סקירה כללית על הערכת סיכונים וממשק המשתמש

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

סקירה כללית

Advanced API Security הערכת סיכוני אבטחה מעריכה באופן רציף את ההגדרות של proxy ל-API ומחשבת ציוני אבטחה כדי לעזור לזהות ולטפל בפגיעויות ב-API.

הערכת סיכונים עוזרת לכם:

  • אכיפת סטנדרטים עקביים של אבטחה בכל ממשקי ה-API.
  • זיהוי הגדרות שגויות בהגדרות של ממשקי API.
  • כדי לשפר את ציון האבטחה הכולל, כדאי לבצע את הפעולות המומלצות.
  • אפשר לחקור ולפתור בעיות אבטחה במהירות באמצעות לוח בקרה מרכזי.

בנוסף להערכת הסיכון הנוכחי של כל שרת proxy, אפשר להשתמש בהערכת סיכונים כדי לעקוב אחרי מצב האבטחה של ממשקי ה-API לאורך זמן. ציון הערכה שמשתנה יכול להצביע על כך שההתנהגות של ה-API משתנה לעיתים קרובות, כולל שרתי proxy שנפרסו ללא מדיניות אבטחה נדרשת, שינויים בזרימה משותפת באמצעות פריסות של נקודות חיבור לזרימה ותוספות של מדיניות FlowCallout, ושינויים בשרת היעד בפריסות של סביבה או של שרת proxy.

אפשר לגשת להערכת הסיכונים דרך ממשק המשתמש של Apigee, כמו שמתואר בדף הזה, או דרך Security scores and profiles API. אפשר גם להשתמש ב-Terraform כדי להגדיר פרופילי אבטחה ותנאי מעקב.

במאמר התפקידים הנדרשים לביצוע הערכת סיכונים מפורטים התפקידים שנדרשים לביצוע משימות של הערכת סיכונים.

הפעלת הערכת סיכונים

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

Advanced API Security, תצטרכו להפעיל מחדש את התכונה על ידי הרצת הפקודה שמופיעה במאמר הפעלה של Advanced API Security בארגונים עם מינוי, כדי שתוכלו לראות את ציוני האבטחה של הסביבה החדשה.

הערכת סיכונים גרסה 1 וגרסה 2

הערכת הסיכונים זמינה בשתי גרסאות: הערכת סיכונים גרסה 2 והערכת סיכונים גרסה 1. מומלץ להשתמש בגרסה 2 ככל האפשר. כדי להשתמש באחת מהגרסאות, צריך להוסיף את התוסף Advanced API Security.

ההבדלים העיקריים בין גרסה 1 לגרסה 2 הם:

  • ‫v2 כוללת:
    • מהימנות משופרת, כולל חישובים מהירים יותר של הציון באמצעות נתוני פרוקסי עדכניים
    • חישוב הניקוד בלי הצורך לצרף קודם פרופיל אבטחה לסביבה
    • הצגת הציון בצורה פשוטה יותר, על סמך סולם של 0% עד 100%
    • המושג של משקלים של בדיקות הערכה, שלא נתמך בגרסה 1. מושגים ושיטות לחישוב ציונים בהערכת סיכונים
    • הערכות נוספות מעבר לגרסה 1, שבודקות יותר מדיניות כשמחשבים את הציונים. לדוגמה, גרסה 1 תומכת בחמש מדיניות שקשורות להרשאה ולאימות, וגרסה 2 תומכת בשמונה. בנוסף, גרסה 2 כוללת קטגוריה של ניהול תנועה עם כללי מדיניות משויכים, ומבצעת בדיקות נוספות במדיניות, כולל בדיקות של המאפיין continueOnError.
    • בדיקות של תהליכי עבודה משותפים מוטמעים ושל נקודות חיבור לתהליכי עבודה עד לרמה חמישית של הטמעה. בגרסה 1 לא מתבצעת הערכה של כללי מדיניות שנכללים באמצעות שרשור של תהליכי עבודה משותפים.
    • החלפה של ציוני יעד (ציוני שרת יעד) בהערכות ובהמלצות שמבוססות על שרת proxy. אם נעשה שימוש ביעד ב-Proxy, ציוני האבטחה של ה-Proxy הזה כוללים גם את הציון של שרת היעד.
    • פרופילים מותאמים אישית שמשתמשים בבדיקות החדשות של גרסה 2 של ההערכה, וגם בפרופיל המערכת google-default.
    • מעקב אחרי מדדי אבטחה וציוני אבטחה לאורך זמן באמצעות Cloud Monitoring והגדרת התראות באמצעות התראות של Cloud Monitoring.
    • שילוב עם Apigee API hub.
  • גרסה 2 לא תומכת בהערכת מקור על סמך תנועה פוגעת.

הערכת סיכונים גרסה 2

בקטע הזה מתוארת הגרסה השנייה של הערכת הסיכונים. יש הבדלים בין גרסה 1 לגרסה 2 במושגים מסוימים ובאופן הפעולה של הערכת הסיכון. אם אתם משתמשים בגרסה 1 של הערכת הסיכונים, אתם יכולים לקרוא על כך במאמר הערכת סיכונים גרסה 1.

מושגים ומתודולוגיית ניקוד בגרסה 2 של הערכת סיכונים

ציוני האבטחה של הערכת הסיכונים מעריכים את סיכון האבטחה של ממשקי ה-API על סמך הניקוד של הערכות האבטחה והמשקלים בפרופיל האבטחה.

הציונים של הערכת הסיכונים מבוססים על:

  • הערכות ובדיקות הערכה: הבדיקות האישיות שמתבצעות מול שרתי proxy, ועל פיהן נקבע הניקוד של שרתי ה-proxy. לכל בדיקה יש גם משקל, שנותן לבדיקה חשיבות רבה יותר או פחות כשמעריכים אותה מול שרת proxy. המשקלים מוגדרים כמשני, בינוני או עיקרי לכל בדיקה. לכל משקל יש סה"כ ניקוד לפריט שמשמש לחישוב הניקוד:
    • קטין: 1
    • בינוני: 5
    • Major: 15
  • פרופיל אבטחה: אוסף של בדיקות הערכה, שמשמשות להערכת השרתים הפרוקסי שמוצבים בסביבה מסוימת.
  • ציון האבטחה: הציון של שרת proxy אחרי הערכה בהתאם לפרופיל אבטחה.

    הציון הוא ערך בין 0% ל-100%. ציון של 100% מציין ששרת ה-proxy עומד באופן מלא בדרישות ההערכה, ולא נמצאו סיכונים על סמך בדיקות ההערכה.

    ציון האבטחה הוא בעצם סכום כל הנקודות שניתנו על בדיקות הערכה שעברו בהצלחה, חלקי סכום הנקודות הפוטנציאליות בפרופיל. הציון הוא ממוצע משוקלל, ולכן ככל שיש יותר מדיניות בפרופיל האבטחה, כך ההשפעה של כל בדיקת הערכה על ציון האבטחה קטנה יותר.

    גם למשקל של בדיקת ההערכה יש השפעה על ציון האבטחה. למשקלים גבוהים יש השפעה גדולה יותר על החישוב, ולמשקלים נמוכים יש השפעה קטנה יותר, בהתאם לערך הנקודות של כל משקל. אם המשקלים שווים לכל בדיקות ההערכה בפרופיל האבטחה (למשל, אם לכל בדיקות ההערכה יש משקל בינוני), ציון האבטחה מחושב כממוצע רגיל.

  • חומרה: ערך חומרה לכל שרת proxy שנבדק, על סמך ציון האבטחה. ערכי החומרה הפוטנציאלית הם גבוהה (0-50%), בינונית (51-90%), נמוכה (91-99%) ומינמלית (100%/לא נמצא סיכון על סמך ההערכות בפרופיל האבטחה שהוקצה).

