Explorar os relatórios de segurança

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X. informações

Use este tutorial para entender melhor as vulnerabilidades de segurança atuais e possíveis. Este tópico descreve os relatórios que você verá na interface do usuário, oferecendo maneiras de pensar na segurança para seus proxies de API.

Apenas os administradores da organização e o administrador somente leitura da organização podem acessar esses relatórios na interface do Edge.

Relatórios disponíveis em Operações avançadas de API

Nesta página, descrevemos como usar relatórios de segurança, incluindo aqueles fornecidos a todos os clientes do Edge para Cloud Enterprise e aqueles disponíveis apenas para clientes de Operações de API avançadas. Os clientes do Edge para Cloud Enterprise que não compraram operações de API avançadas não terão acesso a alguns dos relatórios descritos abaixo.

Consulte Introdução aos relatórios de segurança para conferir uma lista completa de relatórios disponíveis para todos os clientes empresariais e apenas para clientes de operações de API avançadas.

Acessar um snapshot da atividade e da configuração do ambiente de execução

Use a página Visão geral para ver um snapshot de segurança do tráfego de configuração e ambiente de execução, incluindo operações potencialmente confidenciais. Com uma imagem das maiores quantidades de atividade, principalmente aquela que representa uma possível vulnerabilidade de segurança, é possível explorar dados mais detalhados sobre a configuração e o tráfego.

Para conferir a atividade em tempo de execução:

  1. No menu de navegação lateral, clique em Analyze > Security Reporting > Overview.

  2. No canto superior direito, clique no menu suspenso de período e selecione o período anterior com os dados que você quer ver:

    Gráfico de tráfego no sentido norte

  3. O gráfico Tráfego no sentido norte mostra informações sobre solicitações recebidas dos proxies de API para cada ambiente na sua organização.

  4. Para examinar o tráfego de entrada em mais detalhes, clique em Relatórios de tempo de execução para ver dados detalhados na página Ambiente de execução, descrita abaixo.

  5. Abaixo do gráfico Tráfego no sentido norte, você encontra gráficos que mostram Tráfego por região (somente quando você tem várias regiões), Distribuição de erros por código de falha e Usuários por operações potencialmente confidenciais (apenas para administradores da organização):

    Gráficos de tráfego por região, distribuição de erros por código de falha e usuários por operações potencialmente sensíveis

    Os endereços de e-mail estão intencionalmente ocultos nesta imagem. Consulte a descrição Sobre operações confidenciais abaixo.

Faça perguntas sobre o que você está vendo

O snapshot de alto nível fornecido pela página Visão geral mostra características importantes relacionadas à segurança do sistema. Com base no que você vê, você pode fazer a si mesmo as seguintes perguntas:

  • A porcentagem de solicitações supera suas expectativas? Vamos analisar melhor quais proxies de API estão recebendo essas solicitações?
  • A porcentagem de tráfego de cada região parece estar correta? Uma região está sobrecarregada?
  • Você está vendo um grande número de códigos de falha? Onde eles estão ocorrendo?
  • (Somente administradores da organização) Quais usuários estão invocando as operações mais sensíveis?

Receber detalhes do tráfego do ambiente de execução

Use a página Ambiente de execução para ver detalhes sobre o tráfego do ambiente e identificar as vulnerabilidades de segurança atuais. Por exemplo, você pode:

  • Identifique a quantidade de tráfego não HTTPS que vai para os proxies e destinos.
  • Confira detalhes sobre os apps de desenvolvedores e hosts virtuais que atendem a esse tráfego.
  • Conferir a contagem de erros por código de falha.

Para visualizar os detalhes do tráfego do ambiente de execução:

  1. No menu de navegação lateral, clique em Analyze > Security Reporting > Runtime.
  2. Para definir o escopo dos dados que você quer ver, na parte de cima da página, selecione o ambiente, a região e o período dos dados.
  3. Verifique se o menu suspenso ao lado da lista suspensa de ambiente exibe "Proxies" (não "Destinos" ou qualquer outro valor, como mostrado abaixo) e deixe o valor como "Qualquer".

