您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
请按照此演练了解如何更好地了解当前和潜在的安全漏洞。 本主题介绍了您将在界面中看到的报告,并提供了有关如何考虑 API 代理安全性的方法。
只有组织管理员和只读组织管理员可以在 Edge 界面中访问这些报告。
Advanced API Ops 中提供的报告
本页面介绍了如何使用安全报告,包括提供给所有 Edge for Cloud Enterprise 客户的报告,以及仅面向 Advanced API Ops 客户提供的报告。未购买 Advanced API Ops 的 Edge for Cloud Enterprise 客户将无法访问下述部分报告。
如需查看面向所有企业版客户提供的报告以及仅面向 Advanced API Ops 客户提供的报告的完整列表,请参阅安全报告简介。
获取运行时活动和配置的快照
您可以使用概览页面获取配置和运行时流量(包括可能敏感的操作)的安全快照。通过了解活动量最大的情况(尤其是可能存在安全漏洞的活动),您可以探索有关配置和流量的更详细数据。
如需查看运行时活动,请执行以下操作:
在侧边导航菜单中,依次点击分析 > 安全报告 > 概览。
在右上角,点击时间段下拉菜单,然后选择要查看数据的前一个时间段:
北向流量图表显示了组织中每个环境的 API 代理收到的传入请求的相关信息。
如需更详细地检查入站流量,请点击运行时报告,以查看运行时页面上的详细数据,如下所述。
在北向流量图表下方,您会看到显示各区域的流量(仅当您有多个区域时)、按故障代码划分的错误分布以及按潜在敏感操作划分的用户(仅限组织管理员)的图表:
此图片中的电子邮件地址已故意模糊处理。如需了解敏感操作,请参阅下文中的关于敏感操作。
询问眼前所见
概览页面提供的高级概览有助于您了解与系统安全性相关的重要特征。根据您看到的内容,您可能会问自己以下问题:
- 请求百分比是否超出了您的预期?您是否应该仔细查看哪些 API 代理收到了这些请求?
- 每个区域的流量百分比是否看起来正确?某个区域是否过载?
- 您是否看到大量故障代码?它们发生在哪些位置?
- (仅限组织管理员)哪些用户调用的潜在敏感操作最多?
获取运行时流量详细信息
您可以使用运行时页面查看运行时流量的详细信息,并确定当前的安全漏洞。 例如,您可以:
- 确定流向代理和目标的非 HTTPS 流量。
- 查看有关开发者应用和处理相应流量的虚拟主机的详细信息。
- 按故障代码查看错误计数。
如需查看运行时流量详情,请执行以下操作:
- 在侧边导航菜单中,依次点击分析 > 安全报告 > 运行时。
- 如需设置要查看的数据的范围,请在页面顶部选择要查看数据的环境、区域和时间段。
- 确保环境下拉菜单旁边的下拉菜单显示“代理”(而不是“目标”或任何其他值 - 您将在下文中查看),并将其值保留为“任意”。
请注意,该表格会列出您设置的范围内的 API 代理,以及这些代理在相应时间段内的总流量。请特别注意列出的非 HTTPS 流量。这表示发送到所列代理的请求是通过非 HTTPS(而非 HTTPS)传入的。这是一个安全漏洞:
点击表格中的某一行即可查看有关相应代理的更多信息。与“总流量”图表一样,您可以将光标悬停在北向流量图表的条形上,以查看基础数据:
点击页面顶部的代理下拉菜单,然后点击目标。
请注意,此表列出的代理目标信息与代理表列出的信息类似。
点击表格中的某一行,即可查看有关目标的详细信息。
点击页面顶部的目标平台下拉菜单,然后点击应用,即可查看有关应用的信息。
点击页面顶部的应用下拉菜单,然后点击故障代码以查看有关故障代码的信息。
询问眼前所见
运行时页面展示了代理在当前流量上下文中的行为,包括来自客户端的请求和发送到目标的请求。根据显示的内容,询问自己代理是否按预期运行。
- 查看接收非 HTTPS 流量的每个代理的详细信息。相应代理的流量占比是否合适?是否应重新配置代理以通过 HTTPS 接收请求?
- 从各种范围(例如更长或更短的历史记录)查看数据。您是否在应对某种趋势?
- 从代理到目标的流量是否有显著增加?相应流量是否应由流量管理政策进行中介?