קטגוריות של הערכות ובדיקות

בטבלה הזו מוצגות קטגוריות ההערכה והבדיקות האישיות שיכולות להיות חלק מפרופילי אבטחה. מוצגות גם המלצות לטיפול בהערכות שנכשלו לכל אחת מהקטגוריות.

קטגוריית הערכה תיאור
AI בודקת אם קיימת מדיניות בנושא AI.
בדיקה או שם של הערכה תיאור המלצה
בדיקת מדיניות של SanitizeUserPrompt / sanitize-user-prompt-policy-check בודקים אם נעשה שימוש במדיניות SanitizeUserPrompt. מוסיפים את המדיניות SanitizeUserPrompt לשרת ה-proxy.
SanitizeModelResponse policy check / sanitize-model-response-policy-check בודקים אם נעשה שימוש במדיניות SanitizeModelResponse. מוסיפים את המדיניות SanitizeModelResponse לשרת ה-proxy.
בדיקת מדיניות SemanticCacheLookup / semantic-cache-lookup-policy-check בודקים אם נעשה שימוש במדיניות SemanticCacheLookup. מוסיפים את מדיניות SemanticCacheLookup לשרת ה-proxy.
אימות במקרה הזה, 'אימות' מתייחס גם להרשאה וגם לאימות. הערכות אימות בודקות אם יש לכם מדיניות הרשאה ומדיניות אימות, ואם מאפיין continueOnError של מדיניות האימות מוגדר לערך false.
בדיקה או שם של הערכה תיאור המלצה
בדיקת מדיניות הרשאות / auth-policies-check בודקים אם אחת ממדיניות ההרשאות הבאה מופעלת: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyIAM, VerifyJWS, או VerifyJWT policy. לפחות אחת ממדיניות החובה ל-Proxy
continueOnError check in auth policies / continue-on-error-auth-policies-check בודקת אם השדה continueOnError מופעל בכל מדיניות האימות בפרוקסי. הבדיקה כוללת בדיקה אם נעשה שימוש במדיניות אימות, והיא לא משפיעה אם אין מדיניות אימות בפרוקסי. מגדירים את continueOnError כ-false לכל מדיניות האימות שכלולה בשרת ה-proxy.
בדיקת מדיניות AccessControl / access-control-policy-check האם נעשה שימוש במדיניות AccessControl. מוסיפים את מדיניות AccessControl לשרת ה-proxy.
בדיקת מדיניות של BasicAuthentication / basic-auth-policy-check האם נעשה שימוש במדיניות BasicAuthentication. מוסיפים את מדיניות BasicAuthentication לשרת ה-proxy.
בדיקת מדיניות HMAC / hmac-policy-check אם נעשה שימוש במדיניות HMAC. מוסיפים את מדיניות ה-HMAC לשרת ה-proxy.
בדיקת מדיניות OAuthV2 / oauthv2-policy-check אם נעשה שימוש במדיניות OAuth. מוסיפים את מדיניות OAuthV2 לשרת ה-proxy.
בדיקת מדיניות ValidateSAMLAssertion / validate-saml-assertion-policy-check האם נעשה שימוש במדיניות ValidateSAMLAssertion. מוסיפים את מדיניות ValidateSAMLAssertion לפרוקסי.
מדיניות VerifyAPIKey / verify-api-key-policy-check האם נעשה שימוש במדיניות VerifyAPIKey. מוסיפים את מדיניות VerifyAPIKey לפרוקסי.
VerifyIAM / verify-iam-policy-check האם נעשה שימוש במדיניות VerifyIAM. מוסיפים את VerifyIAM לשרת ה-proxy.
VerifyJWS policy / verify-jws-policy-check האם נעשה שימוש במדיניות VerifyJWS. מוסיפים את מדיניות VerifyJWS לשרת ה-proxy.
‫VerifyJWT policy / verify-jwt-policy-check האם נעשה שימוש במדיניות VerifyJWT. מוסיפים את מדיניות VerifyJWT לשרת ה-proxy.
CORS בודקת אם יש מדיניות CORS או כותרת CORS במדיניות AssignMessage.
בדיקה או שם של הערכה תיאור המלצה
בדיקת מדיניות CORS / cors-policies-check בודקים אם יש מדיניות CORS או כותרת CORS במדיניות AssignMessage. מוסיפים את מדיניות ה-CORS או את מדיניות AssignMessage עם כותרות ה-CORS לשרת ה-proxy.
בדיקת מדיניות CORS / cors-policy-check בודקים אם נעשה שימוש במדיניות CORS. מוסיפים את מדיניות ה-CORS לשרת ה-proxy.
בדיקת מדיניות של CORS AssignMessage / cors-assignmessage-policy-check בודקים אם כותרות CORS נוספו במדיניות AssignMessage. מוסיפים את מדיניות AssignMessage עם כותרות CORS לשרת ה-proxy.
תהליך בחירת הרשת (Mediation) בודקת אם מדיניות גישור מופעלת.
בדיקה או שם של הערכה תיאור המלצה
בדיקה של כללי מדיניות בנושא תהליך בחירת הרשת (Mediation) / mediation-policies-check בודקים אם אחת ממדיניות הגישור הבאה מופעלת: SOAPMessageValidation או OASValidation. מוסיפים לאפליקציית ה-proxy אחת ממדיניות הגישור הבאה: SOAPMessageValidation או OASValidation.
בדיקת מדיניות של SOAPMessageValidation / soap-validation-policy-check בודקים אם נעשה שימוש במדיניות SOAPMessageValidation. מוסיפים את מדיניות SOAPMessageValidation לשרת ה-proxy.
בדיקת מדיניות של OASValidation / oas-validation-policy-check בודקים אם נעשה שימוש במדיניות OASValidation. מוסיפים את מדיניות OASValidationCheck לשרת ה-proxy.
יעד בודקת אם נעשה שימוש בהגנות של שרת היעד. מידע על הגדרת שרת היעד זמין במאמר איזון עומסים בין שרתים עורפיים.
בדיקה או שם של הערכה תיאור המלצה
בדיקת TLS של שרת היעד / tls-target-server-check בודקים אם יש TLS/SSL בשרתי היעד. כדי לאבטח את התקשורת, צריך להגדיר TLS/SSL בכל שרתי היעד שהוגדרו ב-proxy.
בדיקת mTLS של שרת היעד / mtls-target-server-check בודקים אם יש mTLS בשרתי היעד. כדי להשיג אבטחה מקסימלית, צריך להגדיר mTLS בכל שרתי היעד שהוגדרו ב-proxy.
אכיפת בדיקת שדה בשרת היעד / target-enforce-field-check בודקים אם השדה Enforce מופעל בהגדרות של שרת היעד. מגדירים את השדה Enforce (אכיפה) כדי לאכוף SSL מחמיר בין שרת ה-Proxy של Apigee לבין היעד.
איום בודק אם נעשה שימוש במדיניות למניעת איומים.
בדיקה או שם של הערכה תיאור המלצה
בדיקה של מדיניות איומים / threat-policies-check בודקים אם אחת ממדיניות האיומים הבאה מופעלת: ‫JSONThreatProtection, ‫RegularExpressionProtection, או ‫XMLThreatProtection. מוסיפים לאמצעי הבקרה מדיניות איומים נדרשת.
המשך בדיקה במקרה שגיאה במדיניות בנושא איומים / continue-on-error-threat-policies בודקים אם השדה continueOnError מופעל בכל מדיניות האיומים שמשמשת בשרת ה-proxy. הבדיקה הזו כוללת בדיקה אם נעשה שימוש במדיניות איומים, והיא לא משפיעה אם אין מדיניות איומים בשרת הפרוקסי. מגדירים את continueOnError לערך false לכל מדיניות האיומים שנמצאת בשימוש ב-proxy.
בדיקת מדיניות JSONThreatProtection / json-threat-protection-policy-check בודקים אם נעשה שימוש במדיניות JSONThreatProtection. מוסיפים את מדיניות JSONThreatProtection לשרת ה-proxy.
RegularExpressionProtection policy check / regex-protection-policy-check בודקים אם נעשה שימוש במדיניות RegularExpressionProtection. מוסיפים את מדיניות RegularExpressionProtection לפרוקסי.
בדיקת מדיניות XMLThreatProtection / xml-threat-protection-policy-check בודקים אם נעשה שימוש במדיניות XMLThreatProtection. מוסיפים את מדיניות XMLThreatProtection לשרת ה-proxy.
תעבורת נתונים בודק אם יש לכם מדיניות לניהול תנועה.
בדיקה או שם של הערכה תיאור המלצה
בדיקת מדיניות לניהול תעבורת נתונים / traffic-management-policies-check בודקים אם אחת ממדיניות ניהול התנועה הבאה מופעלת: LookupCache, Quota, ResponseCache, או SpikeArrest. מוסיפים את אחת ממדיניות ניהול התעבורה לפרוקסי.
בדיקת מדיניות של LookupCache / lookup-cache-policy-check בודקים אם המדיניות LookupCache מופעלת. מוסיפים את מדיניות LookupCache לשרת ה-proxy.
בדיקת מדיניות בנושא מכסות / quota-policy-check בודקים אם נעשה שימוש במדיניות Quota. מוסיפים את מדיניות הקצאה (Quota) לשרת ה-proxy.
בדיקת מדיניות של ResponseCache / response-cache-policy-check בודקים אם נעשה שימוש במדיניות ResponseCache. מוסיפים את מדיניות ResponseCache לשרת ה-proxy.
בדיקת מדיניות של SpikeArrest / spike-arrest-policy-check בודקים אם נעשה שימוש במדיניות SpikeArrest. מוסיפים את מדיניות SpikeArrest לשרת ה-proxy.

