探索安全性報告

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件 資訊

請按照這份逐步操作說明,進一步瞭解目前和潛在的安全漏洞。本主題說明使用者介面中顯示的報表,可讓您思考 API Proxy 的安全性。

只有機構管理員和唯讀機構管理員才能在 Edge UI 中存取這些報表。

Advanced API Ops 中的報表

本頁面說明如何使用安全性報告,包括我們為所有 Edge for Cloud Enterprise 客戶提供的報告,以及僅提供給進階 API 作業客戶使用的報告。未購買 Advanced API Ops 的 Edge for Cloud Enterprise 客戶無法存取以下部分報表。

請參閱「安全性報告簡介」一文,瞭解所有 Enterprise 客戶可用報告的完整清單,以及 Advanced API Ops 群眾提供的報表。

取得執行階段活動和設定的快照

您可以透過「Overview」(總覽) 頁面取得設定流量和執行階段流量的安全性快照,包括潛在的敏感作業。透過整體活動量 (尤其是代表潛在安全漏洞的活動),您可以進一步瞭解設定和流量的相關詳細資料。

如要查看執行階段活動:

  1. 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Overview」

  2. 點按右上角的時間範圍下拉式選單,然後選取要查看哪個時間範圍的資料:

    「北極流量」圖表

  3. 「北行流量」圖表會顯示貴機構中各個環境的 API Proxy 傳入要求相關資訊。

  4. 如要進一步查看連入流量,請按一下「執行階段報表」,即可在「執行階段」頁面查看詳細的資料,如下所述。

  5. 「北行流量」圖表下方會顯示「依區域劃分的流量」(僅適用於多個區域)、「錯誤分佈情形 (依錯誤代碼區分)」和「使用者 (可能具敏感性的作業)」(僅限機構管理員) 的圖表:

    「流量 (依區域顯示流量」、「錯誤分佈情形」分類,以及「使用者 (依可能敏感的作業劃分)」圖表

    電子郵件地址會刻意隱藏在這張圖片中。如需機密作業的說明,請參閱下方「關於敏感作業」一節。

詢問與所見畫面有關的問題

「總覽」頁面提供的高階快照可協助您查看與系統安全性相關的重要特徵。根據您所看到的資料,您可能會針對以下問題提問:

  • 要求數是否超出你的預期?建議您查看哪些 API Proxy 收到這些要求?
  • 每個區域的流量百分比是否正確無誤?一個區域是否超載?
  • 是否看到大量錯誤的代碼?觀眾在哪裡?
  • (僅限機構管理員) 哪些使用者叫用最敏感的作業?

取得執行階段流量詳細資料

您可以透過「執行階段」頁面查看執行階段流量的詳細資料,並找出目前的安全漏洞。使用範例如下:

  • 找出指向 Proxy 和目標的非 HTTPS 流量。
  • 查看提供該流量的開發人員應用程式和虛擬主機的詳細資料。
  • 依錯誤代碼查看錯誤數量。

如要查看執行階段流量詳細資料,請按照下列步驟操作:

  1. 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Run」
  2. 如要設定要查看的資料範圍,請在頁面頂端選取要查看資料的環境、區域和時間範圍。
  3. 確認環境下拉式選單旁的下拉式選單顯示「Proxy」(而非「目標」或任何其他值,詳情請見下文),並保留其值「不限」。

  4. 請注意,表格會列出您設定範圍內的 API Proxy,以及特定期間內的總流量。請特別注意,此欄會列出非 HTTPS 流量。代表傳送至所列 Proxy 的要求,透過非 HTTPS (而非 HTTPS) 傳送到這些 Proxy。以下是安全漏洞:

    查看執行階段流量詳細資料。

  5. 點選表格中的任一列,即可查看 Proxy 的詳細資訊。與「總流量」圖表一樣,只要將遊標懸停在「北行流量」圖表中的長條上,即可查看基準資料:

    進一步瞭解 Proxy。

  6. 按一下頁面頂端的「Proxy」下拉式選單,然後點選「目標」

  7. 請注意,此表格列出 Proxy 目標的類似資訊,如 Proxy 所列。

  8. 點選表格中的任一列,即可檢視該目標的詳細資料。

    查看結合目標的詳細資料。

  9. 按一下頁面頂端的「指定目標」下拉式選單,然後點選「應用程式」查看應用程式相關資訊。

  10. 依序點選頁面頂端的「應用程式」下拉式選單和「故障代碼」,即可查看錯誤代碼的相關資訊。

詢問與所見畫面有關的問題

「執行階段」頁面會顯示 Proxy 在目前流量情境中的行為,包括來自用戶端的要求、目標的要求。請根據畫面顯示的內容,問自己 Proxy 運作是否正常。

  • 查看每個接收非 HTTPS 流量的 Proxy 詳細資料。這個流量的比例是否適合該 Proxy?是否應該將 Proxy 重新設定為透過 HTTPS 接收要求?
  • 查看各種範圍的資料,例如較多或較少記錄。有什麼值得期待的趨勢嗎?
  • 從 Proxy 到目標的流量是否有任何顯著增加?流量管理政策是否應協調流量?

