您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
請按照這份逐步操作說明,進一步瞭解目前和潛在的安全漏洞。本主題說明使用者介面中顯示的報表,可讓您思考 API Proxy 的安全性。
只有機構管理員和唯讀機構管理員才能在 Edge UI 中存取這些報表。
Advanced API Ops 中的報表
本頁面說明如何使用安全性報告,包括我們為所有 Edge for Cloud Enterprise 客戶提供的報告,以及僅提供給進階 API 作業客戶使用的報告。未購買 Advanced API Ops 的 Edge for Cloud Enterprise 客戶無法存取以下部分報表。
請參閱「安全性報告簡介」一文,瞭解所有 Enterprise 客戶可用報告的完整清單,以及 Advanced API Ops 群眾提供的報表。
取得執行階段活動和設定的快照
您可以透過「Overview」(總覽) 頁面取得設定流量和執行階段流量的安全性快照,包括潛在的敏感作業。透過整體活動量 (尤其是代表潛在安全漏洞的活動),您可以進一步瞭解設定和流量的相關詳細資料。
如要查看執行階段活動:
在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Overview」。
點按右上角的時間範圍下拉式選單,然後選取要查看哪個時間範圍的資料:
「北行流量」圖表會顯示貴機構中各個環境的 API Proxy 傳入要求相關資訊。
如要進一步查看連入流量,請按一下「執行階段報表」,即可在「執行階段」頁面查看詳細的資料,如下所述。
「北行流量」圖表下方會顯示「依區域劃分的流量」(僅適用於多個區域)、「錯誤分佈情形 (依錯誤代碼區分)」和「使用者 (可能具敏感性的作業)」(僅限機構管理員) 的圖表:
電子郵件地址會刻意隱藏在這張圖片中。如需機密作業的說明,請參閱下方「關於敏感作業」一節。
詢問與所見畫面有關的問題
「總覽」頁面提供的高階快照可協助您查看與系統安全性相關的重要特徵。根據您所看到的資料,您可能會針對以下問題提問:
- 要求數是否超出你的預期?建議您查看哪些 API Proxy 收到這些要求?
- 每個區域的流量百分比是否正確無誤?一個區域是否超載?
- 是否看到大量錯誤的代碼?觀眾在哪裡?
- (僅限機構管理員) 哪些使用者叫用最敏感的作業?
取得執行階段流量詳細資料
您可以透過「執行階段」頁面查看執行階段流量的詳細資料,並找出目前的安全漏洞。使用範例如下:
- 找出指向 Proxy 和目標的非 HTTPS 流量。
- 查看提供該流量的開發人員應用程式和虛擬主機的詳細資料。
- 依錯誤代碼查看錯誤數量。
如要查看執行階段流量詳細資料,請按照下列步驟操作:
- 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Run」。
- 如要設定要查看的資料範圍,請在頁面頂端選取要查看資料的環境、區域和時間範圍。
- 確認環境下拉式選單旁的下拉式選單顯示「Proxy」(而非「目標」或任何其他值,詳情請見下文),並保留其值「不限」。
請注意,表格會列出您設定範圍內的 API Proxy,以及特定期間內的總流量。請特別注意,此欄會列出非 HTTPS 流量。代表傳送至所列 Proxy 的要求,透過非 HTTPS (而非 HTTPS) 傳送到這些 Proxy。以下是安全漏洞:
點選表格中的任一列,即可查看 Proxy 的詳細資訊。與「總流量」圖表一樣,只要將遊標懸停在「北行流量」圖表中的長條上,即可查看基準資料:
按一下頁面頂端的「Proxy」下拉式選單,然後點選「目標」。
請注意,此表格列出 Proxy 目標的類似資訊,如 Proxy 所列。
點選表格中的任一列,即可檢視該目標的詳細資料。
按一下頁面頂端的「指定目標」下拉式選單,然後點選「應用程式」查看應用程式相關資訊。
依序點選頁面頂端的「應用程式」下拉式選單和「故障代碼」,即可查看錯誤代碼的相關資訊。
詢問與所見畫面有關的問題
「執行階段」頁面會顯示 Proxy 在目前流量情境中的行為,包括來自用戶端的要求、目標的要求。請根據畫面顯示的內容,問自己 Proxy 運作是否正常。
- 查看每個接收非 HTTPS 流量的 Proxy 詳細資料。這個流量的比例是否適合該 Proxy?是否應該將 Proxy 重新設定為透過 HTTPS 接收要求?
- 查看各種範圍的資料,例如較多或較少記錄。有什麼值得期待的趨勢嗎?
- 從 Proxy 到目標的流量是否有任何顯著增加?流量管理政策是否應協調流量?