  4. A tabela lista os proxies de API no escopo definido e o tráfego total do período. Em especial, observe a coluna listando o tráfego que não é HTTPS. Isso representa as solicitações enviadas ao proxy listado que chegam por não HTTPS, em vez de HTTPS. Esta é uma vulnerabilidade de segurança:

    Mais detalhes do tráfego do ambiente de execução.

  5. Clique em uma linha na tabela para ver mais informações sobre o proxy. Assim como no gráfico "Tráfego total", você pode passar o cursor sobre as barras no gráfico Tráfego no sentido norte para ver os dados subjacentes:

    Receba mais informações sobre o proxy.

  6. Na parte superior da página, clique no menu suspenso Proxies e depois em Destinos.

  7. Observe que a tabela lista informações semelhantes para destinos de proxy como a tabela listada para proxies.

  8. Clique em uma linha na tabela para ver os detalhes do destino.

    Veja os detalhes do destino.

  9. Na parte superior da página, clique no menu suspenso Destinos e depois em Apps para ver informações sobre os apps.

  10. Na parte superior da página, clique no menu suspenso Apps e em Códigos de falha para ver informações sobre os códigos de falha.

Faça perguntas sobre o que você está vendo

A página Ambiente de execução ilustra como seus proxies estão se comportando no contexto de tráfego atual: solicitações de clientes, solicitações para destinos. Use o que é mostrado para se perguntar se seus proxies estão se comportando como deveriam.

  • Confira os detalhes de cada proxy que recebe tráfego não HTTPS. A parte desse tráfego parece apropriada para esse proxy? O proxy deve ser reconfigurado para receber solicitações por HTTPS?
  • Analise os dados de diversos escopos, como mais ou menos dados de histórico. Há alguma tendência à qual você poderia estar respondendo?
  • Houve algum aumento significativo no tráfego de um proxy para um destino? Esse tráfego deve ser mediado por políticas de gerenciamento de tráfego?

Receber detalhes da configuração

Com os detalhes sobre a configuração do ponto de vista da segurança, é possível começar a identificar locais em que é possível melhorar a segurança mudando a configuração dos proxies. Na página Configuração, você encontra uma visão detalhada de como os proxies e destinos usam as ferramentas disponíveis na Apigee Edge.

Para ver os detalhes da configuração, faça o seguinte:

  1. No menu de navegação lateral, clique no item de menu Analyze > Security Reporting > Configuration.
  2. Para definir o escopo dos dados que você quer ver, na parte superior da página, selecione o ambiente correspondente.
  3. Verifique se o menu suspenso ao lado do menu suspenso "Ambiente" mostra "Proxies" (não "Destinos" ou outros valores) e deixe o valor como "Qualquer".
  4. Para cada proxy, a tabela indica:
    • O número de políticas usadas dos grupos de políticas relacionados à segurança. Os grupos de políticas são gerenciamento de tráfego, segurança e extensão. Saiba mais sobre os grupos em Visão geral da referência da política.
    • O número de fluxos compartilhados, se houver, usados por um proxy.
    • Define se os hosts virtuais de um proxy estão configurados para receber solicitações não HTTPS, HTTPS ou ambas.

  5. Clique em uma linha na tabela para saber mais sobre a configuração do proxy:

    Mais detalhes da configuração de proxy.

  6. Se o proxy selecionado incluir fluxos compartilhados, clique em Fluxos compartilhados no lado direito da IU para ver a lista de políticas relacionadas à segurança configuradas nos fluxos compartilhados chamados por esse proxy.

  7. Na parte superior da página, clique no menu suspenso Proxies e depois em Destinos.

  8. A tabela indica se os destinos estão sendo alcançados por chamadas não HTTPS ou HTTPS:

    Destinos alcançados por chamadas que não são HTTPS ou HTTPS.

  9. Na parte superior da página, clique no menu suspenso Destinos e, em seguida, clique em Fluxos compartilhados para ver informações sobre fluxos compartilhados, incluindo:

    • O número de políticas usadas dos grupos de políticas relacionados à segurança.
    • O número de proxies que usam cada fluxo compartilhado.