צירוף מדיניות וציוני אבטחה של שרת proxy

במקרה של הערכות שרת proxy, ציוני האבטחה מבוססים על המדיניות שבה אתם משתמשים. אופן ההערכה של כללי המדיניות האלה תלוי בשאלה אם הם מצורפים לזרימות ובאופן שבו הם מצורפים.

  • רק מדיניות שמצורפת לזרימה (preflow,‏ conditional flow,‏ post flow בשרתי proxy או shared flow) משפיעה על הניקוד. מדיניות שלא מצורפת לזרימה כלשהי לא משפיעה על הניקוד.
  • כשמחשבים את ציוני ה-Proxy, המערכת לוקחת בחשבון זרימות משותפות ש-Proxy קורא להן באמצעות ווים של זרימות ומדיניות FlowCallout ב-Proxy, בתנאי שמדיניות FlowCallout מצורפת לזרימה. עם זאת, אם FlowCallout לא מצורף לזרימה, מדיניות מהזרימה המשותפת המקושרת שלו לא משפיעה על ציוני האבטחה.
  • הערכה של תהליכי עבודה משותפים בשרשרת מתבצעת עד לעומק של חמש רמות. כל כללי המדיניות שנכללים ישירות בשרת ה-proxy ובחמש הרמות הראשונות של זרימות משותפות נספרים בציון האבטחה.
  • במדיניות שמצורפת לזרימות מותנות, ציוני האבטחה מתייחסים רק לנוכחות של המדיניות, ולא לאופן האכיפה שלה בזמן הריצה.

Security profiles v2

פרופיל אבטחה הוא קבוצה של הערכות אבטחה ומשקלים שמשמשים לדירוג שרתי proxy ל-API. אתם יכולים להשתמש בפרופיל האבטחה שמוגדר כברירת מחדל של Apigee, שנקרא google-default, או ליצור פרופיל אבטחה בהתאמה אישית שמכיל רק את קטגוריות האבטחה והמשקלים שאתם רוצים להעריך.

כשעובדים עם פרופילי אבטחה או כשיוצרים פרופילי אבטחה בהתאמה אישית, חשוב לזכור שכל בדיקה של הערכה בקטגוריה מוערכת בנפרד.

לדוגמה, אם יש שלוש בדיקות של מדיניות אימות בפרופיל אבטחה, והפרוקסי שנבדק כולל אחת משלוש הבדיקות, ציון ההערכה יכלול נקודות מלאות על המדיניות שנמצאה ואפס נקודות על שתי המדיניות האחרות שלא קיימות. בדוגמה הזו, ה-proxy שנבדק לא יקבל ניקוד מלא על בדיקות של מדיניות אימות גם אם הוא כולל מדיניות אימות. כדאי להיזהר כשמפרשים את ציון האבטחה ומתכננים את פרופיל האבטחה בהתאם להתנהגות הזו.

פרופיל אבטחה שמוגדר כברירת מחדל

Advanced API Security מספקת פרופיל אבטחה שמוגדר כברירת מחדל ומכיל את כל ההערכות. כשמשתמשים בפרופיל ברירת המחדל, ציוני האבטחה מבוססים על כל הקטגוריות.

אי אפשר לערוך או למחוק את פרופיל האבטחה שמוגדר כברירת מחדל, google-default.

פרופיל אבטחה בהתאמה אישית

אתם יכולים ליצור פרופילי אבטחה מותאמים אישית שכוללים רק את הבדיקות והמשקלים שבחרתם כדי להעריך את הנתונים מול שרתי proxy. הוראות ליצירה ולשימוש בפרופילי אבטחה מותאמים אישית בממשק המשתמש של Apigee מופיעות במאמר ניהול פרופילים מותאמים אישית בממשק המשתמש של Apigee.

הבדיקות של ההערכה בפרופיל אבטחה מותאם אישית הן הערכות מסוג AND. מידע נוסף זמין במאמר מושגים וניקוד של הערכת סיכונים.

במקרים מסוימים, יכול להיות שתרצו להשתמש בפרופיל אבטחה בהתאמה אישית כדי ליצור תנאי OR בין בדיקות ההערכה. לדוגמה, יכול להיות שתרצו ליצור פרופיל שדורש מדיניות OAuth או מדיניות מפתח API לאימות. בשלב הזה, אי אפשר ליצור תנאי OR אמיתי שבו נוכחות של אחת מהמדיניות תגרום לציון של 100%, אבל אפשר להשתמש בפרופיל אבטחה מותאם אישית כדי לציין אם אחת מהמדיניות או שתיהן קיימות.

לדוגמה:

  1. תכין פרופיל מותאם אישית עם הבדיקות והמשקלים הבאים:
    • בדיקת מדיניות OAuthV2: חמורה
    • בדיקת המדיניות VerifyAPIKey: משני
  2. עם ההגדרות האלה, הניקוד הוא:
    • ‫100% אם שתי המדיניות קיימות
    • ‫94% אם קיימת רק מדיניות OAuthV2
    • ‫6% אם קיימת רק המדיניות VerifyAPIKey
    • ‫0% אם אף אחת מהמדיניות לא מוגדרת
    משתמשים בציונים כדי לקבוע אילו כללי מדיניות מוגדרים בשרתי ה-proxy.
  3. בנוסף, צריך ליצור תנאי מעקב והתראה ב-Cloud Monitoring כדי להגדיר התראה שתופעל אם הציון יירד מתחת ל-6%. מעל 6% זה אומר שלשרת ה-proxy יש מדיניות OAuthV2 או מדיניות VerifyAPIKey (או שתיהן). אם אחוז הסוללה נמוך מ-6%, לא קיימת מדיניות, והמשתמש צריך לשים לב לכך. משתמשים בשם ובתאור של ההתראה כדי לציין אם חסרה מדיניות אחת או שתי מדיניות. אפשר לראות דוגמה ב דוגמה: יצירת התראה על מעקב אחרי תנאי מעקב להערכת סיכונים.