获取配置详细信息
通过从安全角度了解配置的详细信息,您可以开始确定可以通过更改代理的配置方式来改进安全性的位置。配置页面详细展示了您的代理和目标如何使用 Apigee Edge 中提供的工具。
如需查看配置详情,请执行以下操作:
- 在侧边导航菜单中,依次点击分析 > 安全报告 > 配置菜单项。
- 如需设置要查看的数据的范围,请在页面顶部选择要查看数据的环境。
- 确保环境下拉菜单旁边的下拉菜单显示“代理”(而非“目标”或其他值),并将其值保留为“任意”。
- 对于每个代理,该表格会显示以下信息:
- 所用安全相关政策组中的政策数量。政策组包括流量管理、安全和扩展。如需详细了解这些组,请参阅政策参考概览。
- 代理使用的共享流的数量(如果有)。
- 代理的虚拟主机是设置为接收非 HTTPS 请求、HTTPS 请求还是同时接收这两种请求。
点击表格中的某一行,即可查看有关代理配置的更多信息:
如果您选择的代理包含共享流,请在界面右侧点击共享流,以查看此代理调用的共享流中配置的与安全性相关的政策列表。
点击页面顶部的代理下拉菜单,然后点击目标。
请注意,该表格会指明目标是通过非 HTTPS 调用还是 HTTPS 调用实现的:
点击页面顶部的目标下拉菜单,然后点击共享流,即可查看有关共享流的信息,包括:
- 所用安全相关政策组中的政策数量。
- 使用每个共享流的代理数量。
询问眼前所见
运行时页面显示了代理在运行时条件下的行为,而配置页面则显示了您如何配置代理来处理这些条件。查看报告时,请仔细检查每个代理。
- 您的代理是否包含适当的安全政策?在安全性方面,并非所有代理都应配置为相同。例如,如果代理接收的请求负载过重,或者其请求数量波动剧烈,则应配置流量控制政策,例如 SpikeArrest 政策。
- 如果共享流的使用率较低,这是什么原因?共享流可用于创建可重复使用的安全相关功能。如需详细了解共享流,请参阅可重复使用的共享流。
- 您是否使用了附加到流钩子的共享流?通过将包含与安全相关的政策的共享流附加到流钩子,您可以强制在环境中的所有代理中执行该安全功能。如需详细了解流钩子,请参阅使用流钩子连接共享流。
- 是否应允许代理具有非 HTTPS 虚拟主机?
获取用户活动详情
在监控安全性的过程中,请注意用户执行的潜在敏感操作。用户活动页面会列出用户执行的敏感操作次数。如需了解敏感操作,请参阅下文中的关于敏感操作。
只有购买了 Advanced API Ops 的组织管理员才能访问用户活动页面。 其他角色(包括只读组织管理员)无法访问此页面
如需查看用户活动,请执行以下操作:
- 在侧边导航菜单中,依次点击分析 > 安全报告 > 用户活动菜单项。
- 点击日期框以设置日期范围。
对于组织中的每位用户,下表显示了以下信息(电子邮件地址有意模糊处理):
- 登录次数。
- 用户通过界面或 API 执行的敏感操作的数量。
- 所选时间范围内的活动变化。
- 用户执行的所有操作中被视为敏感操作的百分比。
点击表格中的某一行,即可显示有关用户活动的详细信息:
敏感操作简介
概览页面和用户活动页面都会显示有关用户执行的敏感操作的信息。 敏感操作是指在界面或 API 中对以下 API 模式执行 GET/PUT/POST/DELETE 操作的任何操作:
| 使用场景 | 请求 URI 模式 |
|---|---|
| 访问开发者 | /v1/organizations/org_name/developers* |
| 访问应用 | /v1/organizations/org_name/apps* |
| 访问自定义报告 | /v1/organizations/org_name/environments/env_name/stats* |
| 访问跟踪会话 | /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions* |
| 访问虚拟主机 | /v1/organizations/org_name/environments/env_name/virtualhosts* |
对于这些模式,“*”字符对应于任何资源路径。例如,对于 URI 模式:
/v1/organizations/org_name/developers*
Edge 会跟踪以下 URI 的 GET/PUT/POST/DELETE 操作:
/v1/organizations/org_name/developers /v1/organizations/org_name/developers/developer_email /v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name
询问眼前所见
您可以在用户活动页面上深入了解组织用户的活动。 您可以针对每位用户问自己:
- 登录次数是否适合用户?
- 用户是否执行了大量敏感操作?这些操作是否是用户应执行的预期操作?
- 用户的活动在一段时间内是否发生了变化?为什么百分比发生了变化?