Explorer les rapports de sécurité

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X. en savoir plus

Suivez ce tutoriel pour mieux comprendre les failles de sécurité actuelles et potentielles. Cette rubrique décrit les rapports de l'interface utilisateur, offrant différentes manières d'aborder la sécurité de vos proxys d'API.

Seuls les administrateurs d'organisation et les administrateurs d'organisation en lecture seule peuvent accéder à ces rapports dans l'interface utilisateur Edge.

Rapports disponibles dans Advanced API Ops

Cette page explique comment utiliser les rapports de sécurité, y compris ceux fournis à tous les clients Edge for Cloud Enterprise et ceux disponibles uniquement pour les clients Advanced API Ops. Les clients Edge for Cloud Enterprise qui n'ont pas acheté Advanced API Ops n'ont pas accès à certains des rapports décrits ci-dessous.

Consultez la section Présentation des rapports de sécurité pour obtenir la liste complète des rapports disponibles pour tous les clients Enterprise et ceux qui sont réservés aux clients Advanced API Ops.

Obtenir un instantané de l'activité et de la configuration de l'environnement d'exécution

La page Présentation vous permet d'obtenir un instantané de sécurité du trafic de configuration et d'exécution, y compris les opérations potentiellement sensibles. En ayant une image des plus grandes quantités d'activités, en particulier celles représentant une faille de sécurité potentielle, vous pouvez explorer des données plus détaillées sur la configuration et le trafic.

Pour afficher l'activité liée à l'exécution:

  1. Dans le menu de navigation latéral, cliquez sur Analyze > Security Reporting > Overview (Analyser > Rapports de sécurité > Vue d'ensemble).

  2. Dans le coin supérieur droit, cliquez sur la liste déroulante de la période, puis sélectionnez la période précédente pour laquelle vous souhaitez afficher les données:

    Graphique sur le trafic "Direction Nord"

  3. Le graphique Trafic vers le nord affiche des informations sur les requêtes entrantes vers vos proxys d'API pour chaque environnement de votre organisation.

  4. Pour examiner le trafic entrant plus en détail, cliquez sur Rapports d'exécution pour afficher des données détaillées sur la page Exécution, décrite ci-dessous.

  5. Sous le graphique Trafic vers le nord, vous trouverez des graphiques affichant le trafic par région (seulement lorsque vous avez plusieurs régions), la répartition des erreurs par code d'erreur et les utilisateurs par opérations potentiellement sensibles (administrateurs de l'organisation uniquement):

    Graphiques Trafic par région, Répartition des erreurs par code d'erreur et Utilisateurs par opérations potentiellement sensibles

    Les adresses e-mail sont volontairement dissimulées dans cette image. Pour obtenir une description des opérations sensibles, consultez la section À propos des opérations sensibles ci-dessous.

Posez des questions sur ce que vous voyez

L'instantané général fourni par la page Vue d'ensemble vous aide à voir les caractéristiques importantes de la sécurité de votre système. En fonction de ce que vous voyez, posez-vous les questions suivantes:

  • Le pourcentage de requêtes dépasse-t-il vos attentes ? Devriez-vous examiner de plus près quels proxys d'API reçoivent ces requêtes ?
  • Le pourcentage de trafic pour chaque région semble-t-il correct ? Une région est-elle surchargée ?
  • Voyez-vous un grand nombre de codes d'erreur ? Où se produisent-ils ?
  • (Administrateurs d'organisation uniquement) Quels utilisateurs appellent les opérations les plus potentiellement sensibles ?

Obtenir des informations sur le trafic d'exécution

La page Environnement d'exécution vous permet d'afficher les détails de votre trafic d'exécution et d'identifier les failles de sécurité actuelles. Par exemple, vous pouvez :

  • Identifiez la quantité de trafic autre que HTTPS qui est dirigé vers vos proxys et vos cibles.
  • Affichez les détails sur les applications de développement et les hôtes virtuels qui traitent ce trafic.
  • Affichez le nombre d'erreurs par code d'erreur.

Pour afficher les détails du trafic de l'environnement d'exécution:

  1. Dans le menu de navigation latéral, cliquez sur Analyze > Security Reporting > Runtime (Analyser > Rapports de sécurité > Environnement d'exécution).
  2. Pour définir la portée des données à afficher, sélectionnez en haut de la page l'environnement, la région et la période pour lesquels vous souhaitez afficher les données.
  3. Assurez-vous que la liste déroulante située à côté de l'environnement indique"Proxies " (et non"Cibles" ou toute autre valeur, comme vous le verrez ci-dessous), et laissez sa valeur sur "Any" (Tous).

