探索安全性報告

查看 Apigee Edge 說明文件。
前往 Apigee X說明文件
資訊

歡迎參閱這份逐步操作說明,瞭解如何深入瞭解現有安全漏洞和潛在的安全漏洞。 本主題說明使用者介面中顯示的報表,提供如何考量 API Proxy 的安全性。

只有機構管理員和唯讀機構管理員可以存取 使用 Edge UI 中的這些報表

Advanced API Ops 提供的報表

本頁說明如何使用安全性報告,包括提供給 Edge for Cloud Enterprise 客戶和僅限 Advanced API Ops 客戶使用。 尚未購買 Advanced API 作業的 Cloud Enterprise 客戶 無法存取下方所述的部分報表。

請參閱安全性報告簡介,瞭解完整的報表播映資訊清單 所有 Enterprise 客戶和只提供給 Advanced API 作業管道的客戶。

取得執行階段活動和設定的快照

您可以透過「總覽」頁面取得設定和執行階段流量的安全快照,包括 可能屬於敏感性質的作業透過掌握最多活動量 (尤其是代表可能存在安全漏洞的活動),您可以探索更詳細的設定和流量資料。

如要查看執行階段活動,請按照下列步驟操作:

  1. 在側邊導覽選單中,按一下「Analyze」(分析) >安全性報告 >總覽

  2. 按一下右上角的時間範圍下拉式選單,然後選取想查看哪個時段的資料。

    北向流量圖表

  3. 「北界流量」圖表會顯示機構中各個環境向 API Proxy 傳入要求的相關資訊。

  4. 如要詳細檢查連入流量,請按一下「執行階段報表」,即可在「執行階段」頁面查看詳細資料 (如下所述)。

  5. 在「北行流量」圖表下方,這些圖表顯示「按區域劃分的流量」 (僅適用於多個區域)、「依錯誤程式碼區分的錯誤分佈」以及「可能敏感作業的使用者」 (僅限機構管理員):

    「各區域的流量」、「依錯誤的程式碼區分的錯誤分佈」以及「使用者」的疑似機密作業圖表

    這張圖片會刻意遮蔽電子郵件地址。如需敏感作業的說明,請參閱下方的關於敏感作業

詢問與螢幕相關的問題

「總覽」頁面提供的概略快照可協助您瞭解與系統安全性相關的重要特性。視實際結果而定,您可能會想問自己下列問題:

  • 有多少比例的要求超出您的預期?是否需要進一步瞭解是哪些 API Proxy 會取得這些要求?
  • 各地區的流量百分比似乎正確嗎?是否有一個區域超載?
  • 出現大量故障代碼嗎?發生在什麼地方?
  • (僅限機構管理員) 哪些使用者叫用了最具敏感性的作業?

取得執行階段流量詳細資料

「執行階段」頁面可讓您查看執行階段流量的詳細資料,並找出現有的安全漏洞。 例如,您可以:

  • 找出傳送至 Proxy 和目標的非 HTTPS 流量。
  • 查看提供該流量的開發人員應用程式和虛擬主機詳細資料。
  • 按照錯誤程式碼查看錯誤數量。

如要查看執行階段流量詳細資料,請按照下列步驟操作:

  1. 在側邊導覽選單中,按一下「Analyze」(分析) >安全性報告 >執行階段
  2. 如要設定查看資料的範圍,請在頁面頂端選取要查看的環境、區域和時間範圍。
  3. 確認環境下拉式選單旁邊的下拉式選單顯示「Proxy」(不是「指定目標」或任何其他值,請在下方詳閱),並將值保留為「Any」。
  4. 請注意,這個表格會列出所設範圍內的 API Proxy,以及該 Proxy 在該期間內的總流量。請特別注意列出非 HTTPS 流量的資料欄。這代表傳送至所列 Proxy 的要求是透過非 HTTPS 傳送,而非 HTTPS。這是安全漏洞:

    查看執行階段流量詳細資料。

  5. 點選表格中的任一資料列,即可查看 Proxy 的詳細資訊。如同「總流量」圖表所示,您可以將遊標懸停在「北行流量」圖表中的長條上,查看基礎資料:

    進一步瞭解 Proxy。

  6. 按一下頁面頂端的「Proxy」下拉式選單,然後按一下「目標」

  7. 請注意,表格中列出了 Proxy 目標的類似資訊,而如同 Proxy 所列出的表。

  8. 點選表格中的任一列,即可查看目標的詳細資料。

    查看足以攻擊目標的詳細資料。

  9. 按一下頁面頂端的「目標」下拉式選單,然後按一下「應用程式」,即可查看應用程式的相關資訊。

  10. 按一下頁面頂端的「應用程式」下拉式選單,然後點選「錯誤驗證碼」,即可查看救援碼相關資訊。

詢問與螢幕相關的問題

「執行階段」頁面會顯示 Proxy 在目前流量情境下的運作方式,例如來自用戶端的要求、對目標的要求。請根據畫面顯示的內容,思考 Proxy 是否正常運作。

  • 查看每個接收非 HTTPS 流量的 Proxy 詳細資料。該流量的部分是否適合該 Proxy?是否應重新設定 Proxy,以便透過 HTTPS 接收要求?
  • 查看各種範圍的資料,例如較多或較少記錄。您是否有值得關注的趨勢?
  • 從 Proxy 到目標的流量是否有顯著增加?是否應根據流量管理政策調解流量?

