<ph type="x-smartling-placeholder"></ph>
您正在查看 Apigee Edge 文档。
转到
Apigee X 文档。 信息
通过本演示,了解如何更好地了解当前和潜在的安全漏洞。 本主题介绍了您将在界面中看到的报告,这些报告提供了考虑 API 代理安全性的各种方法。
只有组织管理员和具有只读权限的组织管理员可以访问 在 Edge 界面中查看这些报告。
Advanced API Ops 中提供的报告
本页面介绍了如何使用安全报告,包括提供给 适用于 Cloud Enterprise 客户的 Edge,以及仅适用于 Advanced API Ops 客户的 Edge。 适用于尚未购买 Advanced API Ops 的 Cloud Enterprise 客户的 Edge 无权访问下述某些报告。
如需查看可用报告的完整列表,请参阅安全报告简介 和仅适用于 Advanced API Ops 客户的服务。
获取运行时活动和配置的快照
您可以使用概览页面获取配置和运行时流量的安全快照,包括 可能涉及敏感操作的操作。了解最大量活动(尤其是表示可能存在安全漏洞的活动)后,您可以探索有关配置和流量的更详细的数据。
如需查看运行时活动,请执行以下操作:
在侧边导航菜单中,点击 Analyze >安全报告 >概览。
点击右上角的时间段下拉菜单,然后选择要查看的前一个时间段的数据:
北向流量图表会显示贵组织中每个环境的 API 代理传入请求的相关信息。
若要更详细地检查传入流量,请点击运行时报告,在运行时页面上查看详细数据(如下所述)。
在北向流量图表下方,您会看到显示以下图表的图表:按区域划分的流量(仅适用于多个区域)、按错误代码划分的错误分布情况和按可能具有敏感性的操作的用户数(仅限组织管理员):
电子邮件地址在此图片中被刻意遮盖。有关敏感操作的说明,请参阅下文的关于敏感操作。
询问您看到的内容
概览页面提供的概要快照可帮助您了解与系统安全性相关的突出特征。根据您看到的内容,您可能会问自己以下问题:
- 请求所占百分比是否超出您的预期?您应仔细查看哪些 API 代理收到这些请求吗?
- 各个区域的流量百分比看起来正确吗?某个区域是否过载?
- 是否看到大量故障代码?它们发生在何处?
- (仅限组织管理员)哪些用户正在调用最可能敏感的操作?
获取运行时流量详情
借助运行时页面,您可以查看有关运行时流量的详细信息,并找出当前的安全漏洞。 例如,您可以:
- 确定传送到您的代理和目标的非 HTTPS 流量。
- 查看为相关流量提供服务的开发者应用和虚拟主机的详细信息。
- 按错误代码查看错误数。
如需查看运行时流量详情,请执行以下操作:
- 在侧边导航菜单中,点击 Analyze >安全报告 >运行时。
- 如需设置要查看的数据的范围,请在页面顶部选择要查看数据的环境、区域和时间段。
- 确保环境下拉菜单旁边的下拉菜单中显示的是“代理”(“目标”或任何其他值,您会在下文中对此进行介绍),并将其值保留为“Any”。
请注意,该表格列出了您所设置范围内的 API 代理及其在这段时间内的总流量。请特别注意列出非 HTTPS 流量的列。这表示发送到所列代理的请求是通过非 HTTPS 而非 HTTPS 传入的。这是一个安全漏洞:
点击表格中的某一行即可查看相应代理的详细信息。与“总流量”图表一样,您可以将鼠标悬停在“北向流量”图表中的条形上,查看基础数据:
在页面顶部,点击代理下拉菜单,然后点击目标。
请注意,该表格列出的代理目标信息与列出的代理表格类似。
点击表格中的某一行即可查看相应目标的详细信息。
在页面顶部,点击目标下拉菜单,然后点击应用以查看应用的相关信息。
点击页面顶部的应用下拉菜单,然后点击故障代码,以查看有关错误代码的信息。
询问您看到的内容
运行时页面说明了代理在当前流量上下文(来自客户端的请求、发送到目标的请求)中的行为。根据显示的内容询问自己有关代理是否按预期运行的问题。
- 查看接收非 HTTPS 流量的每个代理的详细信息。这部分流量看起来适合该代理吗?是否应重新配置代理以通过 HTTPS 接收请求?
- 查看各种范围的数据,例如更多或更少的历史记录。是否存在某种您可以做出响应的趋势?
- 从代理流向目标的流量是否有明显增加?该流量是否应通过流量管理政策进行中介?
