Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de Apigee Edge.
Descripción general
La evaluación de riesgos de la seguridad avanzada de la API evalúa de forma continua las configuraciones de proxy de la API y calcula las puntuaciones de seguridad para ayudar a identificar y abordar las vulnerabilidades en tus APIs.
La evaluación de riesgos te ayuda a hacer lo siguiente:
- Aplicar estándares de seguridad coherentes en todas las APIs.
- Detectar parámetros de configuración incorrectos en las configuraciones de la API.
- Mejorar tu puntuación general de seguridad con las acciones recomendadas.
- Investigar y resolver rápidamente los problemas de seguridad a través de un panel centralizado.
Además de evaluar el riesgo actual de cada proxy, la evaluación de riesgos se puede usar para evaluar la postura de seguridad de tus APIs con el tiempo. Una puntuación de evaluación que fluctúa podría indicar que el comportamiento de la API cambia con frecuencia, incluidos los proxies implementados sin las políticas de seguridad necesarias, las modificaciones de flujo compartido a través de implementaciones de hooks de flujo y las adiciones de políticas de FlowCallout, y los cambios en el servidor de destino en implementaciones de entorno o proxy.
Puedes acceder a la evaluación de riesgos a través de la IU de Apigee, como se describe en esta página, o a través de la API de perfiles y puntuaciones de seguridad.
Consulta Roles necesarios para la evaluación de riesgos para conocer los roles necesarios para realizar tareas de evaluación de riesgos.
Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.
Evaluación de riesgos v1 y v2
La evaluación de riesgos está disponible en dos versiones: Evaluación de riesgos v1, que tiene disponibilidad general, y Evaluación de riesgos v2, que está en versión preliminar. El uso de cualquiera de las versiones requiere el complemento de seguridad avanzada de la API.
Las principales diferencias de funciones entre la v1 y la v2 son las siguientes:
- La v2 incluye lo siguiente:
- Mayor confiabilidad, incluidos cálculos de puntuación más rápidos con datos de proxy recientes
- Cálculo de la puntuación sin necesidad de adjuntar un perfil de seguridad a un entorno
- Presentación simplificada de la puntuación, basada en una escala del 0% al 100%
- El concepto de ponderaciones de verificación de evaluación, que la v1 no admite. Consulta Conceptos y puntuación de la evaluación de riesgos.
- Evaluaciones adicionales sobre la v1, que verifican más políticas cuando se calculan las puntuaciones.
Por ejemplo, la v1 admite cinco políticas relacionadas con la autorización y la autenticación, mientras que la v2 admite ocho. Además, la v2 incluye una categoría de administración de tráfico con políticas asociadas y realiza verificaciones adicionales en las políticas, incluido el atributo
continueOnError
. - Verificaciones de flujos compartidos anidados y hooks de flujo a cinco niveles de anidamiento. La v1 no evalúa las políticas incluidas a través de la encadenación de flujos compartidos.
- Reemplazo de las puntuaciones objetivo (puntuaciones del servidor de destino) por evaluaciones y recomendaciones basadas en proxies Si se usa un objetivo en un proxy, las puntuaciones de seguridad de ese proxy también incluyen la puntuación del servidor de destino.
- Perfiles personalizados que usan las nuevas verificaciones de evaluación de la v2, así como el perfil del sistema
google-default
- La v2 no es compatible con lo siguiente:
- Evaluación de la fuente basada en el tráfico abusivo
- Por el momento, no se admiten las métricas ni la supervisión.
Evaluación de riesgos v2
En esta sección, se describe la evaluación de riesgos v2, la nueva versión de la evaluación de riesgos. Algunos conceptos y comportamientos de la evaluación de riesgos difieren entre la v1 y la v2. Para usar la evaluación de riesgos v1, consulta Evaluación de riesgos v1.