לפרופילי אבטחה בהתאמה אישית:

  • שם הפרופיל (שנקרא גם מזהה הפרופיל) הוא חובה ומופיע בטבלת הסיכום כשמציגים רשימה של פרופילים. השם צריך להיות באורך של 1 עד 63 תווים, שיכולים להיות אותיות קטנות, מספרים 0-9 או מקפים. התו הראשון חייב להיות אות קטנה. התו האחרון חייב להיות אות קטנה או מספר. לפרופילי אבטחה מותאמים אישית צריכים להיות שמות ייחודיים, ולא יכולים להיות שמות כפולים של פרופילים קיימים.
  • תיאור הפרופיל הוא אופציונלי, ואורכו לא יכול לעלות על 1,000 תווים.

מעקב אחרי תנאים והתראות

אבטחת API מתקדמת מאפשרת להוסיף תנאי מעקב להערכת סיכונים. אחרי שיוצרים תנאי מעקב, הערכת הסיכונים מפרסמת מדדים של ציון האבטחה ב-Cloud Monitoring. ‏Cloud Monitoring יכול לעקוב אחרי ציוני האבטחה לאורך זמן עבור שרתי proxy שנבדקו בהשוואה לפרופילי אבטחה.

כדי להשתמש בתנאי מעקב:

  1. חשוב להכיר את הפונקציונליות של Cloud Monitoring.
  2. מוודאים שיש לכם את התפקידים או ההרשאות הנדרשים לניהול תנאי המעקב. התפקידים הנדרשים לניתוח סיכונים
  3. משתמשים בממשק המשתמש או ב-API של Apigee כדי ליצור ולנהל תנאי מעקב. אפשר לעיין במאמרים בנושא ניהול תנאי ניטור והתראות בממשק המשתמש של Apigee וניהול תנאי ניטור ב-API.

אחרי שיוצרים תנאי מעקב, אפשר להגדיר התראות מעקב על מדדי התנאי באמצעות התראות של Cloud Monitoring.

כדי ליצור התראות ניטור מממשק המשתמש של Apigee, אפשר לעיין במאמר ניהול תנאי ניטור והתראות בממשק המשתמש של Apigee. מידע על התראות ב-Advanced API Security ועל ניהול התראות הניטור זמין במאמר התראות אבטחה.

מגבלות ובעיות ידועות בגרסה 2 של הערכת הסיכון

אלו המגבלות והבעיות הידועות שקשורות לציוני אבטחה:

  • ציוני אבטחה נוצרים רק אם פריסת ה-proxy בוצעה בסביבה.
  • ציונים לא מוצגים מיד עבור שרתי proxy חדשים שהופעלו, וגם לא עבור ארגונים וסביבות חדשים שהופעלו. מידע נוסף זמין במאמר בנושא עיכובים בנתונים.
  • בפרופילים מותאמים אישית, אפשר ליצור עד 100 פרופילים מותאמים אישית לכל ארגון.
  • נכון לעכשיו, אין תמיכה בהתראות על חישובים וציונים חדשים של הערכות.
  • יכול להיות רק תנאי ניטור אחד לכל שילוב של היקף ופרופיל אבטחה. אם פרופיל כבר משויך לתנאי ניטור קיים בהיקף שנבחר, תוצג הודעת אזהרה ולא תהיה אפשרות ליצור את התנאי החדש.
  • רק פרוקסי שנפרסו נכללים במעקב. אם פרוקסי שנכלל בתנאי מעקב לא נפרס, הוא לא נכלל במעקב ולא מופיע כפרוקסי שנכלל במעקב בפרטי תנאי המעקב. אם הפרוקסי נפרס מחדש, הוא נכלל במעקב באופן אוטומטי ומופיע כפרוקסי שנכלל במעקב בפרטי תנאי המעקב.
  • אפשר ליצור עד 1,000 תנאים לניטור לצורכי אבטחה לכל ארגון.
  • יכול להיות שיחלפו עד 5 דקות לפני שציונים חדשים שמתבצע אחריהם מעקב באמצעות תנאי של ניטור לצורכי אבטחה יופיעו ב-Cloud Monitoring.
  • ציוני האבטחה זמינים ב-Cloud Monitoring למשך עד 6 שבועות. מידע נוסף זמין במאמר בנושא שמירת נתונים.

עיכובים בנתונים

הנתונים שמשמשים לחישוב ציוני האבטחה של Advanced API Security עוברים את חלונות העיבוד הבאים לפני שהתוצאות זמינות:

  • כשמפעילים לראשונה את Advanced API Security בארגון, לוקח זמן עד שהציונים של ה-proxies והיעדים הקיימים משתקפים בסביבה. כהנחיה, בארגונים עם מינוי צריך לחכות 30 עד 90 דקות, ובארגונים עם תשלום לפי שימוש צריך לחכות פחות זמן.
  • אירועים חדשים שקשורים לשרתי proxy (פריסה וביטול פריסה) ולמטרות (יצירה, עדכון ומחיקה) בסביבה משתקפים בציון של הסביבה תוך 60 שניות עד 5 דקות (בסביבות גדולות מאוד).

הצגת הערכות סיכונים בממשק המשתמש של Apigee

בדף Risk Assessment מוצגים ציונים שמודדים את רמת האבטחה של ה-API בכל סביבה.

כדי לפתוח את הדף הערכת סיכונים:

במסוף Google Cloud , עוברים לדף Apigee > Advanced API Security > Risk assessment.

מעבר להערכת סיכונים

יוצג הדף הערכת סיכונים:

הדף הראשי של הערכת הסיכונים.

הדף כולל את הקטעים הבאים:

  • סביבה: בוחרים את הסביבה שבה רוצים לראות את ההערכות.
  • פרופיל אבטחה: בוחרים את פרופיל ברירת המחדל (google-default) או פרופיל מותאם אישית, אם יש כזה. מידע על פרופילי אבטחה זמין במאמר בנושא פרופילי אבטחה.
  • פריסת שרתי proxy לפי חומרה: אחרי הגדרת הסביבה, בדף מוצג סיכום של רמות החומרה בשרתי ה-proxy בסביבה הזו. מושגים ושיטות לחישוב ציונים בהערכת סיכונים
  • פרטי ההערכה: מציגים את פרופיל האבטחה, את התאריך והשעה של ההערכה, את המספר הכולל של התצורות שנבדקו ואת המספר הכולל של השרתים הפרוקסי שנפרסו בסביבה שנבחרה. המספר הכולל של התצורות שנבדקו משקף את המספר הכולל של הבדיקות שבוצעו. יכול להיות שהמספר הזה יהיה גבוה יותר ממספר ההערכות בפרופיל. חלק מההערכות, כמו אימות שהמאפיין continueOnError מוגדר ל-false, בודקות גם אם המדיניות הקשורה קיימת ומופעלת.
  • שרתי proxy שנפרסו: סיכום של שרתי proxy שנפרסו בסביבה וציוני הערכת הסיכון שלהם:

    • Proxy: שם ה-proxy.
    • מידת החומרה: מידת החומרה של הערכת הסיכון עבור ה-proxy. מידע נוסף זמין במאמר בנושא ציוני אבטחה ורמות חומרה.