获取配置详细信息
从安全角度看待配置详细信息后,您就可以开始找出可通过更改代理配置方式来提高安全性的地方。在配置页面上,您可以详细了解代理和目标如何使用 Apigee Edge 中提供的工具。
如需查看配置详细信息,请执行以下操作:
- 在侧边导航菜单中,点击 Analyze >安全报告 >配置菜单项。
- 如需设置要查看的数据的范围,请在页面顶部选择您要查看数据的环境。
- 确保环境下拉菜单旁边的下拉菜单中显示的是“代理”(“Targets”或其他值),并保留其值“Any”。
- 对于每个代理,该表会指明:
<ph type="x-smartling-placeholder">
- </ph>
- 与安全相关的政策组使用的政策数量。政策组包括流量管理、安全和扩展程序。如需详细了解这些群组,请参阅政策参考概览。
- 代理使用的共享流数量(如果有)。
- 代理的虚拟主机是否设置为接收非 HTTPS 请求和/或 HTTPS 请求。
点击表中的某一行,查看关于代理配置的更多信息:
如果您选择的代理包含共享流,请点击界面右侧的共享流,以查看此代理调用的共享流中配置的安全相关政策列表。
在页面顶部,点击代理下拉菜单,然后点击目标。
请注意,该表会指示非 HTTPS 调用还是 HTTPS 调用是否到达了目标:
在页面顶部,点击目标下拉列表,然后点击共享流以查看共享流的相关信息,包括:
- 与安全相关的政策组使用的政策数量。
- 使用每个共享流的代理数量。
询问您看到的内容
运行时页面说明了代理在运行时条件中的运行方式,配置页面说明了您如何配置代理来处理这些条件。在查看报告时,请详细了解每个指标。
- 您的代理是否包含适当的安全政策?在安全性方面,并非所有代理都应采用相同的配置。例如,如果代理接收的请求负载非常高,或者其请求数量出现大幅波动,则应该配置流量控制政策(例如 SpikeArrest 政策)。
- 如果共享流的使用率较低,为什么会这样?共享流有助于创建可重复使用的安全相关功能。如需详细了解共享流,请参阅可重复使用的共享流。
- 您是否使用了连接到流钩子的共享流?通过将包含安全相关政策的共享流附加到流钩子,您可以在环境中的代理之间强制执行该安全功能。如需详细了解流钩子,请参阅使用流钩子附加共享流。
- 是否应允许代理拥有非 HTTPS 虚拟主机?
获取用户活动详情
在监控安全性的过程中,请注意用户执行的潜在敏感操作。用户活动页面列出了用户执行的敏感操作的次数。有关敏感操作的说明,请参阅下文的关于敏感操作。
仅限已购买高级 API 操作的组织管理员 可以访问用户活动页面。 其他角色(包括只读组织管理员)无法访问此页面
如需查看用户活动,请执行以下操作:
- 在侧边导航菜单中,点击 Analyze >安全报告 >用户活动菜单项。
- 点击日期框即可设置日期范围。
对于组织中的每位用户,该表格会显示(故意掩盖电子邮件地址):
- 登录次数。
- 用户通过界面或 API 执行的敏感操作的次数。
- 所选时间范围内的活动变化。
- 用户执行的所有被视为敏感的操作所占的百分比。
点击表格中的某一行即可显示有关用户活动的详细信息:
敏感操作简介
概览页和用户活动页均显示与用户执行的敏感操作相关的信息。 敏感操作是指界面或 API 中执行 GET/PUT/POST/DELETE 的任何操作 可对以下 API 模式执行下列操作:
使用场景 | 请求 URI 模式 |
---|---|
访问开发者 | /v1/organizations/org_name/developers* |
访问应用 | /v1/organizations/org_name/apps* |
访问自定义报告 | /v1/organizations/org_name/environments/env_name/stats* |
访问跟踪会话 | /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions* |
访问虚拟主机 | /v1/organizations/org_name/environments/env_name/virtualhosts* |
对于这些模式,* 字符对应于任何资源路径。例如: 对于以下 URI 模式:
/v1/organizations/org_name/developers*
Edge 会跟踪以下 URI 的 GET/PUT/POST/DELETE 操作:
/v1/organizations/org_name/developers /v1/organizations/org_name/developers/developer_email /v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name
询问您看到的内容
通过用户活动页面,您可以深入了解组织用户的活动。 对于每位用户,您可以思考以下问题:
- 登录次数对用户来说合适吗?
- 用户是否执行了大量敏感操作?这些是否为该用户应执行的预期操作?
- 用户的活动在一段时间内是否发生了变化?为什么该百分比会发生变化?