  4. Notez que le tableau répertorie les proxys d'API dans le champ d'application que vous avez défini, ainsi que leur trafic total pour la période. Notez en particulier la colonne qui indique le trafic autre que HTTPS. Il s'agit des requêtes envoyées au proxy listé qui arrivent via un protocole autre que HTTPS, et non via HTTPS. Il s'agit d'une faille de sécurité:

    Affichez les détails du trafic d'exécution.

  5. Cliquez sur une ligne du tableau pour afficher plus d'informations sur le proxy. Comme pour le graphique "Trafic total", vous pouvez pointer sur les barres du graphique Trafic en direction du nord pour afficher les données sous-jacentes:

    Obtenez plus d'informations sur le proxy.

  6. En haut de la page, cliquez sur le menu déroulant Proxies, puis sur Cibles.

  7. Notez que le tableau présente des informations similaires pour les cibles proxy que le tableau listé pour les proxys.

  8. Cliquez sur une ligne du tableau pour afficher les détails de la cible.

    Affichez les détails en plus de la cible.

  9. En haut de la page, cliquez sur le menu déroulant Cibles, puis sur Applications pour afficher les informations sur vos applications.

  10. En haut de la page, cliquez sur la liste déroulante Apps (Applications), puis sur Codes d'erreur pour afficher les informations sur les codes d'erreur.

Posez des questions sur ce que vous voyez

La page Environnement d'exécution illustre le comportement de vos proxys dans le contexte de trafic actuel (requêtes des clients et requêtes adressées aux cibles). Utilisez les informations affichées pour vous poser des questions sur le comportement de vos proxys.

  • Examinez les détails de chaque proxy recevant du trafic autre que HTTPS. La partie de ce trafic semble-t-elle appropriée pour ce proxy ? Faut-il reconfigurer le proxy pour recevoir des requêtes via HTTPS ?
  • examiner des données issues de différentes portées, telles que des historiques plus ou moins importants ; Y a-t-il une tendance à laquelle vous pourriez réagir ?
  • Le trafic d'un proxy vers une cible augmente-t-il de manière significative ? La médiation doit-elle s'appliquer à ce trafic à l'aide de règles de gestion du trafic ?

Obtenir les détails de la configuration

Avec des détails sur la configuration du point de vue de la sécurité, vous pouvez commencer à identifier les endroits où vous pouvez améliorer la sécurité en modifiant la configuration de vos proxys. La page Configuration vous donne une vue détaillée de la manière dont vos proxys et vos cibles utilisent les outils disponibles dans Apigee Edge.

Pour afficher les détails de la configuration:

  1. Dans le menu de navigation latéral, cliquez sur l'élément de menu Analyze > Security Reporting > Configuration (Analyser > Rapports de sécurité > Configuration).
  2. Pour définir la portée des données à afficher, sélectionnez l'environnement dont vous souhaitez afficher les données en haut de la page.
  3. Assurez-vous que la liste déroulante située à côté de l'environnement indique "Proxies" (et non "Cibles" ou d'autres valeurs), et laissez sa valeur sur "Any" (Tous).
  4. Pour chaque proxy, le tableau indique :
    • Nombre de règles utilisées dans les groupes de stratégies de sécurité. Les groupes de règles sont la gestion du trafic, la sécurité et l'extension. Pour en savoir plus sur les groupes, consultez la page Présentation de la documentation de référence des règles.
    • Nombre de flux partagés, le cas échéant, utilisés par un proxy.
    • Indique si les hôtes virtuels d'un proxy sont configurés pour recevoir des requêtes autres que HTTPS, des requêtes HTTPS ou les deux.

  5. Cliquez sur une ligne du tableau pour afficher plus d'informations sur la configuration du proxy:

    Affichez les détails de configuration du proxy.

  6. Si le proxy que vous avez sélectionné inclut des flux partagés, cliquez sur Flux partagés à droite de l'interface utilisateur pour afficher la liste des règles de sécurité configurées dans les flux partagés appelés par ce proxy.

  7. En haut de la page, cliquez sur le menu déroulant Proxies, puis sur Cibles.

  8. Notez que le tableau indique si les cibles sont atteintes par des appels autres que HTTPS ou HTTPS:

    Cibles atteintes par des appels autres que HTTPS ou HTTPS.

  9. En haut de la page, cliquez sur le menu déroulant Cibles, puis sur Flux partagés pour afficher des informations sur les flux partagés, y compris:

    • Nombre de règles utilisées dans les groupes de stratégies de sécurité.
    • Nombre de proxys utilisant chaque flux partagé.