取得設定詳細資料
深入瞭解安全性方面的設定,您可以著手調整 Proxy 的設定方式,找出可以改善安全性的地方。「Configuration」頁面可讓您詳細瞭解 Proxy 和目標如何使用 Apigee Edge 提供的工具。
如要查看設定詳細資料,請按照下列步驟操作:
- 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「Configuration」選單項目。
- 如要設定要查看的資料範圍,請在頁面頂端選取要查看資料的環境。
- 確認環境下拉式選單旁的下拉式選單顯示「Proxy」(不是「目標」或其他值),且值保留為「不限」。
- 表格會針對各個 Proxy 顯示下列資訊:
- 安全性相關政策群組使用的政策數量。政策群組包括流量管理、安全性和擴充功能。如要進一步瞭解群組,請參閱政策參考資料總覽。
- Proxy 使用的共用流程數量 (如有)。
- Proxy 的虛擬主機是否設為接收非 HTTPS 要求和/或 HTTPS 要求。
點選表格中的任一列,即可查看 Proxy 設定的詳細資訊:
如果您選取的 Proxy 包含共用流程,請在使用者介面的右側按一下「Shared Flows」,查看這個 Proxy 呼叫共用流程中設定的安全性相關政策清單。
按一下頁面頂端的「Proxy」下拉式選單,然後點選「目標」。
請注意,下表會顯示目標是透過非 HTTPS 還是 HTTPS 呼叫到達:
按一下頁面頂端的「目標」下拉式選單,然後點選「共用流程」,即可查看共用流程的相關資訊,包括:
- 安全性相關政策群組使用的政策數量。
- 使用每個共用流程的 Proxy 數量。
詢問與所見畫面有關的問題
其中「執行階段」頁面會顯示 Proxy 在執行階段條件中的行為,「設定」頁面說明瞭 Proxy 如何因應這些條件。查看報表,進一步瞭解每個 Proxy。
- 您的 Proxy 是否包含適當的安全性政策?涉及安全性時,並非所有 Proxy 的設定都必須相同。舉例來說,如果 Proxy 接收到大量要求負載,或要求數量大幅波動,可能應設有流量控管政策,例如 SpikeArrest 政策。
- 如果共用流程的使用率偏低,為什麼會這樣?共用流程有助於建立可重複使用的安全性相關功能。如要進一步瞭解共用的流程,請參閱「可重複使用的共用流程」。
- 您是否使用連結至流程掛鉤的共用流程?將含有安全性相關政策的共用流程附加至流程掛鉤,即可在環境中的所有 Proxy 強制執行安全功能。如要進一步瞭解流程掛鉤,請參閱「使用流程掛鉤附加共用流程」。
- Proxy 應該允許非 HTTPS 虛擬主機嗎?
取得使用者活動詳細資料
為監控安全性,請注意使用者執行潛在敏感作業。「使用者活動」頁面會列出使用者執行的機密作業數量。如需機密作業的說明,請參閱下方「關於敏感作業」一節。
只有購買 Advanced API Ops 的機構管理員才能存取「User Activity」頁面。 其他角色 (包括唯讀機構管理員) 無法存取這個頁面
如何查看使用者活動:
- 在側邊導覽選單中,依序點選「Analyze」>「Security Reporting」>「User Activity」選單項目。
- 按一下日期方塊即可設定日期範圍。
針對機構中的每位使用者,這個表格會顯示 (刻意遮蔽電子郵件地址):
- 登入次數。
- 使用者透過 UI 或 API 執行的敏感作業數量。
- 所選時間範圍內的活動變化。
- 使用者執行的所有作業中,視為敏感資料的百分比。
按一下表格中的任一列,即可查看使用者活動的詳細資訊:
關於敏感作業
「總覽」頁面和「使用者活動」頁面都會顯示使用者執行的機密作業相關資訊。機密作業是指在 UI 或 API 中,對下列 API 模式執行 GET/PUT/POST/DELETE 動作的任何作業:
用途 | 要求 URI 模式 |
---|---|
存取開發人員 | /v1/organizations/org_name/developers* |
存取應用程式 | /v1/organizations/org_name/apps* |
存取自訂報表 | /v1/organizations/org_name/environments/env_name/stats* |
存取追蹤記錄工作階段 | /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions* |
存取虛擬主機 | /v1/organizations/org_name/environments/env_name/virtualhosts* |
對於這些模式,* 字元會對應任何資源路徑。例如,若為 URI 模式:
/v1/organizations/org_name/developers*
邊緣會追蹤下列 URI 的 GET/PUT/POST/DELETE 動作:
/v1/organizations/org_name/developers /v1/organizations/org_name/developers/developer_email /v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name
詢問與所見畫面有關的問題
「使用者活動」頁面可讓您深入瞭解機構使用者的活動。每位使用者都能自問:
- 登入次數是否適合使用者?
- 使用者是否執行大量敏感作業?這位使用者應執行哪些預期作業?
- 使用者的活動是否在一段時間內有所變化?為什麼百分比會有變動?