取得設定詳細資料

深入瞭解安全性方面的設定,您可以著手調整 Proxy 的設定方式,找出可以改善安全性的地方。「Configuration」頁面可讓您詳細瞭解 Proxy 和目標如何使用 Apigee Edge 提供的工具。

如要查看設定詳細資料,請按照下列步驟操作:

  1. 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Configuration」選單項目。
  2. 如要設定要查看的資料範圍,請在頁面頂端選取要查看資料的環境。
  3. 確認環境下拉式選單旁的下拉式選單顯示「Proxy」(不是「目標」或其他值),且值保留為「不限」。
  4. 表格會針對各個 Proxy 顯示下列資訊:
    • 安全性相關政策群組使用的政策數量。政策群組包括流量管理、安全性和擴充功能。如要進一步瞭解群組,請參閱政策參考資料總覽
    • Proxy 使用的共用流程數量 (如有)。
    • Proxy 的虛擬主機是否設為接收非 HTTPS 要求和/或 HTTPS 要求。

  5. 點選表格中的任一列,即可查看 Proxy 設定的詳細資訊:

    查看 Proxy 設定詳細資料。

  6. 如果您選取的 Proxy 包含共用流程,請在使用者介面的右側按一下「Shared Flows」,查看這個 Proxy 呼叫共用流程中設定的安全性相關政策清單。

  7. 按一下頁面頂端的「Proxy」下拉式選單,然後點選「目標」

  8. 請注意,下表會顯示目標是透過非 HTTPS 還是 HTTPS 呼叫到達:

    透過非 HTTPS 或 HTTPS 呼叫觸及的目標。

  9. 按一下頁面頂端的「目標」下拉式選單,然後點選「共用流程」,即可查看共用流程的相關資訊,包括:

    • 安全性相關政策群組使用的政策數量。
    • 使用每個共用流程的 Proxy 數量。

    共用流程設定詳細資料。

詢問與所見畫面有關的問題

其中「執行階段」頁面會顯示 Proxy 在執行階段條件中的行為,「設定」頁面說明瞭 Proxy 如何因應這些條件。查看報表,進一步瞭解每個 Proxy。

  • 您的 Proxy 是否包含適當的安全性政策?涉及安全性時,並非所有 Proxy 的設定都必須相同。舉例來說,如果 Proxy 接收到大量要求負載,或要求數量大幅波動,可能應設有流量控管政策,例如 SpikeArrest 政策
  • 如果共用流程的使用率偏低,為什麼會這樣?共用流程有助於建立可重複使用的安全性相關功能。如要進一步瞭解共用的流程,請參閱「可重複使用的共用流程」。
  • 您是否使用連結至流程掛鉤的共用流程?將含有安全性相關政策的共用流程附加至流程掛鉤,即可在環境中的所有 Proxy 強制執行安全功能。如要進一步瞭解流程掛鉤,請參閱「使用流程掛鉤附加共用流程」。
  • Proxy 應該允許非 HTTPS 虛擬主機嗎?

取得使用者活動詳細資料

為監控安全性,請注意使用者執行潛在敏感作業。「使用者活動」頁面會列出使用者執行的機密作業數量。如需機密作業的說明,請參閱下方「關於敏感作業」一節。

只有購買 Advanced API Ops 的機構管理員才能存取「User Activity」頁面。 其他角色 (包括唯讀機構管理員) 無法存取這個頁面

如何查看使用者活動:

  1. 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「User Activity」選單項目。
  2. 按一下日期方塊即可設定日期範圍。

  3. 針對機構中的每位使用者,這個表格會顯示 (刻意遮蔽電子郵件地址):

    • 登入次數。
    • 使用者透過 UI 或 API 執行的敏感作業數量。
    • 所選時間範圍內的活動變化。
    • 使用者執行的所有作業中,視為敏感資料的百分比。

    查看使用者資訊。

  4. 按一下表格中的任一列,即可查看使用者活動的詳細資訊:

    查看使用者詳細資料。

關於敏感作業

「總覽」頁面和「使用者活動」頁面都會顯示使用者執行的機密作業相關資訊。機密作業是指在 UI 或 API 中,對下列 API 模式執行 GET/PUT/POST/DELETE 動作的任何作業:

用途 要求 URI 模式
存取開發人員 /v1/organizations/org_name/developers*
存取應用程式 /v1/organizations/org_name/apps*
存取自訂報表 /v1/organizations/org_name/environments/env_name/stats*
存取追蹤記錄工作階段 /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
存取虛擬主機 /v1/organizations/org_name/environments/env_name/virtualhosts*

對於這些模式,* 字元會對應任何資源路徑。例如,若為 URI 模式:

/v1/organizations/org_name/developers*

邊緣會追蹤下列 URI 的 GET/PUT/POST/DELETE 動作:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

詢問與所見畫面有關的問題

「使用者活動」頁面可讓您深入瞭解機構使用者的活動。每位使用者都能自問:

  • 登入次數是否適合使用者?
  • 使用者是否執行大量敏感作業?這位使用者應執行哪些預期作業?
  • 使用者的活動是否在一段時間內有所變化?為什麼百分比會有變動?