עיון בדוחות האבטחה

אתה צופה בתיעוד של Apigee Edge.
הצג תיעוד של Apigee X.

הדרכה זו תעזור לכם להבין טוב יותר את נקודות החולשה הנוכחיות והפוטנציאליות באבטחה. נושא זה מתאר את הדוחות שיופיעו בממשק המשתמש, ומציע דרכים לחשוב על אבטחה עבור שרתי ה-proxy של ה-API.

רק אדמין ארגוני ואדמין ארגוני לקריאה בלבד יכולים לגשת לדוחות האלה בממשק המשתמש של Edge.

דוחות זמינים ב-Advanced API Ops

בדף זה מוסבר איך להשתמש בדוחות אבטחה, כולל אלו המסופקים לכל לקוחות Cloud Enterprise ואלה הזמינים רק ללקוחות Advanced API Ops. Edge ללקוחות Cloud Enterprise שלא רכשו תפעול מתקדם של ה-API לא יקבלו גישה לחלק מהדוחות המתוארים בהמשך.

רשימה מלאה של הדוחות זמינה לכל לקוחות Enterprise, וללקוחות הזמינים רק בתמיכת Enhanced API, בקטע מבוא לדיווח על אבטחה.

תמונת מצב של הפעילות בזמן הריצה והגדרת התצורה

תוכלו להשתמש בדף Overview כדי לקבל תמונת מצב של הגדרות האבטחה ותנועה בזמן הריצה, כולל פעולות רגישות שיכולות להיות. תמונה של היקפי הפעילות הגדולים ביותר, ובמיוחד פעילות שמייצגת נקודת חולשה באבטחה, מאפשרת לך לקבל מידע מפורט יותר לגבי הגדרות אישיות ותנועה.

כדי להציג את הפעילות בזמן הריצה:

  1. בתפריט הניווט הצדדי, לוחצים על Analysis > דיווח על אבטחה > סקירה כללית.

  2. בפינה השמאלית העליונה, לוחצים על התפריט הנפתח של תקופת הזמן ובוחרים את התקופה הקודמת שעבורה רוצים להציג נתונים:

    תרשים התנועה לכיוון צפון

  3. התרשים תנועה לכיוון צפון מציג מידע על בקשות נכנסות לשרתי proxy של כל סביבה בארגון שלך.

  4. כדי לבדוק בפירוט את התנועה הנכנסת, אפשר ללחוץ על דוחות זמן ריצה כדי להציג נתונים מפורטים בדף זמן ריצה, כפי שמתואר בהמשך.

  5. מתחת לתרשים תנועה צפונית מוצגים תרשימים שמציגים את תנועת הגולשים לפי אזור (רק אם יש לכם כמה אזורים), התפלגות שגיאות לפי קוד שגיאה ומשתמשים לפי פעולות רגישות (אדמינים ארגוניים בלבד):

    הערכים 'תנועה לפי אזור', 'התפלגות שגיאות לפי קוד שגיאה' ו'משתמשים לפי תרשימי פעולות שעלולים להיות רגישים'

    כתובות האימייל מוסתרות בתמונה הזו באופן מכוון. בקטע מידע על פעולות רגישות תוכלו לקרוא תיאור של פעולות רגישות.

אפשר לשאול שאלות על מה שרואים

תמונת המצב ברמה העליונה שסופקה על ידי הדף סקירה כללית עוזרת לך לראות מאפיינים בולטים שקשורים לאבטחת המערכת שלך. על סמך מה שאתם רואים, אתם עשויים לשאול את עצמכם את השאלות הבאות:

  • האם אחוז הבקשות עולה על הציפיות שלך? האם כדאי לבחון לעומק את שרתי ה-API שמקבלים את הבקשות האלה?
  • האם אחוז התנועה מכל אזור נראה תקין? האם יש עומס על אזור אחד?
  • האם יש מספר גדול של קודי שגיאה? איפה הן מתרחשות?
  • (מנהלי מערכת בארגון בלבד) אילו משתמשים מפעילים את הפעולות שעלולות להיות רגישות במיוחד?