Conceptos y metodología de puntuación de la evaluación de riesgos v2
Las puntuaciones de seguridad de la evaluación de riesgos evalúan el riesgo de seguridad de tus APIs en función de las puntuaciones de las ponderaciones y evaluaciones de seguridad en un perfil de seguridad.
La puntuación de la evaluación de riesgos se basa en lo siguiente:
- Evaluaciones y verificaciones de evaluación: Son las verificaciones individuales que se realizan en los proxies y en las que se les asigna una puntuación. Cada verificación también tiene una ponderación, que le otorga más o menos importancia cuando se evalúa en función de un proxy. Los pesos se establecen como menores, moderados o
graves para cada verificación. Cada ponderación tiene un valor de punto que se usa para calcular una puntuación:
- Menor: 1
- Moderada: 5
- Grave: 15
- Perfil de seguridad: Es un conjunto de verificaciones de evaluación con las que se evalúan los proxies implementados en un entorno.
- Puntuación de seguridad: Es la puntuación de un proxy después de la evaluación en función de un perfil de seguridad.
La puntuación es un valor entre 0% y 100%. El 100% indica que el proxy cumple por completo con la evaluación y que no se encontraron riesgos en función de las verificaciones de la evaluación.
La puntuación de seguridad es, en esencia, el total de todos los puntos otorgados por las verificaciones de evaluación aprobadas dividido por el total de puntos potenciales del perfil. La puntuación es un promedio ponderado, por lo que cuanto más políticas tenga el perfil de seguridad, menor será el impacto de cada verificación de evaluación en la puntuación de seguridad.
El peso de la verificación de evaluación también afecta la puntuación de seguridad. Los pesos más altos tienen más impacto en el cálculo y los pesos más bajos tienen menos impacto, según el valor de punto de cada peso. Si los pesos son iguales para todas las verificaciones de evaluación del perfil de seguridad (como cuando todas las verificaciones de evaluación tienen un peso medio), la puntuación de seguridad se calcula como un promedio normal. - Gravedad: Es un valor de gravedad para cada proxy evaluado, según la puntuación de seguridad. Los valores de gravedad potenciales son alto (0-50%), medio (51-90%), bajo (91-99%) y mínimo (100%/no se encontró riesgo según las evaluaciones del perfil de seguridad asignado).
Categorías y verificaciones de evaluación
En esta tabla, se muestran las categorías de evaluación y las verificaciones individuales que pueden ser parte de los perfiles de seguridad. También se muestran recomendaciones para abordar las evaluaciones fallidas de cada una.
Categoría de evaluación | Descripción | |||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Auth | En este caso, "Auth" significa autorización y autenticación. Las evaluaciones de autenticación verifican si tienes implementadas políticas de autorización y autenticación, y si el atributo continueOnError de las políticas de autenticación está configurado como false .
|
|||||||||||||||||||||||||||||||||
CORS | Verifica si hay una política de CORS o un encabezado de CORS en la política de AssignMessage.
|
|||||||||||||||||||||||||||||||||
Mediación | Verifica si una política de mediación está habilitada.
|
|||||||||||||||||||||||||||||||||
Objetivo | Verifica si se usan protecciones del servidor de destino. Para obtener información sobre la configuración del servidor de destino, consulta Balanceo de cargas entre servidores de backend.
|
|||||||||||||||||||||||||||||||||
Amenaza | Verifica si se usan políticas de prevención de amenazas.
|
|||||||||||||||||||||||||||||||||
Tráfico | Verifica si tienes implementadas políticas de administración de tráfico.
|
Conexión de políticas y puntuaciones de seguridad del proxy
Para las evaluaciones de proxy, las puntuaciones de seguridad se basan en las políticas que usas. La forma en que se evalúan esas políticas depende de si se adjuntan a los flujos y de qué forma se adjuntan:
- Solo las políticas adjuntas a un flujo (flujo previo, flujo condicional, flujo posterior en proxies o flujo compartido) afectan las puntuaciones. Las políticas que no están adjuntas a ningún flujo no afectan las puntuaciones.