    • ציון: ציון הערכת הסיכון של ה-Proxy. מידע נוסף זמין במאמר בנושא מושגים וניקוד של הערכת סיכונים.
    • Revision: מספר הגרסה של ה-proxy שעליו בוצעה הערכת הציון.
    • מבדקים שנכשלו לפי משקל: מספר המבדקים שנכשלו, מקובצים לפי משקל המבדק.
    • המלצות: המלצות ספציפיות לשיפור הציון בשרת הפרוקסי. כדי לראות את ההמלצות, לוחצים על המספר.

ניהול פרופילי אבטחה מותאמים אישית בממשק המשתמש של Apigee

בקטע הזה מוסבר איך להציג, ליצור, לערוך ולמחוק פרופילי אבטחה מותאמים אישית באמצעות ממשק המשתמש של Apigee. חשוב לשים לב למגבלות על פרופילי אבטחה מותאמים אישית שמפורטות במאמר מגבלות על ציוני אבטחה.

כדאי להתחיל עם הצגת הערכות הסיכון בממשק המשתמש של Apigee.

יצירה ועריכה של פרופילי אבטחה בהתאמה אישית

במסך 'הערכת סיכונים', לוחצים על הכרטיסייה פרופילי אבטחה. כדי לערוך פרופיל קיים, לוחצים על שם הפרופיל כדי לראות את פרטי הפרופיל ואז על עריכה. לחלופין, אפשר לבחור באפשרות עריכה בתפריט 'פעולות' בשורה של הפרופיל הרצוי.

כדי ליצור פרופיל מותאם אישית חדש, לוחצים על + יצירה ברשימת פרופילי האבטחה.

רשימת פרופילי אבטחה

כשיוצרים או עורכים פרופיל אבטחה בהתאמה אישית, אפשר להגדיר את הערכים הבאים:

  • שם: השם של פרופיל האבטחה. חשוב לוודא שהשם הזה ייחודי לפרויקט.
  • תיאור: (אופציונלי). תיאור של פרופיל האבטחה.
  • בדיקות הערכה ומשקלים של הערכות: בדיקה אחת או יותר של הערכות כדי להעריך את הנתונים בהשוואה לנתוני פרוקסי, ומשקל לכל בדיקה. במאמר מושגים וניקוד של הערכת סיכונים מפורטת רשימה של בדיקות ההערכה הזמינות. כדי להוסיף עוד בדיקות ומשקלים לפרופיל, לוחצים על + הוספה. כדי למחוק צמד של בדיקה/משקל, לוחצים על סמל האשפה בשורה של הצמד.

פרופילי אבטחה כפולים

כדי לשכפל פרופיל אבטחה קיים (כדי ליצור פרופיל חדש בהתאמה אישית), בוחרים באפשרות שכפול בתפריט 'פעולות' בשורה של הפרופיל הרלוונטי, או לוחצים על שם הפרופיל ברשימת הפרופילים כדי לראות את המטא-נתונים של הפרופיל, ואז לוחצים על שכפול.

כשמשכפלים פרופיל אבטחה בהתאמה אישית, אפשר להוסיף את פרופיל האבטחה החדש לאותו מופע של Apigee או לשימוש בשערי Apigee API Hub, אם משתמשים ב-API Hub.

במאמר פרופיל אבטחה בהתאמה אישית מפורטות הדרישות למתן שמות לפרופילי אבטחה.

מחיקת פרופילי אבטחה בהתאמה אישית

כדי למחוק פרופיל אבטחה קיים בהתאמה אישית, בוחרים באפשרות מחיקה בתפריט הפעולות בשורה של הפרופיל הזה, או לוחצים על שם הפרופיל ברשימת הפרופילים כדי לראות את המטא-נתונים של הפרופיל, ואז לוחצים על מחיקה.

שימו לב שאי אפשר למחוק את פרופיל ברירת המחדל של המערכת (google-default).

מחיקה של פרופיל אבטחה מותאם אישית נכנסת לתוקף באופן מיידי, ומבטלת את האפשרות להעריך שרתי proxy לפי הפרופיל הזה או לראות הערכות קודמות לפי הפרופיל המותאם אישית הזה.

ניהול של תנאי המעקב וההתראות מממשק המשתמש של Apigee

בקטע הזה מוסבר איך להציג, ליצור, לערוך ולמחוק תנאי מעקב, ואיך ליצור התראות מעקב באמצעות ממשק המשתמש של Apigee. מידע על התכונה הזו זמין במאמר תנאים והתראות ב-Monitoring.

מתחילים בצפייה בהערכות סיכונים בממשק המשתמש של Apigee ואז בוחרים בכרטיסייה תנאי מעקב.

הצגה, יצירה ועריכה של תנאי מעקב

בדף הראשי מופיעים כל התנאים הקיימים למעקב. כדי לראות את הפרטים של תנאי מעקב קיים, לוחצים על הערך Monitored proxies/total deployed (פרוקסי בפיקוח/סה"כ פרוקסי שנפרסו) בשורה של תנאי המעקב הרלוונטי. כדי לערוך תנאי קיים, בוחרים באפשרות עריכה בתפריט הפעולות בשורה של תנאי המעקב. כדי ליצור תנאי חדש למעקב, לוחצים על + יצירת תנאי למעקב מעל רשימת התוצאות.

רשימת פרופילי אבטחה

התנאים למעקב כוללים את ההגדרות הבאות:

  • סביבה: הסביבה עם תנאי המעקב. הסביבה נבחרת אוטומטית בבורר Environment בחלק העליון של הכרטיסייה monitoring conditions.
  • פרופיל אבטחה/פרופיל: פרופיל האבטחה שנבדק.
  • תנאים: האם Include all או Include שרתי proxy ספציפיים מהסביבה. אם בוחרים באפשרות Include, מסמנים את התיבה לצד השם של כל שרת proxy שרוצים לכלול.

הצגת מדדי מעקב

כדי לראות את המדדים של תנאי מעקב ב-Cloud Monitoring, לוחצים על View בשורה של תנאי המעקב.

מחיקת תנאי מעקב

כדי למחוק תנאי קיים למעקב, בוחרים באפשרות מחיקה בתפריט פעולות בשורה של תנאי המעקב, ואז מאשרים.

יש עיכוב קצר לפני שמדדי Cloud Monitoring מפסיקים להתפרסם.

יצירת התראות למעקב

כדי ליצור התראה חדשה למעקב, בוחרים באפשרות יצירת התראה למעקב בתפריט פעולות בשורה של תנאי המעקב. הפעולה הזו מעבירה אתכם לדף ההתראות של Cloud Monitoring במסוף Google Cloud , וחלק מהערכים מאוכלסים מראש על סמך תנאי המעקב. מידע נוסף זמין במאמר בנושא התראות אבטחה.

הערכת סיכונים גרסה 1

בקטע הזה מתוארת הערכת הסיכונים גרסה 1. מידע על הערכת סיכונים גרסה 2 זמין במאמר הערכת סיכונים גרסה 2.

ציוני אבטחה

ציוני האבטחה מעריכים את האבטחה של ממשקי ה-API, וגם את מצב האבטחה שלהם לאורך זמן. לדוגמה, ציון שמשתנה הרבה יכול להצביע על כך שההתנהגות של ה-API משתנה לעיתים קרובות, וזה לא רצוי. שינויים בסביבה שעלולים לגרום לירידה בציון כוללים:

  • פריסת הרבה פרוקסי של API בלי מדיניות האבטחה הנדרשת.
  • עלייה חדה בתנועת שימוש לרעה ממקורות זדוניים.