קבלת פרטים על תנועה בזמן הריצה

אפשר להשתמש בדף זמן ריצה כדי להציג פרטים על תנועת הריצה וכדי לזהות נקודות חולשה נוכחיות באבטחה. תוכלו, לדוגמה:

  • זיהוי של כמות התנועה שאינה מסוג HTTPS שמגיעה לשרתי ה-proxy והיעדים.
  • הצגת פרטים על האפליקציות למפתחים והמארחים הווירטואליים שמספקים את השירות הזה.
  • הצגת מספר השגיאות לפי קוד שגיאה.

כדי להציג פרטי תנועה בזמן הריצה:

  1. בתפריט הניווט הצדדי, לוחצים על ניתוח > דיווח אבטחה > זמן ריצה.
  2. כדי להגדיר את היקף הנתונים שרוצים להציג, בחלק העליון של הדף בוחרים את הסביבה, האזור ותקופת הזמן שעבורם רוצים להציג נתונים.
  3. בתפריט הנפתח שלצד התפריט הנפתח של הסביבה, יש לוודא שכתוב 'שרתי proxy' (ולא 'יעדים' או כל ערך אחר, כפי שהם מופיעים בהמשך), ולהשאיר את הערך שלו כ'הכול'.

  4. שימו לב שבטבלה מפורטים שרתי proxy בתוך ההיקף שהגדרתם, וכן את נפח התנועה הכולל בתקופה הזו. באופן ספציפי, שימו לב לעמודה שמציגה תנועה שאינה HTTPS. הערך הזה מייצג בקשות שנשלחו לשרת ה-proxy הרשום, שמגיעות ב-HTTPS ולא ב-HTTPS. זוהי נקודת חולשה באבטחה:

    הצגת פרטים על תנועה בזמן הריצה.

  5. לוחצים על שורה בטבלה כדי להציג מידע נוסף על שרת ה-proxy. כמו בתרשים 'סה"כ תנועה', ניתן להעביר את העכבר מעל העמודות בתרשים תנועה לכיוון צפון כדי להציג את הנתונים הבסיסיים:

    קבלת מידע נוסף על שרת ה-proxy.

  6. בחלק העליון של הדף, לוחצים על התפריט הנפתח שרתי proxy ואז על יעדים.

  7. שימו לב שבטבלה רשומים פרטים דומים לגבי יעדי שרת proxy כמו הטבלה המפורטת עבור שרתי proxy.

  8. לוחצים על שורה בטבלה כדי להציג פרטים לגבי היעד.

    הפרטים מוצגים מעל היעד.

  9. בחלק העליון של הדף לוחצים על התפריט הנפתח יעדים ואז על אפליקציות כדי להציג מידע על האפליקציות שלכם.

  10. בחלק העליון של הדף, לוחצים על התפריט הנפתח Apps (אפליקציות), ולאחר מכן לוחצים על Faults Codes (קודים של שגיאות) כדי להציג מידע על קודי שגיאה.

אפשר לשאול שאלות על מה שרואים

הדף Runtime מראה את התנהגות שרתי ה-proxy בהקשר הנוכחי של התנועה – בקשות מלקוחות, בקשות ליעדים. אפשר להשתמש במה שמוצג כדי לשאול את עצמכם אם שרתי ה-proxy שלכם פועלים בצורה תקינה.

  • מעיינים בפרטים של כל שרת proxy שמקבל תנועה שאינה מסוג HTTPS. האם החלק הזה בתנועה הזה מתאים לשרת proxy הזה? האם צריך להגדיר מחדש את שרת ה-proxy כך שיקבל בקשות ב-HTTPS?
  • ניתן לבחון את הנתונים ממגוון היקפים, כמו היסטוריה, או פחות. יש מגמה שכדאי להגיב עליה?
  • האם יש עליות משמעותיות בתנועה מ-proxy ליעד? האם התנועה הזו מתווכת באמצעות מדיניות ניהול התנועה?