- Las puntuaciones de proxy tienen en cuenta los flujos compartidos de un proxy a través de llamadas de flujo y políticas de FlowCallout en el proxy, siempre que la política de FlowCallout esté adjunta a un flujo. Sin embargo, si FlowCallout no está adjunto a un flujo, las políticas de su flujo compartido vinculado no afectan las puntuaciones de seguridad.
- Los flujos compartidos encadenados se evalúan hasta en cinco niveles de profundidad. Todas las políticas incluidas directamente en el proxy y en los primeros cinco niveles de flujos compartidos se tienen en cuenta para la puntuación de seguridad.
- En el caso de las políticas adjuntas a flujos condicionales, las puntuaciones de seguridad solo tienen en cuenta si las políticas están presentes, no si las políticas se aplican en el entorno de ejecución o de qué manera.
Perfiles de seguridad v2
Un perfil de seguridad es un conjunto de ponderaciones y evaluaciones de seguridad en función de las cuales se asignan puntuaciones a los proxies de API. Puedes usar el perfil de seguridad predeterminado de Apigee, llamado google-default
, o crear un perfil de seguridad personalizado que contenga solo las categorías de seguridad y los pesos que deseas evaluar.
Cuando trabajes con perfiles de seguridad o crees perfiles de seguridad personalizados, ten en cuenta que las verificaciones de evaluación múltiples dentro de una categoría se evalúan de forma individual.
Por ejemplo, si hay tres verificaciones de políticas de autenticación en un perfil de seguridad y el proxy evaluado incluye una de las tres, la puntuación de la evaluación incluirá puntos completos para la política encontrada y cero puntos para las otras dos políticas que no están presentes. En este ejemplo, el proxy evaluado no recibiría puntos completos por las verificaciones de la política de autenticación, aunque incluya una política de autenticación. Ten cuidado con la interpretación de la puntuación de seguridad y el diseño del perfil de seguridad debido a este comportamiento.
Perfil de seguridad predeterminado
La seguridad avanzada de la API proporciona un perfil de seguridad predeterminado que contiene todas las evaluaciones. Cuando usas el perfil predeterminado, las puntuaciones de seguridad se basan en todas las categorías.
No se puede editar ni borrar el perfil de seguridad predeterminado, google-default
.
Perfil de seguridad personalizado
Puedes crear perfiles de seguridad personalizados que incluyan solo las verificaciones y ponderaciones de evaluación que elegiste para evaluar en comparación con los proxies. Para obtener instrucciones sobre cómo crear y usar perfiles de seguridad personalizados desde la IU de Apigee, consulta Administra perfiles personalizados en la IU de Apigee.
Para perfiles de seguridad personalizados:
- El nombre del perfil (también llamado ID de perfil) es obligatorio y se muestra en la tabla de resumen cuando se enumeran los perfiles. El nombre debe tener entre 1 y 63 caracteres, que pueden ser letras minúsculas, números del 0 al 9 o guiones. El primer carácter debe ser una letra minúscula. El último carácter debe ser una letra minúscula o un número. Los perfiles de seguridad personalizados deben tener nombres únicos y no pueden duplicar los nombres de los perfiles existentes.
- La descripción del perfil es opcional y no puede superar los 1,000 caracteres.
Limitaciones y problemas conocidos de la v2 de las puntuaciones de seguridad
Las puntuaciones de seguridad tienen las siguientes limitaciones y problemas conocidos:
- Las puntuaciones de seguridad solo se generan si un entorno tiene proxies implementados.
- Los proxies implementados recientemente, así como las organizaciones y los entornos habilitados recientemente, no muestran las puntuaciones de inmediato.
- En el caso de los perfiles personalizados, puedes crear un máximo de 100 por organización.
- Por el momento, no se admiten notificaciones de cálculos y calificaciones de evaluaciones nuevas.