מעקב אחרי השינויים בציוני האבטחה לאורך זמן מספק אינדיקציה טובה לגבי פעילות לא רצויה או חשודה בסביבה.

הציונים של האבטחה מחושבים על סמך פרופיל האבטחה, שבו מצוינות קטגוריות האבטחה שאתם רוצים שהציונים יתבססו עליהן. אתם יכולים להשתמש בפרופיל האבטחה שמוגדר כברירת מחדל ב-Apigee, או ליצור פרופיל אבטחה מותאם אישית שכולל רק את קטגוריות האבטחה שהכי חשובות לכם.

סוגי הערכות של ציוני אבטחה

יש שלושה סוגים של הערכות שמשפיעות על ציון האבטחה הכולל שמחושב על ידי Advanced API Security:

  • הערכת המקור: מעריכה את תעבורת הנתונים של ההתנהלות הפוגעת שזוהתה באמצעות כללי הזיהוי של Advanced API Security. 'שימוש לרעה' מתייחס לבקשות שנשלחות אל ה-API למטרות אחרות מאלה שה-API מיועד להן.

  • הערכת שרת proxy: הערכה של מידת ההטמעה של מדיניות אבטחה שונה בשרתי proxy בתחומים הבאים:

    מידע נוסף זמין במאמר איך מדיניות משפיעה על ציוני האבטחה של שרתי proxy.

  • הערכת יעד: בודקת אם מוגדרת אבטחת שכבת התעבורה ההדדית (mTLS) עם שרתי היעד בסביבה.

לכל אחד מסוגי ההערכות האלה מוקצה ציון משלו. הציון הכולל הוא הממוצע של הציונים של סוגי ההערכות השונים.

איך כללי מדיניות משפיעים על ציוני אבטחה של שרת proxy

במקרה של הערכות שרת proxy, ציוני האבטחה מבוססים על המדיניות שבה אתם משתמשים. אופן ההערכה של כללי המדיניות האלה תלוי בשאלה אם הם מצורפים לזרימות ובאופן שבו הם מצורפים.

  • רק מדיניות שמצורפת לזרימה (preflow,‏ conditional flow,‏ post flow בשרתי proxy או shared flow) משפיעה על הניקוד. מדיניות שלא מצורפת לזרימה כלשהי לא משפיעה על הניקוד.
  • כשמחשבים את ציוני ה-Proxy, המערכת לוקחת בחשבון זרימות משותפות שפונקציית Proxy קוראת להן באמצעות נקודות חיבור לזרימה ומדיניות FlowCallout ב-Proxy, בתנאי שמדיניות FlowCallout מצורפת לזרימה. עם זאת, אם FlowCallout לא מצורפת לזרימה, המדיניות מהזרימה המשותפת המקושרת שלה לא משפיעה על ציוני האבטחה.
  • אין תמיכה בשרשור של רכיבי SharedFlow. המדיניות שנכללת באמצעות שרשור של זרימות משותפות לא מוערכת כשמחשבים את ציוני האבטחה.
  • במדיניות שמצורפת לזרימות מותנות, ציוני האבטחה מתייחסים רק לנוכחות של המדיניות, ולא לאופן האכיפה שלה בזמן הריצה.

פרופילי אבטחה

פרופיל אבטחה הוא קבוצה של קטגוריות אבטחה (שמתוארות בהמשך) שרוצים שהמערכת תיתן להן ציון עבור ממשקי ה-API. פרופיל יכול להכיל כל קבוצת משנה של קטגוריות האבטחה. כדי לראות את ציוני האבטחה של סביבה מסוימת, קודם צריך לצרף לסביבה פרופיל אבטחה. אתם יכולים להשתמש בפרופיל האבטחה שמוגדר כברירת מחדל של Apigee, או ליצור פרופיל אבטחה בהתאמה אישית שמכיל רק את קטגוריות האבטחה שחשובות לכם.

פרופיל אבטחה שמוגדר כברירת מחדל

התכונה 'אבטחת API מתקדמת' מספקת פרופיל אבטחה שמוגדר כברירת מחדל ומכיל את כל קטגוריות האבטחה. אם משתמשים בפרופיל ברירת המחדל, ציוני האבטחה יתבססו על כל הקטגוריות.

פרופיל אבטחה בהתאמה אישית

פרופילי אבטחה בהתאמה אישית מאפשרים לכם לבסס את ציוני האבטחה רק על קטגוריות האבטחה שאתם רוצים לכלול בציון. במאמר יצירה ועריכה של פרופילי אבטחה מוסבר איך ליצור פרופיל בהתאמה אישית.

קטגוריות אבטחה

ציוני האבטחה מבוססים על הערכה של קטגוריות האבטחה שמתוארות בהמשך.

קטגוריה תיאור המלצה
התנהלות פוגעת בדיקה של שימוש לרעה, שכולל כל בקשה שנשלחת אל ה-API למטרות אחרות מאלה שהוא מיועד להן, כמו נפח גדול של בקשות, גירוד נתונים ושימוש לרעה שקשור להרשאה. המלצות בנושא שימוש לרעה
הרשאה בודק אם יש לכם מדיניות הרשאות. מוסיפים אחת מהמדיניות הבאות לשרת ה-proxy:
CORS בודק אם יש מדיניות CORS. מוסיפים מדיניות CORS לשרת הפרוקסי.
MTLS בודק אם הגדרתם mTLS (אבטחת שכבת התעבורה הדדית) לשרת היעד. מידע נוסף זמין במאמר בנושא הגדרת mTLS בשרת היעד.
תהליך בחירת הרשת (Mediation) בודקת אם יש לכם מדיניות גישור. מוסיפים לאחד מהפרוקסי את אחת ממדיניות הפרטיות הבאות:
איום המערכת בודקת אם יש לכם מדיניות להגנה מפני איומים. מוסיפים לאחד מהפרוקסי את אחת ממדיניות הפרטיות הבאות:

הגבלות על ציוני אבטחה גרסה 1

יש כמה מגבלות לגבי ציוני האבטחה:

  • אפשר ליצור עד 100 פרופילים בהתאמה אישית לכל ארגון.
  • ציוני אבטחה נוצרים רק אם בסביבה יש שרתי proxy, שרתי יעד ותנועה.
  • ציונים לא מוצגים מיד לשרתי proxy חדשים שהופעלו.

עיכובים בנתונים

הנתונים שעליהם מבוססים ציוני האבטחה של Advanced API Security (אבטחת API מתקדמת) מעובדים באופן שגורם לעיכובים הבאים:

  • כשמפעילים Advanced API Security בארגון, יכולות לעבור עד 6 שעות עד שהציונים של פרוקסי ושל יעדים קיימים ישתקפו בסביבה.
  • יכולות לחלוף עד 6 שעות לפני שאירועים חדשים שקשורים לשרתי proxy (פריסה וביטול פריסה) וליעדים (יצירה, עדכון ומחיקה) בסביבה יופיעו בניקוד של הסביבה.
  • בממוצע, יש עיכוב של 15 עד 20 דקות בנתונים שמוזרמים לפייפליין של Apigee Analytics. כתוצאה מכך, יש עיכוב של כ-15 עד 20 דקות בעיבוד של נתוני שימוש לרעה במקורות.

פתיחת הדף הערכת סיכונים

בדף Risk assessment מוצגים ציונים שמודדים את רמת האבטחה של ה-API בכל סביבה.

יכול להיות שיחלפו כמה דקות עד שהדף הערכת סיכונים ייטען. טעינת הדף תימשך זמן רב יותר בסביבות עם נפח תנועה גבוה ומספר גדול של שרתי proxy ויעדים.