קבלת פרטי תצורה

בעזרת פרטים על הגדרות מנקודת מבט של אבטחה, תוכלו להתחיל לזהות מקומות שבהם תוכלו לשפר את האבטחה על ידי שינוי האופן שבו שרתי ה-proxy מוגדרים. בדף Configuration אפשר לראות תצוגה מפורטת של האופן שבו שרתי ה-proxy והיעדים משתמשים בכלים שזמינים ב-Apigee Edge.

כדי להציג פרטי תצורה:

  1. בתפריט הניווט הצדדי, לוחצים על הפריט בתפריט ניתוח > דיווח אבטחה > הגדרה.
  2. כדי להגדיר את היקף הנתונים שרוצים להציג, בוחרים בחלק העליון של הדף את הסביבה שאת הנתונים שלה רוצים לראות.
  3. מוודאים בתפריט הנפתח שלצד תפריט סביבה מופיע "שרתי proxy" (לא "יעדים" או ערכים אחרים), ומשאירים את הערך שלו כ "הכול".
  4. עבור כל שרת proxy, הטבלה מציינת:
    • מספר סעיפי המדיניות ששימשו בקבוצות המדיניות הקשורות לאבטחה. קבוצות המדיניות הן ניהול תנועה, אבטחה והרחבה. תוכלו למצוא מידע נוסף על הקבוצות במאמר סקירה כללית על קובצי עזר של מדיניות.
    • מספר התהליכים המשותפים, אם יש כאלה, שנמצאים בשימוש של שרת proxy.
    • האם המארחים הווירטואליים של שרת ה-proxy מוגדרים לקבל בקשות שאינן HTTPS , בקשות HTTPS או שתיהן.

  5. לוחצים על שורה בטבלה כדי להציג מידע נוסף על התצורה של שרת ה-proxy:

    הצגת פרטים על חפיפה של שרת proxy.

  6. אם שרת ה-proxy שבחרת כולל תהליכי נתונים משותפים, בצד שמאל של ממשק המשתמש, ניתן ללחוץ על תהליכים משותפים כדי להציג את רשימת כללי המדיניות הקשורים לאבטחה, המוגדרים בתהליכי שיתוף משותפים.

  7. בחלק העליון של הדף, לוחצים על התפריט הנפתח שרתי proxy ואז על יעדים.

  8. שימו לב שהטבלה מציינת אם מגיעים ליעדים משיחות שאינן מסוג HTTPS או HTTPS:

    עמידה ביעדים שאינם ב-HTTPS או ב-HTTPS.

  9. בחלק העליון של הדף, לוחצים על התפריט הנפתח יעדים ולאחר מכן על תהליכים משותפים כדי להציג מידע על זרימות משותפות, כולל:

    • מספר סעיפי המדיניות ששימשו בקבוצות המדיניות הקשורות לאבטחה.
    • מספר שרתי ה-proxy באמצעות כל זרימה משותפת.

    פרטים על תצורת תהליך משותף

אפשר לשאול שאלות על מה שרואים

בדף זמן ריצה מוצג אופן הפעולה של שרתי ה-proxy בתנאי זמן ריצה, בדף הגדרות אישיות תוכלו לראות איך הגדרתם את אופן הטיפול שלהם בתנאים האלה. כשבוחנים את הדוחות לעומק, אפשר לבחון כל שרת proxy באופן מעמיק.