Demoras en el procesamiento de datos
Los datos en los que se basan las puntuaciones de seguridad de la API avanzada tienen las siguientes ventanas de procesamiento antes de que los resultados estén disponibles:
- Cuando habilitas la seguridad avanzada de la API en una organización por primera vez, lleva tiempo que las puntuaciones de los proxies y objetivos existentes se reflejen en un entorno. Como guía, espera entre 30 y 90 minutos para las organizaciones con suscripción y menos tiempo para las de pago por uso.
- Los eventos nuevos relacionados con los proxies (implementación y anulación de la implementación) y los objetivos (crear, actualizar y borrar) en un entorno tardan al menos 60 segundos y hasta 5 minutos (para entornos muy grandes) en reflejarse en la puntuación del entorno.
Consulta las evaluaciones de riesgos en la IU de Apigee
En la página Evaluación de riesgos, se muestran las puntuaciones que miden la seguridad de tu API en cada entorno.
Para abrir la página Evaluación de riesgos, haz lo siguiente:
- Abre la IU de Apigee en la consola de Cloud.
- Selecciona Seguridad avanzada de la API > Evaluación de riesgos.
Esto muestra la página Evaluación de riesgos:
La página tiene las siguientes secciones:
- Entorno: Selecciona el entorno en el que deseas ver las evaluaciones.
- Perfil de seguridad: Selecciona el perfil predeterminado (
google-default
) o un perfil personalizado, si está disponible. Consulta Perfiles de seguridad para obtener información sobre los perfiles de seguridad. - Proxys implementados por gravedad: Una vez que se configura el entorno, la página muestra un resumen de las gravedades de los proxies en ese entorno. Consulta Conceptos y puntuación de la evaluación de riesgos.
- Detalles de la evaluación: Muestra el perfil de seguridad, la fecha y hora de la evaluación, el total de configuraciones evaluadas y el total de proxies implementados para el entorno seleccionado. El recuento total de configuraciones evaluadas refleja la cantidad total de "verificaciones" realizadas. Este recuento podría ser mayor que la cantidad de evaluaciones en un perfil. Algunas evaluaciones, como verificar que el atributo "continueOnError" esté configurado en
false
, también verifican si las políticas relacionadas están implementadas y habilitadas. - Proxies implementados: Es un resumen de los proxies implementados en el entorno y sus puntuaciones de evaluación de riesgos:
- Proxy: Es el nombre del proxy.
- Gravedad: Es la gravedad de la evaluación de riesgos del proxy. Consulta Gravedad y puntuaciones de seguridad para obtener información.
- Puntuación: Es la puntuación de evaluación de riesgos del proxy. Consulta Conceptos y puntuación de la evaluación de riesgos para obtener información.
- Revisión: Es la revisión del proxy en la que se evaluó la puntuación.
- Evaluaciones no aprobadas por ponderación: Es la cantidad de evaluaciones que no se aprobaron agrupadas por su ponderación.
- Recomendaciones: Son recomendaciones específicas para mejorar la puntuación en el proxy. Haz clic en el número para ver las recomendaciones.
Administra perfiles personalizados en la IU de Apigee
En esta sección, se muestra cómo ver, crear, editar y borrar perfiles personalizados con la IU de Apigee. Ten en cuenta las limitaciones de los perfiles personalizados que se indican en Limitaciones de las puntuaciones de seguridad.
Comienza por ver las evaluaciones de riesgos en la IU de Apigee.
Crea y edita perfiles personalizados
En la pantalla de evaluación de riesgos, selecciona la pestaña Perfiles de seguridad. Para editar un perfil existente, haz clic en su nombre para ver los detalles y, luego, en Editar. También puedes seleccionar Editar en el menú Acciones de la fila de ese perfil.
Para crear un perfil personalizado nuevo, haz clic en + Crear en la lista de perfiles de seguridad.
Cuando creas o editas un perfil personalizado, puedes establecer los siguientes valores:
- Nombre del perfil: El nombre del perfil de seguridad. Asegúrate de que sea único para el proyecto.