    Detalhes de configuração do fluxo compartilhado.

Faça perguntas sobre o que você está vendo

A página Ambiente de execução mostra como os proxies estão se comportando nas condições de execução. Já a página Configuração mostra como eles foram configurados para lidar com essas condições. Ao examinar os relatórios, observe mais de perto cada proxy.

  • Seus proxies têm as políticas de segurança apropriadas incluídas? Nem todos os proxies devem ser configurados de maneira idêntica em termos de segurança. Por exemplo, um proxy que recebe uma grande carga de solicitações, ou cuja quantidade de solicitações flutua drasticamente, provavelmente deve ter políticas de controle de tráfego, como a política SpikeArrest.
  • Se o uso do fluxo compartilhado for baixo, por que isso acontece? Os fluxos compartilhados são uma maneira útil de criar funcionalidades reutilizáveis relacionadas à segurança. Para saber mais sobre fluxos compartilhados, consulte Fluxos compartilhados reutilizáveis.
  • Você está usando fluxos compartilhados anexados a ganchos de fluxo? Ao anexar um fluxo compartilhado que contém políticas relacionadas à segurança a um hook, essa funcionalidade de segurança pode ser aplicada a todos os proxies em um ambiente. Para saber mais sobre ganchos de fluxo, consulte Como anexar um fluxo compartilhado usando um gancho de fluxo.
  • O proxy deve ter permissão para ter um host virtual que não seja HTTPS?

Receber detalhes da atividade do usuário

Como parte do monitoramento da segurança, esteja ciente das operações potencialmente confidenciais realizadas pelos usuários. A página Atividade do usuário lista o número de operações confidenciais realizadas pelos usuários. Consulte a descrição Sobre operações confidenciais abaixo.

Somente Administradores da Organização que compraram Operações de API avançadas podem acessar a página Atividade do usuário. Nenhum outro papel, incluindo "Administrador da organização com acesso somente leitura", pode acessar esta página

Para visualizar a atividade do usuário:

  1. No menu de navegação lateral, clique no item de menu Analyze > Security Reporting > User Activity.
  2. Clique na caixa de data para definir o período.

  3. Para cada usuário na organização, a tabela mostra (endereços de e-mail intencionalmente ocultados):

    • O número de logins.
    • O número de operações confidenciais realizadas pelo usuário na interface ou API.
    • A mudança na atividade durante o período selecionado.
    • A porcentagem de todas as operações realizadas pelo usuário que são consideradas confidenciais.

    Visualizar informações sobre os usuários.

  4. Clique em uma linha na tabela para exibir informações detalhadas sobre a atividade do usuário:

    Mais detalhes do usuário.

Sobre operações confidenciais

As páginas Visão geral e Atividade do usuário mostram informações sobre operações confidenciais realizadas pelos usuários. Operação confidencial é qualquer operação na interface ou API que execute uma ação GET/PUT/POST/DELETE nos seguintes padrões da API:

Caso de uso Solicitar padrão do URI
Acesso aos desenvolvedores /v1/organizations/org_name/developers*
Como acessar apps /v1/organizations/org_name/apps*
Como acessar relatórios personalizados /v1/organizations/org_name/environments/env_name/stats*
Acessar sessões de rastreamento /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
Como acessar hosts virtuais /v1/organizations/org_name/environments/env_name/virtualhosts*

Nesses padrões, o caractere * corresponde a qualquer caminho de recurso. Por exemplo, para o padrão de URI:

/v1/organizations/org_name/developers*

O Edge rastreia as ações GET/PUT/POST/DELETE nos seguintes URIs:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

Faça perguntas sobre o que você está vendo

A página Atividade do usuário oferece uma maneira de detalhar as atividades dos usuários da organização. Para cada usuário, você pode se perguntar:

  • O número de logins é adequado para o usuário?
  • O usuário está realizando um grande número de operações confidenciais? O usuário deveria realizar essas operações?
  • A atividade do usuário mudou ao longo de um período? Por que a porcentagem mudou?