    Détails de la configuration du flux partagé.

Posez des questions sur ce que vous voyez

Lorsque la page Environnement d'exécution illustre le comportement de vos proxys dans des conditions d'exécution, la page Configuration indique comment vous les avez configurés pour gérer ces conditions. Lorsque vous examinez les rapports, examinez de plus près chaque proxy.

  • Vos proxys disposent-ils des stratégies de sécurité appropriées ? Tous les proxys ne doivent pas être configurés de manière identique en ce qui concerne la sécurité. Par exemple, un proxy recevant une charge de requêtes importante ou dont la quantité de requêtes fluctue considérablement doit probablement disposer de règles de contrôle du trafic telles que la règle SpikeArrest.
  • Si l'utilisation du flux partagé est faible, pourquoi ? Les flux partagés peuvent s'avérer utiles pour créer des fonctionnalités de sécurité réutilisables. Pour en savoir plus sur les flux partagés, consultez la page Flux partagés réutilisables.
  • Utilisez-vous des flux partagés associés à des hooks de flux ? En associant un flux partagé contenant des règles de sécurité à un hook de flux, vous pouvez appliquer cette fonctionnalité de sécurité aux proxys d'un environnement. Pour en savoir plus sur les hooks de flux, consultez Associer un flux partagé à l'aide d'un hook de flux.
  • Le proxy doit-il être autorisé à avoir un hôte virtuel non HTTPS ?

Obtenir des informations sur l'activité des utilisateurs

Dans le cadre de la surveillance de la sécurité, soyez conscient des opérations potentiellement sensibles effectuées par les utilisateurs. La page Activité des utilisateurs liste le nombre d'opérations sensibles effectuées par les utilisateurs. Pour obtenir une description des opérations sensibles, consultez la section À propos des opérations sensibles ci-dessous.

Seuls les administrateurs d'organisation qui ont acheté Advanced API Ops peuvent accéder à la page Activité des utilisateurs. Aucun autre rôle, y compris le rôle d'administrateur de l'organisation en lecture seule, ne peut accéder à cette page

Pour afficher l'activité des utilisateurs:

  1. Dans le menu de navigation latéral, cliquez sur Analyser > Rapports de sécurité > Activité des utilisateurs.
  2. Cliquez sur le champ de date pour définir la période.

  3. Pour chaque utilisateur de l'organisation, le tableau indique (adresses e-mail volontairement masquées):

    • Nombre de connexions.
    • Nombre d'opérations sensibles effectuées par l'utilisateur via l'interface utilisateur ou l'API.
    • Évolution de l'activité au cours de la période sélectionnée.
    • Pourcentage de toutes les opérations effectuées par l'utilisateur qui sont considérées comme sensibles.

    Affichez des informations sur les utilisateurs.

  4. Cliquez sur une ligne du tableau pour afficher des informations détaillées sur l'activité de l'utilisateur:

    Affichez les informations sur l'utilisateur.

À propos des opérations sensibles

Les pages Vue d'ensemble et Activité des utilisateurs affichent toutes deux des informations sur les opérations sensibles effectuées par les utilisateurs. Une opération sensible est une opération de l'interface utilisateur ou de l'API qui effectue une action GET/PUT/POST/DELETE sur les formats d'API suivants:

Cas d'utilisation Format d'URI de la demande
Accéder aux développeurs /v1/organizations/org_name/developers*
Accès aux applications /v1/organizations/org_name/apps*
Accéder aux rapports personnalisés /v1/organizations/org_name/environments/env_name/stats*
Accéder aux sessions de trace /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Accéder aux hôtes virtuels /v1/organizations/org_name/environments/env_name/virtualhosts*

Pour ces formats, le caractère * correspond à n'importe quel chemin d'accès à une ressource. Par exemple, pour le modèle d'URI:

/v1/organizations/org_name/developers*

Edge suit les actions GET/PUT/POST/DELETE sur les URI suivants:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Posez des questions sur ce que vous voyez

La page Activité des utilisateurs permet d'afficher le détail de l'activité des utilisateurs de l'organisation. Pour chaque utilisateur, vous pouvez vous demander:

  • Le nombre de connexions est-il approprié pour l'utilisateur ?
  • L'utilisateur effectue-t-il un grand nombre d'opérations sensibles ? S'agit-il d'opérations attendues que cet utilisateur doit effectuer ?
  • L'activité de l'utilisateur a-t-elle changé au cours d'une période donnée ? Pourquoi ce pourcentage a-t-il changé ?