- Descripción: (opcional) Es una descripción del perfil de seguridad.
- Verificaciones de evaluación y ponderaciones de evaluación: Una o más verificaciones de evaluación para comparar con proxies y una ponderación para cada una. Consulta Conceptos y puntuación de la evaluación de riesgos para obtener una lista de las verificaciones de evaluación disponibles. Para agregar verificaciones y ponderaciones de evaluación adicionales al perfil, haz clic en + Agregar. Para borrar un par de verificación/peso, haz clic en el ícono de papelera en la fila de ese par.
Perfiles duplicados
Para duplicar un perfil existente (para crear un perfil personalizado nuevo), selecciona Duplicar en el menú Acciones de la fila de ese perfil o haz clic en el nombre del perfil de la lista de perfiles para ver los metadatos del perfil y, luego, haz clic en Duplicar.
El nombre del nuevo perfil personalizado no puede coincidir con el perfil duplicado. Consulta Perfil de seguridad personalizado para conocer los requisitos de nombres de los perfiles de seguridad.
Borra perfiles personalizados
Para borrar un perfil personalizado existente, selecciona Borrar en el menú Acciones de la fila de ese perfil o haz clic en el nombre del perfil de la lista de perfiles para ver los metadatos del perfil y, luego, haz clic en Borrar.
Ten en cuenta que no puedes borrar el perfil de sistema predeterminado (google-default
).
La eliminación de un perfil personalizado se aplica de inmediato y quita la capacidad de evaluar proxies en función de ese perfil o ver evaluaciones anteriores en función de ese perfil personalizado.
Evaluación de riesgos v1
En esta sección, se describe la Evaluación de riesgos v1. Para obtener información sobre la Evaluación de riesgos v2, consulta Evaluación de riesgos v2.
Puntuaciones de seguridad
Las puntuaciones de seguridad evalúan la seguridad de tus APIs y su postura de seguridad con el tiempo. Por ejemplo, una puntuación que fluctúa mucho podría indicar que el comportamiento de la API cambia con frecuencia, lo que podría no ser conveniente. Entre los cambios en un entorno que podrían causar una disminución de la puntuación, se incluyen los siguientes:
- La implementación de muchos proxies de API sin las políticas de seguridad necesarias.
- Un aumento en el tráfico de abusos de fuentes maliciosas.
Observar los cambios en las puntuaciones de seguridad a lo largo del tiempo proporciona un buen indicador de cualquier actividad no deseada o sospechosa en el entorno.
Las puntuaciones de seguridad se calculan según tu perfil de seguridad, que especifica las categorías de seguridad que deseas que se evalúen tus puntuaciones. Puedes usar el perfil de seguridad predeterminado de Apigee o crear un perfil de seguridad personalizado que incluya solo las categorías de seguridad que sean más importantes para ti.
Tipos de evaluación de puntuaciones de seguridad
Hay tres tipos de evaluación que contribuyen a la puntuación de seguridad general que calcula la seguridad avanzada de la API:
Evaluación de fuente: evalúa el tráfico de abuso detectado con las reglas de detección de Advanced API Security. “Abuso” hace referencia a las solicitudes enviadas a la API con fines diferentes a los que está destinada la API.
- Evaluación del proxy: evalúa lo bien que los proxies implementaron
varias políticas de protección en las siguientes áreas:
- Mediación: verifica si una de las siguientes políticas de mediación está configurada para todos los proxies en el entorno: OASValidation o SOAPMessageValidation.
- Seguridad:
- Autorización: comprueba si una de las siguientes políticas de autorización está configurada para todos los proxies del entorno:
- CORS: Comprueba si CORS está configurado.
- Amenaza: comprueba si una de las siguientes políticas está configurada para todos los proxies en el entorno: XMLThreatProtection o JSONThreatProtection.