取得設定詳細資料

根據安全性層面的設定詳細資料,您可以開始透過變更 Proxy 的設定方式,找出可以提升安全性的部分。「設定」頁面會詳細說明 Proxy 和目標如何使用 Apigee Edge 提供的工具。

如要查看設定詳細資料:

  1. 在側邊導覽選單中,按一下「Analyze」(分析) >安全性報告 >設定選單項目。
  2. 如要設定查看資料的範圍,請在頁面頂端選取要查看的環境。
  3. 確認環境下拉式選單旁邊的下拉式選單顯示「Proxy」(不是「目標」或其他值),請將值保留為「Any」。
  4. 對於每個 Proxy,表格都指出:
    • 安全性相關政策群組中使用的政策數量。政策群組包括流量管理、安全性和擴充功能。如要進一步瞭解群組,請參閱政策參考資料總覽
    • Proxy 使用的共用流程數量 (如有)。
    • Proxy 的虛擬主機是否設為接收非 HTTPS 要求、HTTPS 要求,或兩者皆設定。
  5. 點選表格中的任一資料列,即可查看 Proxy 設定的詳細資訊:

    查看代理連線詳細資料。

  6. 如果您選取的 Proxy 包含共用流程,請按一下使用者介面右側的「Shared Flows」(共用流程),以查看在由這個 Proxy 呼叫的共用流程中設定的安全性相關政策清單。

  7. 按一下頁面頂端的「Proxy」下拉式選單,然後按一下「目標」

  8. 請注意,下表會指出非 HTTPS 或 HTTPS 呼叫是否觸及目標:

    非 HTTPS 或 HTTPS 呼叫觸及的目標。

  9. 在頁面頂端,按一下「Targets」(目標) 下拉式選單,然後按一下「Shared flows」(共用流程) 查看共用流程相關資訊,包括:

    • 安全性相關政策群組中使用的政策數量。
    • 使用每個共用流程的 Proxy 數量。

    共用流程設定詳細資料。

詢問與螢幕相關的問題

「執行階段」頁面會顯示 Proxy 在執行階段條件中的運作情形,「設定」頁面會顯示如何設定 Proxy 處理這些條件。請查看報表,進一步瞭解每個 Proxy。

  • Proxy 是否包含適當的安全性政策?為了安全起見,並非所有 Proxy 都能相同設定。舉例來說,如果 Proxy 收到的要求負載過高,或是要求數量大幅變動,就應該設定 SpikeArrest 政策等流量控管政策。
  • 如果共用流程的使用率偏低,原因為何?共用的流程是建立可重複使用的安全相關功能的實用方法。如要進一步瞭解共用流程,請參閱「可重複使用的共用流程」。
  • 您是否使用附加至流程掛鉤的共用流程?只要將包含安全性相關政策的共用流程附加至流程掛鉤,即可對環境中的 Proxy 強制執行安全性功能。如要進一步瞭解流程掛鉤,請參閱使用流程掛鉤附加共用流程
  • Proxy 是否應允許非 HTTPS 虛擬主機?

取得使用者活動詳細資料

監控安全性時,請留意使用者所執行的潛在敏感作業。「使用者活動」頁面會列出使用者執行的機密作業數量。如需敏感作業的說明,請參閱下方的關於敏感作業

僅限已購買 Advanced API 作業的機構管理員 可以存取「使用者活動」頁面。 沒有其他角色 (包括唯讀機構管理員) 無法存取這個頁面

如要查看使用者活動,請按照下列步驟操作:

  1. 在側邊導覽選單中,按一下「Analyze」(分析) >安全性報告 >使用者活動選單項目。
  2. 按一下日期方塊即可設定日期範圍。
  3. 下表針對機構中的每位使用者顯示 (蓄意遮蓋的電子郵件地址):

    • 登入次數。
    • 使用者透過 UI 或 API 執行的敏感作業數量。
    • 活動在所選時間範圍內的變化。
    • 使用者執行的所有作業中,符合機密條件的百分比。

    查看使用者相關資訊。

  4. 按一下表格中的任一列,即可查看使用者活動的詳細資訊:

    查看使用者詳細資料。

關於敏感作業

「總覽」頁面和「使用者活動」頁面都會顯示使用者所執行敏感作業的相關資訊。 機密作業是指 UI 或 API 中執行 GET/PUT/POST/DELETE 的任何作業 對下列 API 模式執行的動作:

用途 要求 URI 模式
存取開發人員 /v1/organizations/org_name/developers*
存取應用程式 /v1/organizations/org_name/apps*
存取自訂報表 /v1/organizations/org_name/environments/env_name/stats*
存取追蹤記錄工作階段 /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions*
存取虛擬主機 /v1/organizations/org_name/environments/env_name/virtualhosts*

針對這些模式,* 字元會對應到任何資源路徑。例如: 的 URI 模式:

/v1/organizations/org_name/developers*

Edge 會針對下列 URI 追蹤 GET/PUT/POST/DELETE 動作:

/v1/organizations/org_name/developers
/v1/organizations/org_name/developers/developer_email
/v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name

詢問與螢幕相關的問題

「使用者活動」頁面可讓您深入瞭解機構使用者的活動, 您可以針對每位使用者,思考下列問題:

  • 登入次數適合使用者嗎?
  • 使用者是否執行大量敏感作業?請問這位使用者應該執行的作業是否符合預期?
  • 使用者的活動在一段時間內是否有變化?為什麼比例會有變化?