כדי לפתוח את הדף הערכת סיכונים:

במסוף Google Cloud , עוברים לדף Apigee > Advanced API Security > Risk assessment.

מעבר להערכת סיכונים

יוצג הדף הערכת סיכונים:

הדף הראשי של הערכת הסיכונים.

בדף יש שתי כרטיסיות, שמתוארות בסעיפים הבאים:

צפייה בציוני אבטחה

כדי לראות את ציוני האבטחה, לוחצים על הכרטיסייה ציוני אבטחה.

שימו לב: לא מחושבים ציונים לסביבה עד שמצרפים אליה פרופיל אבטחה, כמו שמתואר במאמר צירוף פרופיל אבטחה לסביבה. ‫Apigee מספק מדיניות אבטחה שמוגדרת כברירת מחדל, או שאתם יכולים ליצור פרופיל בהתאמה אישית, כמו שמתואר במאמר יצירה ועריכה של פרופילי אבטחה.

בטבלה ציוני אבטחה מוצגות העמודות הבאות:

  • סביבה: הסביבה שבה מחושבים הציונים.
  • רמת סיכון: רמת הסיכון לסביבה, שיכולה להיות נמוכה, בינונית או חמורה.
  • ציון אבטחה: הציון הכולל של הסביבה, מתוך 1,200.
  • סה"כ המלצות: מספר ההמלצות שסופקו.
  • פרופיל: השם של פרופיל האבטחה המצורף.
  • העדכון האחרון: התאריך האחרון שבו עודכנו ציוני האבטחה.
  • פעולות: לוחצים על סמל האפשרויות הנוספות (3 נקודות) בשורה של הסביבה כדי לבצע את הפעולות הבאות:
    • צירוף פרופיל: צירוף פרופיל אבטחה לסביבה.
    • ניתוק פרופיל: ניתוק פרופיל אבטחה מהסביבה.

צירוף פרופיל אבטחה לסביבה

כדי לראות את ציוני האבטחה של סביבה מסוימת, צריך קודם לצרף פרופיל אבטחה לסביבה באופן הבא:

  1. בעמודה פעולות, לוחצים על סמל האפשרויות הנוספות (3 נקודות) בשורה של הסביבה.
  2. לוחצים על צירוף פרופיל.
  3. בתיבת הדו-שיח צירוף פרופיל:
    1. לוחצים על השדה פרופיל ובוחרים את הפרופיל שרוצים לצרף. אם לא יצרתם פרופיל אבטחה מותאם אישית, הפרופיל היחיד שזמין הוא default.
    2. לוחצים על הקצאה.

כשמצרפים פרופיל אבטחה לסביבה, Advanced API Security מתחילה מיד להעריך ולדרג אותה. שימו לב: יכול להיות שיחלפו כמה דקות עד שהניקוד יוצג.

הציון הכולל מחושב מהציונים האישיים בשלושת סוגי ההערכות:

  • הערכת מקור
  • הערכת שרת proxy
  • מבדק היעד

שימו לב: כל הציונים הם בטווח 200 עד 1,200. ציונים גבוהים יותר בהערכה מצביעים על סיכון אבטחה נמוך יותר.

הצגת התוצאות

אחרי שמצרפים פרופיל אבטחה לסביבה, אפשר לראות את הציונים וההמלצות בסביבה. כדי לעשות זאת, לוחצים על השורה של הסביבה בדף הראשי ציוני אבטחה. הציונים של הסביבה מוצגים באופן הבא:

ציוני אבטחה בסביבה.

בתצוגה מופיעות ארבע כרטיסיות:

סקירה כללית

בכרטיסייה סקירה כללית מוצגים הפרטים הבאים:

  • נקודות עיקריות בכל הערכה:
    • Proxy: מציג את ההמלצה המובילה לגבי שרתי proxy בסביבה. לוחצים על Edit Proxy (עריכת שרת proxy) כדי לפתוח את Proxy Editor (עורך שרת proxy) של Apigee, שבו אפשר להטמיע את ההמלצה.
    • יעד: מציג את ההמלצה המובילה ליעדים בסביבה. לוחצים על הצגת שרתי יעד כדי לפתוח את הכרטיסייה שרתי יעד בדף ניהול > סביבות בממשק המשתמש של Apigee.
    • מקור: מציג את תנועת הניצול לרעה שזוהתה. לוחצים על תנועה שזוהתה כדי להציג את הכרטיסייה תנועה שזוהתה בדף 'זיהוי התנהלות פוגעת'.
  • סיכומים של הערכת מקור, הערכת שרת proxy והערכת יעד, כולל:
    • הציון האחרון לכל סוג הערכה.
    • בחלונית הערכת המקור מוצגת תנועת נתונים של ניצול לרעה שזוהתה ומספר כתובות ה-IP.
    • בחלוניות Proxy Assessment ו-Target Assessment מוצגת רמת הסיכון של ההערכות האלה.
  • לוחצים על הצגת פרטי ההערכה באחת מחלוניות הסיכום כדי לראות את הפרטים של סוג ההערכה:
  • היסטוריית ההערכות, שבה מוצג תרשים של סך הנקודות היומיות של הסביבה במהלך תקופה אחרונה, שאפשר לבחור אם היא תהיה 3 ימים או 7 ימים. כברירת מחדל, התרשים מציג 3 ימים. בגרף מוצג גם הציון הכולל הממוצע באותה תקופה.

שימו לב: הציון מחושב רק אם יש משהו להעריך בסוג ההערכה. לדוגמה, אם אין שרתי יעד, לא ידווח ניקוד עבור יעדים.

הערכת מקור

לוחצים על הכרטיסייה הערכת המקור כדי לראות את פרטי ההערכה של הסביבה.

חלונית להערכת מקור.

לוחצים על סמל ההרחבה משמאל לפרטי הבדיקה כדי לראות תרשים של הבדיקה של המקור במהלך תקופה מהזמן האחרון. אפשר לבחור תקופה של 3 ימים או 7 ימים.

בחלונית מקור מוצגת טבלה עם הפרטים הבאים:

  • קטגוריה: הקטגוריה של ההערכה.
  • רמת הסיכון: רמת הסיכון של הקטגוריה.
  • ציון אבטחה: ציון האבטחה של קטגוריית ההתנהלות הפוגעת.
  • המלצות: מספר ההמלצות לקטגוריה.
פרטי המקור

בחלונית פרטי המקור מוצגים פרטים על תנועת שימוש לרעה שזוהתה בסביבה, כולל:

  • פרטי התנועה:
    • תנועה שזוהתה: מספר הקריאות ל-API שמקורן בכתובת IP שזוהתה כמקור של התנהלות פוגעת.
    • נפח התנועה הכולל: המספר הכולל של הקריאות ל-API שבוצעו.
    • מספר כתובות ה-IP שזוהו: מספר כתובות ה-IP השונות שזוהו כמקורות של התנהלות פוגעת.
    • שעת ההתחלה של התצפית (UTC): שעת ההתחלה לפי שעון UTC של התקופה שבה התנועה נמדדה.
    • שעת הסיום של תקופת המעקב (UTC): שעת הסיום לפי שעון UTC של התקופה שבה בוצע מעקב אחר תנועת הגולשים.
  • תאריך ההערכה: התאריך והשעה שבהם בוצעה ההערכה.
  • ההמלצה לשיפור הציון. המלצות נוספות לטיפול בתנועה שקשורה להתנהלות פוגעת

כדי ליצור פעולת אבטחה לטיפול בבעיות שהועלו בהערכת המקור, לוחצים על הלחצן יצירת פעולת אבטחה.