Consulta Cómo afectan las políticas a las puntuaciones de seguridad del proxy para obtener más información.
- Evaluación de destino: comprueba si la seguridad de la capa de transporte mutua (mTLS) está configurada con los servidores de destino en el entorno.
A cada uno de estos tipos de evaluación se le asigna una puntuación propia. La puntuación general es el promedio de las puntuaciones de los tipos de evaluación individuales.
Cómo afectan las políticas a las puntuaciones de seguridad del proxy
Para las evaluaciones de proxy, las puntuaciones de seguridad se basan en las políticas que usas. La forma en que se evalúan esas políticas depende de si se adjuntan a los flujos y de qué forma se adjuntan:
- Solo las políticas adjuntas a un flujo (flujo previo, flujo condicional, flujo posterior en proxies o flujo compartido) afectan las puntuaciones. Las políticas que no están adjuntas a ningún flujo no afectan las puntuaciones.
- Las puntuaciones de proxy tienen en cuenta los flujos compartidos de un proxy a través de llamadas de flujo y políticas de FlowCallout en el proxy, siempre que la política de FlowCallout esté adjunta a un flujo. Sin embargo, si FlowCallout no está adjunto a un flujo, las políticas de su flujo compartido vinculado no afectan las puntuaciones de seguridad.
- No se admite la encadenación de flujos compartidos. Las políticas incluidas a través de la encadenación de flujos compartidos no se evalúan cuando se calculan las puntuaciones de seguridad.
- En el caso de las políticas adjuntas a flujos condicionales, las puntuaciones de seguridad solo tienen en cuenta si las políticas están presentes, no si las políticas se aplican en el entorno de ejecución o de qué manera.
Perfiles de seguridad
Un perfil de seguridad es un conjunto de categorías de seguridad en las que deseas que se asignen puntuaciones a las APIs. Un perfil puede contener cualquier subconjunto de las categorías de seguridad. Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad a un entorno. Puedes usar el perfil de seguridad predeterminado de Apigee o crear un perfil de seguridad personalizado que contenga solo las categorías de seguridad que son importantes para ti.
Perfil de seguridad predeterminado
Advanced API Security proporciona un perfil de seguridad predeterminado que contiene todas las categorías de seguridad. Si usas el perfil predeterminado, las puntuaciones de seguridad se basarán en todas las categorías.
Perfil de seguridad personalizado
Los perfiles de seguridad personalizados te permiten basar tus puntuaciones de seguridad solo en las categorías de seguridad que deseas incluir en la puntuación. Consulta Crea y edita perfiles de seguridad para obtener información sobre cómo crear un perfil personalizado.
Categorías de seguridad
Las puntuaciones de seguridad se basan en una evaluación de las categorías de seguridad que se describen a continuación.
Categoría | Descripción | Recomendación |
---|---|---|
Abuso | Comprueba si existe abuso, lo que incluye cualquier solicitud enviada a la API con fines diferentes de aquellos para los que está destinada, como grandes volúmenes de solicitudes, scraping de datos y abuso relacionado con la autorización. | Consulta Recomendaciones sobre el abuso |
Autorización | Comprueba si tienes implementada una política de autorización. | Agrega una de las siguientes políticas a tus proxies: |
CORS | Verifica si tienes una política de CORS implementada. | Agrega una política CORS a tu proxy. |
MTLS | Comprueba si configuraste mTLS (seguridad mutua de la capa de transporte) para el servidor de destino. | Consulta Configuración de mTLS del servidor de destino. |
Mediación | Verifica si tienes una política de mediación implementada. | Agrega una de las siguientes políticas a tus proxies: |
Amenaza | Verifica si tienes implementada una política de protección contra las amenazas. | Agrega una de las siguientes políticas a tus proxies: |
Limitaciones de las puntuaciones de seguridad v1
Las puntuaciones de seguridad tienen las siguientes limitaciones:
- Puedes crear hasta 100 perfiles personalizados por organización.