  • האם שרתי ה-proxy כוללים את מדיניות האבטחה המתאימה? בכל הנוגע לשרתי proxy, אין להגדיר כל שרת proxy באופן זהה. לדוגמה, בשרת proxy שמקבל עומס בקשה כבד, או שכמות הבקשה שלו משתנה באופן דרמטי, אמורה להיות מוגדרת מדיניות של בקרת תנועה, כמו המדיניות של SpikeArrest.
  • אם השימוש בתהליך הזרימה נמוך, למה זה נעשה? תהליכי שיתוף משותפים יכולים להיות דרך מועילה ליצור פונקציונליות שקשורה לאבטחה לשימוש חוזר. מידע נוסף על תהליכי עבודה משותפים זמין במאמר תהליכים משותפים לשימוש חוזר.
  • האם נעשה שימוש בתהליכי שיתוף שמצורפים אל הווים? צירוף של זרימה משותפת שמכילה מדיניות הקשורה לאבטחה אל וו זרימה, מאפשר לאכוף את פונקציונליות האבטחה הזו בשרתי proxy בסביבה מסוימת. למידע נוסף על תגובות ל-webhook, ניתן לעיין במאמר צירוף של זרימה משותפת באמצעות וו זרימה.
  • האם מותר לשרת ה-proxy להיות מארח וירטואלי שאינו HTTPS?

קבלת פרטים על פעילות המשתמשים

כחלק ממעקב אחר האבטחה, חשוב להיות מודעים לפעולות שעלולות להיות רגישות שהמשתמשים מבצעים. בדף פעילות משתמשים מוצג מספר הפעולות הרגישות שבוצעו על ידי משתמשים. בקטע מידע על פעולות רגישות תוכלו לקרוא תיאור של פעולות רגישות.

רק אדמינים ארגוניים שרכשו פונקציות מתקדמות של API יכולים לגשת לדף User Activity. לדף הזה אין תפקידים אחרים, כולל אדמין עם הרשאת קריאה בלבד

כדי להציג פעילות של משתמשים:

  1. בתפריט הניווט הצדדי, לוחצים על הפריט בתפריט ניתוח > דיווח אבטחה > פעילות משתמש.
  2. לוחצים על תיבת התאריך כדי להגדיר את טווח התאריכים.

  3. הטבלה מציגה את כל המשתמשים בארגון (כתובות האימייל מוסתרות באופן מכוון):

    • מספר כניסות ההתחברות.
    • מספר הפעולות הרגישות שהמשתמש מבצע באמצעות ממשק המשתמש או ה-API.
    • השינוי בפעילות בטווח הזמן שנבחר.
    • האחוז מכל הפעולות שהמשתמש מבצע שנחשב רגישות.

    הצגת מידע על משתמשים.

  4. לוחצים על שורה בטבלה כדי להציג מידע מפורט לגבי הפעילות של המשתמש:

    צפייה בפרטי המשתמשים.

מידע על פעולות רגישות

בדף סקירה כללית ובדף פעילות משתמש מוצג מידע על פעולות רגישות שמשתמשים מבצעים. פעולה רגישה היא כל פעולה בממשק המשתמש או ב-API שמבצעת פעולה מסוג GET/PUT/POST/DELETE בדפוסי ה-API הבאים:

תרחיש לדוגמה דפוס URI של בקשה
גישה למפתחים /v1/organizations/org_name/developers*
גישה לאפליקציות /v1/organizations/org_name/apps*
גישה לדוחות בהתאמה אישית /v1/Organizations/org_name/environments/env_name/stats*
גישה לנתוני מעקב /v1/Organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
גישה למארחים וירטואליים /v1/Organizations/org_name/environments/env_name/virtualhosts*

עבור התבניות האלה, התו * תואם לכל נתיב המשאב. לדוגמה, עבור תבנית ה-URI:

/v1/organizations/org_name/developers*

Edge עוקב אחר פעולות GET/PUT/POST/DELETE במזהי ה-URI הבאים:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

אפשר לשאול שאלות על מה שרואים

הדף פעילות משתמשים מאפשר להתעמק בפעילות של משתמשים בארגון. אתם יכולים לשאול את עצמכם:

  • האם מספר פרטי ההתחברות מתאים למשתמש?
  • האם המשתמש מבצע מספר רב של פעולות רגישות? האם אלה הפעולות הצפויות שהמשתמש צריך לבצע?
  • האם הפעילות של המשתמש השתנתה במהלך תקופת זמן מסוימת? למה האחוז השתנה?