הערכת שרת proxy

ההערכה של ה-proxy ל-API מחשבת ציונים לכל ה-proxies בסביבה. כדי לראות את הערכת ה-proxy, לוחצים על הכרטיסייה Proxy Assessment:

חלונית הערכת ה-Proxy.

בחלונית Proxy מוצגת טבלה עם הפרטים הבאים:

  • Proxy: שרת ה-proxy שנבדק.
  • רמת הסיכון: רמת הסיכון של ה-proxy.
  • ציון אבטחה: ציון האבטחה של ה-proxy.
  • נדרש טיפול: קטגוריות ההערכה שצריך לטפל בהן כדי לשפר את הציון של ה-Proxy.
  • המלצות: מספר ההמלצות לשרת ה-proxy.

לוחצים על השם של שרת proxy בטבלה כדי לפתוח את הכלי לעריכת שרת proxy, שבו אפשר לבצע שינויים מומלצים בשרת ה-proxy.

המלצות לשימוש ב-Proxy

אם לשרת פרוקסי יש ציון נמוך, אפשר לראות המלצות לשיפור שלו בחלונית Recommendations. כדי לראות את ההמלצות לגבי שרת proxy, לוחצים על העמודה Needs attention של שרת ה-proxy בחלונית Proxy.

בחלונית Recommendations מוצגים:

  • תאריך ההערכה: התאריך והשעה שבהם בוצעה ההערכה.
  • ההמלצה לשיפור הציון.

מבדק היעד

הערכת היעד מחשבת ציון של אבטחת שכבת התעבורה ההדדית (mTLS) לכל שרת יעד בסביבה. הציון של היעד מוקצה באופן הבא:

  • אין TLS: ‏ 200
  • קיימת TLS חד-כיוונית: 900
  • קיימת אימות דו-כיווני או mTLS: 1,200

כדי לראות את הערכת היעד, לוחצים על הכרטיסייה הערכת היעד:

חלונית הערכת היעד.

בחלונית יעד מוצגים הפרטים הבאים:

  • יעד: שם היעד.
  • רמת הסיכון: רמת הסיכון של היעד.
  • ציון אבטחה: ציון האבטחה של היעד.
  • נדרשת התייחסות: קטגוריות ההערכה שצריך לטפל בהן כדי לשפר את הציון של היעד.
  • המלצות: מספר ההמלצות ליעד.

לוחצים על שם היעד בטבלה כדי לפתוח את הכרטיסייה Target Servers (שרתי יעד) בדף Management > Environments (ניהול > סביבות) בממשק המשתמש של Apigee, שבה אפשר להחיל את הפעולות המומלצות על היעד.

המלצות לגבי טירגוט

אם הציון של שרת יעד נמוך, אפשר לראות המלצות לשיפור שלו בחלונית Recommendations. כדי לראות את ההמלצות לגבי יעד מסוים, לוחצים על העמודה Needs attention של היעד בחלונית Target.

בחלונית Recommendations מוצגים:

  • תאריך ההערכה: התאריך והשעה שבהם בוצעה ההערכה.
  • ההמלצה לשיפור הציון.

יצירה ועריכה של פרופילי אבטחה

כדי ליצור או לערוך פרופיל אבטחה של , בוחרים בכרטיסייה פרופילי אבטחה.

הכרטיסייה 'פרופילי אבטחה'.

בכרטיסייה Security Profiles (פרופילי אבטחה) מוצגת רשימה של פרופילי אבטחה, כולל הפרטים הבאים:

  • שם: השם של הפרופיל.
  • קטגוריות: קטגוריות האבטחה שכלולות בפרופיל.
  • תיאור: תיאור אופציונלי של הפרופיל.
  • סביבות: הסביבות שאליהן הפרופיל מצורף. אם העמודה הזו ריקה, הפרופיל לא מצורף לאף סביבה.
  • עדכון אחרון (UTC): התאריך והשעה האחרונים שבהם הפרופיל עודכן.
  • פעולות: תפריט עם הפריטים הבאים:

הצגת הפרטים של פרופיל אבטחה

כדי לראות את הפרטים של פרופיל אבטחה, לוחצים על השם שלו בשורה של הפרופיל. יוצגו הפרטים של הפרופיל כמו שמופיע בהמשך.

פרטים של פרופיל האבטחה.

בשורה הראשונה בכרטיסייה פרטים מוצג מזהה הגרסה: מספר הגרסה האחרונה של הפרופיל. כשעורכים פרופיל ומשנים את קטגוריות האבטחה שלו, מזהה הגרסה גדל ב-1. עם זאת, שינוי התיאור של הפרופיל לא יגרום לעלייה במזהה הגרסה.

השורות שמתחת מציגות את אותו מידע שמוצג בשורה של הפרופיל בכרטיסייה פרופילי אבטחה.

בתצוגת הפרטים של הפרופיל יש גם שני לחצנים עם הכיתוב עריכה ומחיקה, שבעזרתם אפשר לערוך או למחוק פרופיל אבטחה.

היסטוריה

כדי לראות את ההיסטוריה של הפרופיל, לוחצים על הכרטיסייה היסטוריה. תוצג רשימה של כל הגרסאות של הפרופיל. לכל גרסה, מוצגים ברשימה הפרטים הבאים:

  • מזהה הגרסה הקודמת: מספר הגרסה הקודמת.
  • Categories: קטגוריות האבטחה שנכללות בגרסה הזו של הפרופיל.
  • העדכון האחרון (UTC): התאריך והשעה ב-UTC שבהם נוצרה הגרסה.

יצירת פרופיל אבטחה בהתאמה אישית

כדי ליצור פרופיל אבטחה חדש בהתאמה אישית:

  1. לוחצים על יצירה בראש הדף.
  2. בתיבת הדו-שיח שנפתחת, מזינים את הפרטים הבאים:
    • שם: השם של הפרופיל. השם חייב לכלול בין 1 ל-63 אותיות קטנות, מספרים או מקפים, להתחיל באות ולהסתיים באות או במספר. השם צריך להיות שונה משם של פרופיל קיים.
    • (אופציונלי) תיאור: תיאור של הפרופיל.
    • בשדה Categories, בוחרים את קטגוריות ההערכה שרוצים לכלול בפרופיל.

עריכה של פרופיל אבטחה מותאם אישית

כדי לערוך פרופיל אבטחה בהתאמה אישית:

  1. בסוף השורה של פרופיל האבטחה, לוחצים על התפריט פעולות.
  2. לוחצים על עריכה.
  3. בדף עריכת פרופיל האבטחה, אפשר לשנות את:
    • תיאור: תיאור אופציונלי של פרופיל האבטחה.
    • קטגוריות: קטגוריות האבטחה שנבחרו לפרופיל. לוחצים על התפריט הנפתח ובוחרים או מבטלים את הבחירה בקטגוריות הרצויות בתפריט כדי לשנות את הקטגוריות שנבחרו.
  4. לוחצים על OK.

מחיקת פרופיל אבטחה מותאם אישית

כדי למחוק פרופיל אבטחה, לוחצים על פעולות בסוף השורה של הפרופיל ובוחרים באפשרות מחיקה. שימו לב: מחיקת פרופיל גם מנתקת אותו מכל הסביבות.

המלצות בנושא שימוש לרעה

אם הציון של המקור נמוך, Apigee ממליצה לבדוק את כתובות ה-IP שבהן זוהה שימוש לרעה. אם תסכימו שהתנועה מכתובות ה-IP האלה היא תנועה פוגעת, תוכלו להשתמש בדף פעולות אבטחה כדי לחסום בקשות מכתובות IP שהן מקורות לתנועה פוגעת.

כדי לקבל מידע נוסף על ההתנהלות הפוגעת, אפשר להיעזר באחד ממקורות המידע הבאים: