Explorar informes de seguridad

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Usa esta explicación para comprender cómo comprender mejor las vulnerabilidades de seguridad actuales y potenciales. En este tema, se describen los informes que verás en la interfaz de usuario y se ofrecen formas de pensar en la seguridad de los proxies de API.

Solo los administradores de la organización y el administrador de la organización con acceso de solo lectura pueden acceder a estos informes en la IU de Edge.

Informes disponibles en Operaciones avanzadas de API

En esta página, se describe cómo usar los informes de seguridad, incluidos los que se proporcionan a todos los clientes de Edge para Cloud Enterprise y los que están disponibles solo para los clientes de Advanced API Ops. Los clientes de Edge para Cloud Enterprise que no hayan comprado operaciones de API avanzadas no tendrán acceso a algunos de los informes que se describen a continuación.

Consulta Introducción a los informes de seguridad a fin de obtener una lista completa de los informes disponibles para todos los clientes de Enterprise y aquellos disponibles solo para los clientes de Operaciones de API avanzadas.

Obtén una instantánea de la configuración y la actividad del tiempo de ejecución

Puedes usar la página Descripción general para obtener una instantánea de seguridad de la configuración y el tráfico del entorno de ejecución, incluidas las operaciones potencialmente sensibles. Si tomas una imagen de las cantidades más grandes de actividad, en especial de aquellas que representan una posible vulnerabilidad de seguridad, puedes explorar datos más detallados sobre la configuración y el tráfico.

Para ver la actividad del tiempo de ejecución, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en Analyze > Security Reporting > Overview.

  2. En la esquina superior derecha, haz clic en el menú desplegable del período de tiempo y, luego, selecciona el período anterior para el que quieres ver los datos:

    El gráfico de tráfico hacia el norte

  3. En el gráfico de tráfico hacia el norte, se muestra información sobre las solicitudes entrantes a los proxies de API para cada entorno de tu organización.

  4. Si deseas examinar el tráfico entrante con más detalle, haz clic en Informes de tiempo de ejecución para ver los datos detallados en la página Tiempo de ejecución, que se describe a continuación.

  5. Debajo del gráfico Tráfico por el norte, verás gráficos que muestran el Tráfico por región (solo cuando tienes varias regiones), la Distribución de errores por código de falla y Usuarios por operaciones potencialmente sensibles (solo para administradores de la organización):

    El tráfico por región, la distribución de errores por código de falla y los gráficos de operaciones potencialmente sensibles

    Las direcciones de correo electrónico se ocultan intencionalmente en esta imagen. Consulta la sección Acerca de las operaciones sensibles a continuación para obtener una descripción de las operaciones sensibles.

Haz preguntas sobre lo que ves

La instantánea de alto nivel que proporciona la página Descripción general te permite ver características destacadas relacionadas con la seguridad de tu sistema. En función de lo que ves, podrías hacerte las siguientes preguntas:

  • ¿El porcentaje de solicitudes supera tus expectativas? ¿Deberías observar con más detalle qué proxies de API reciben esas solicitudes?
  • ¿El porcentaje de tráfico de cada región parece correcto? ¿Se está sobrecargando una región?
  • ¿Ves una gran cantidad de códigos de falla? ¿Dónde se producen?
  • (Solo para administradores de la organización) ¿Qué usuarios invocan las operaciones más potencialmente sensibles?

Obtener detalles del tráfico del entorno de ejecución

Usa la página Entorno de ejecución para ver los detalles del tráfico del entorno de ejecución y, además, identificar las vulnerabilidades de seguridad actuales. Por ejemplo, puedes hacer lo siguiente:

  • Identifica la cantidad de tráfico no HTTPS que va a tus proxies y destinos.
  • Consulta los detalles sobre las apps de desarrollador y los hosts virtuales que entregan ese tráfico.
  • Consulta el recuento de errores por código de falla.

Para ver los detalles del tráfico del entorno de ejecución, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en Analyze > Security Reporting > Runtime.
  2. Para establecer el alcance de los datos que deseas ver, en la parte superior de la página, selecciona el entorno, la región y el período del que quieres ver los datos.
  3. Asegúrese de que el menú desplegable junto al menú desplegable del entorno indique "Proxies" (no "Targets" ni ningún otro valor, que se verá a continuación) y deje su valor como "Any".
  4. Ten en cuenta que la tabla muestra los proxies de API dentro del alcance que estableciste, junto con su tráfico total para el período. En particular, observa la columna que enumera el tráfico que no es HTTPS. Esto representa las solicitudes enviadas al proxy indicado que llegan a través de un protocolo que no es HTTPS, en lugar de HTTPS. Se trata de una vulnerabilidad de seguridad:

    Consulta los detalles del tráfico del entorno de ejecución.

