore della pagina, fai clic sul menu a discesa Target, poi su Flussi condivisi per visualizzare le informazioni sui flussi condivisi, tra cui:

    • Il numero di criteri utilizzati dai gruppi di criteri relativi alla sicurezza.
    • Il numero di proxy che utilizzano ogni flusso condiviso.

    Dettagli di configurazione del flusso condiviso.

Fai domande su ciò che vedi

La pagina Runtime mostra il comportamento dei proxy in condizioni di runtime, mentre la pagina Configurazione mostra come li hai configurati per gestire queste condizioni. Esaminando i report, esamina in modo più approfondito ciascun proxy.

  • Nei proxy sono inclusi i criteri di sicurezza appropriati? Non tutti i proxy devono essere configurati in modo identico per quanto riguarda la sicurezza. Ad esempio, un proxy che riceve un carico elevato di richieste o la cui quantità di richieste varia drasticamente, probabilmente dovrebbe avere configurato criteri di controllo del traffico come il criterio SpikeArrest.
  • Perché l'utilizzo del flusso condiviso è ridotto? I flussi condivisi possono essere un modo utile per creare funzionalità riutilizzabili relative alla sicurezza. Per saperne di più sui flussi condivisi, consulta Flussi condivisi riutilizzabili.
  • Utilizzi flussi condivisi collegati agli hook di flusso? Collegando un flusso condiviso che contiene criteri relativi alla sicurezza a un hook di flusso, puoi applicare la funzionalità di sicurezza ai proxy in un ambiente. Per scoprire di più sugli hook di flusso, consulta Collegare un flusso condiviso utilizzando un hook di flusso.
  • Il proxy deve avere un host virtuale non HTTPS?

Visualizzare i dettagli dell'attività utente

Nell'ambito del monitoraggio della sicurezza, è bene prestare attenzione alle operazioni potenzialmente sensibili eseguite dagli utenti. Nella pagina Attività utente è elencato il numero di operazioni sensibili eseguite dagli utenti. Per una descrizione delle operazioni sensibili, consulta la sezione Informazioni sulle operazioni sensibili di seguito.

Solo gli amministratori dell'organizzazione che hanno acquistato Advanced API Ops Possono accedere alla pagina Attività utente. Nessun altro ruolo, tra cui Amministratore dell'organizzazione in sola lettura, può accedere a questa pagina

Per visualizzare l'attività utente:

  1. Nel menu di navigazione laterale, fai clic sul pulsante Analizza > Report sulla sicurezza > Voce di menu Attività utente.
  2. Fai clic sulla casella della data per impostare l'intervallo di date.

  3. Per ogni utente dell'organizzazione, la tabella mostra (indirizzi email oscurati intenzionalmente):

    • Il numero di accessi.
    • Il numero di operazioni sensibili eseguite dall'utente tramite l'interfaccia utente o l'API.
    • La variazione dell'attività nell'intervallo di tempo selezionato.
    • La percentuale di tutte le operazioni eseguite dall'utente considerate sensibili.

    Visualizzare informazioni sugli utenti.

  4. Fai clic su una riga nella tabella per visualizzare informazioni dettagliate sull'attività dell'utente:

    Visualizzare i dettagli dell'utente.

Informazioni sulle operazioni sensibili

Le pagine Panoramica e Attività utente mostrano entrambe informazioni sulle operazioni sensibili eseguite dagli utenti. Per operazione sensibile si intende qualsiasi operazione nell'interfaccia utente o nell'API che esegue un comando GET/PUT/POST/DELETE sui seguenti pattern dell'API:

Caso d'uso Pattern URI della richiesta
Accesso agli sviluppatori /v1/organizations/org_name/developers*
Accesso alle app /v1/organizations/org_name/apps*
Accesso ai report personalizzati /v1/organizations/org_name/environments/env_name/stats*
Accesso alle sessioni di traccia /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Accesso agli host virtuali /v1/organizations/org_name/environments/env_name/virtualhosts*

Per questi pattern, il carattere * corrisponde a qualsiasi percorso delle risorse. Ad esempio: per il pattern URI:

/v1/organizations/org_name/developers*

Edge monitora le azioni GET/PUT/POST/DELETE sui seguenti URI:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Fai domande su ciò che vedi

La pagina Attività utente consente di visualizzare in dettaglio l'attività degli utenti dell'organizzazione. Per ciascun utente puoi chiederti:

  • Il numero di accessi è appropriato per l'utente?
  • L'utente sta eseguendo molte operazioni sensibili? Sono le operazioni previste che questo utente dovrebbe eseguire?
  • L'attività dell'utente è cambiata in un periodo di tempo? Perché la percentuale è cambiata?