  5. Haz clic en una fila de la tabla para ver más información sobre el proxy. Al igual que con el gráfico de tráfico total, puedes colocar el cursor sobre las barras del gráfico Tráfico hacia el norte para ver los datos subyacentes:

    Obtén más información sobre el proxy.

  6. En la parte superior de la página, haz clic en el menú desplegable Proxies y, luego, en Destinos.

  7. Observa que la tabla muestra información similar a la de los proxies para destinos del proxy.

  8. Haz clic en una fila de la tabla para ver los detalles del objetivo.

    Consulta los detalles del destino.

  9. En la parte superior de la página, haz clic en el menú desplegable Destinos y, luego, en Apps para ver información sobre tus apps.

  10. En la parte superior de la página, haz clic en el menú desplegable Apps y, luego, en Códigos de fallas, para ver información sobre estos.

Haz preguntas sobre lo que ves

En la página Entorno de ejecución, se muestra el comportamiento de los proxies en el contexto del tráfico actual: solicitudes de clientes, solicitudes a destinos. Usa lo que se muestra para preguntarte si tus proxies se comportan como deberían.

  • Consulta los detalles de cada proxy que recibe tráfico que no es HTTPS. ¿La parte de ese tráfico parece apropiada para ese proxy? ¿Se debe reconfigurar el proxy para recibir solicitudes a través de HTTPS?
  • Observa los datos desde una variedad de alcances; por ejemplo, más o menos historial. ¿Hay alguna tendencia a la que podrías estar respondiendo?
  • ¿Hay algún aumento significativo en el tráfico desde un proxy a un objetivo? ¿Deberían mediar las políticas de administración de tráfico ese tráfico?

Obtener detalles de configuración

Con los detalles de la configuración desde la perspectiva de la seguridad, puedes comenzar a identificar lugares en los que puedes mejorar la seguridad cambiando la configuración de los proxies. En la página Configuración, obtendrás una vista detallada de cómo tus proxies y destinos usan las herramientas disponibles en Apigee Edge.

Para ver los detalles de configuración, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en el elemento de menú Analyze > Security Reporting > Configuration.
  2. Para establecer el alcance de los datos que deseas ver, en la parte superior de la página, selecciona el entorno de los datos que deseas ver.
  3. Asegúrate de que el menú desplegable junto al menú desplegable de entorno indique "Proxies" (no "Targets" ni otros valores) y deja su valor como "Any".
  4. Para cada proxy, la tabla indica lo siguiente:
    • La cantidad de políticas que se usaron de los grupos de políticas relacionados con la seguridad. Los grupos de políticas son administración del tráfico, seguridad y extensiones. Para obtener más información sobre los grupos, consulta Descripción general de la referencia de la política.
    • La cantidad de flujos compartidos, si los hay, que usa un proxy.
    • Indica si los hosts virtuales de un proxy están configurados para recibir solicitudes que no sean HTTPS, solicitudes HTTPS o ambas.
  5. Haz clic en una fila de la tabla para ver más información sobre la configuración del proxy:

    Consulta los detalles de configuración del proxy.

  6. Si el proxy que seleccionaste incluye flujos compartidos, en la parte derecha de la IU, haz clic en Flujos compartidos para ver la lista de políticas relacionadas con la seguridad que se configuraron en flujos compartidos que llama este proxy.

  7. En la parte superior de la página, haz clic en el menú desplegable Proxies y, luego, en Destinos.

  8. Ten en cuenta que la tabla indica si se alcanzan los objetivos mediante llamadas que no son HTTPS o HTTPS:

    Objetivos alcanzados por llamadas que no son HTTPS o HTTPS

  9. En la parte superior de la página, haz clic en el menú desplegable Destinos y, luego, en Flujos compartidos para ver información sobre los flujos compartidos, incluido lo siguiente:

    • La cantidad de políticas que se usaron de los grupos de políticas relacionados con la seguridad.
    • La cantidad de proxies que usa cada flujo compartido.

    Detalles de la configuración del flujo compartido.

Haz preguntas sobre lo que ves

En la página Entorno de ejecución se muestra el comportamiento de los proxies en las condiciones del entorno de ejecución, la página Configuración muestra cómo los configuraste para controlar esas condiciones. Cuando revises los informes, analiza cada proxy con más detalle.

  • ¿Tus proxies incluyen las políticas de seguridad adecuadas? No todos los proxies deben tener la misma configuración en lo que respecta a la seguridad. Por ejemplo, un proxy que recibe una carga de solicitudes pesada, o cuya cantidad de solicitudes fluctúa drásticamente, probablemente debería tener configuradas políticas de control de tráfico, como la política de SpikeArrest.
  • Si el uso del flujo compartido es bajo, ¿por qué es eso? Los flujos compartidos pueden ser una forma útil de crear funciones reutilizables relacionadas con la seguridad. Para obtener más información sobre los flujos compartidos, consulta Flujos compartidos reutilizables.
  • ¿Usas flujos compartidos adjuntos a hooks de flujo? Si adjuntas un flujo compartido que contenga políticas relacionadas con la seguridad a un hook de flujo, puedes aplicar esa funcionalidad de seguridad en todos los proxies de un entorno. Para obtener más información sobre los hooks de flujo, consulta Adjunta un hook de flujo compartido.
  • ¿Debería permitirse que el proxy tenga un host virtual que no sea HTTPS?

Cómo obtener detalles de la actividad del usuario

Como parte de la supervisión de la seguridad, ten en cuenta las operaciones potencialmente sensibles que realizan los usuarios. La página Actividad del usuario enumera el recuento de operaciones sensibles que realizan los usuarios. Consulta la sección Acerca de las operaciones sensibles a continuación para obtener una descripción de las operaciones sensibles.

Solo los administradores de la organización que compraron operaciones de API avanzadas pueden acceder a la página Actividad del usuario. Ningún otro rol, incluido el administrador de la organización de solo lectura, puede acceder a esta página

Para ver la actividad de los usuarios, haz lo siguiente:

  1. En el menú de navegación lateral, haz clic en el elemento de menú Analyze > Security Reporting > User Activity.
  2. Haz clic en la casilla de fecha para establecer el período.
  3. Para cada usuario de la organización, se muestra la siguiente tabla (direcciones de correo electrónico ocultas intencionalmente):

    • La cantidad de accesos.
    • Es la cantidad de operaciones sensibles realizadas por el usuario a través de la IU o la API.
    • El cambio en la actividad durante el período seleccionado.
    • El porcentaje de todas las operaciones realizadas por el usuario que se consideran sensibles.

    Ver información sobre los usuarios.

  4. Haz clic en una fila de la tabla para mostrar información detallada sobre la actividad del usuario:

    Ver detalles del usuario.

Información acerca de las operaciones sensibles

Las páginas Resumen y Actividad del usuario muestran información sobre las operaciones sensibles que realizan los usuarios. Una operación sensible es cualquier operación en la IU o la API que realiza una acción GET/PUT/POST/DELETE en los siguientes patrones de API:

Caso de uso Patrón de URI de solicitud
Acceso a desarrolladores /v1/organizations/org_name/developers*
Cómo acceder a las apps /v1/organizations/org_name/apps*
Cómo acceder a los informes personalizados /v1/organizations/org_name/environments/env_name/stats*
Cómo acceder a las sesiones de seguimiento /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Accede a hosts virtuales /v1/organizations/org_name/environments/env_name/virtualhosts*

En estos patrones, el carácter * corresponde a cualquier ruta de acceso del recurso. Por ejemplo, para el patrón de URI:

/v1/organizations/org_name/developers*

Edge realiza un seguimiento de las acciones GET/PUT/POST/DELETE en los siguientes URI:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Haz preguntas sobre lo que ves

La página Actividad del usuario proporciona una forma de desglosar la actividad de los usuarios de la organización. Para cada usuario, puedes preguntarte lo siguiente:

  • ¿La cantidad de accesos es adecuada para el usuario?
  • ¿El usuario realiza una gran cantidad de operaciones sensibles? ¿Estas son las operaciones esperadas que debería realizar este usuario?
  • ¿La actividad del usuario cambió durante un período? ¿Por qué cambió el porcentaje?