- Las puntuaciones de seguridad solo se generan si un entorno tiene proxies, servidores de destino y tráfico.
- Los proxies implementados recientemente no muestran las puntuaciones de inmediato.
Demoras en el procesamiento de datos
Los datos en los que se basan las puntuaciones de seguridad de la API avanzada tienen las siguientes demoras, debido a la forma en que se procesan los datos:
- Cuando habilitas la seguridad avanzada de la API en una organización, puede tomar hasta 6 horas para que las puntuaciones de los proxies y objetivos existentes se reflejen en un entorno.
- Los eventos nuevos relacionados con los proxies (implementación y anulación de la implementación) y los objetivos (crear, actualizar y borrar) en un entorno pueden tardar hasta 6 días en reflejarse en la puntuación del entorno.
- Los datos que fluyen a la canalización de Analytics de Apigee tienen un retraso promedio de hasta 15 a 20 minutos. Como resultado, los datos de abuso de puntuaciones de la fuente tienen un retraso de procesamiento de entre 15 y 20 minutos.
Abre la página Evaluación de riesgos
En la página Evaluación de riesgos, se muestran las puntuaciones que miden la seguridad de tu API en cada entorno.
La página Evaluación de riesgos puede tardar unos minutos en cargarse. La página tardará más en cargarse en entornos con un gran volumen de tráfico y con una gran cantidad de proxies y destinos.
Apigee en la consola de Cloud
Para abrir la página Evaluación de riesgos, haz lo siguiente:
- Abre la IU de Apigee en la consola de Cloud.
- Selecciona Seguridad avanzada de la API > Evaluación de riesgos.
Esto muestra la página Evaluación de riesgos:
La página tiene dos pestañas, que se describen en las secciones siguientes:
- Puntuaciones de seguridad: Visualiza las puntuaciones de seguridad.
- Perfiles de seguridad: Visualiza, crea y edita perfiles de seguridad.
Visualiza las puntuaciones de seguridad
Para ver las puntuaciones de seguridad, haz clic en la pestaña Puntuaciones de seguridad.
Ten en cuenta que no se calculan puntuaciones en un entorno hasta que adjuntas un perfil de seguridad, como se describe en Adjunta un perfil de seguridad a un entorno. Apigee proporciona una política de seguridad predeterminada o puedes crear un perfil personalizado, como se describe en Crea y edita perfiles de seguridad.
En la tabla Puntuaciones de seguridad, se muestran las siguientes columnas:
- Entorno: El entorno en el que se calculan las puntuaciones.
- Nivel de riesgo: El nivel de riesgo del entorno, que puede ser bajo, moderado o grave.
- Puntuación de seguridad: La puntuación total del entorno, de un total de 1,200.
- Recomendaciones totales: La cantidad de recomendaciones proporcionadas.
- Perfil: El nombre del perfil de seguridad adjunto.
- Última actualización: La fecha más reciente en la que se actualizaron las puntuaciones de seguridad.
- Acciones: Haz clic en el menú de tres puntos en la fila del entorno para realizar las siguientes acciones:
- Adjuntar perfil: adjunta un perfil de seguridad al entorno.
- Desconectar perfil: desvincula un perfil de seguridad del entorno.
Adjunta un perfil de seguridad a un entorno
Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad al entorno de la siguiente manera:
- En Acciones, haz clic en el menú de tres puntos en la fila del entorno.
- Haz clic en Adjuntar perfil.
- En el cuadro de diálogo Adjuntar perfil, sigue estos pasos:
- Haz clic en el campo Perfil y selecciona el perfil que deseas adjuntar. Si no creaste un perfil de seguridad personalizado, el único perfil disponible es predeterminado.
- Haz clic en Assign.
Cuando adjuntas un perfil de seguridad a un entorno, la seguridad avanzada de la API comienza a evaluarlo y puntuarlo de inmediato. Ten en cuenta que la puntuación puede tardar unos minutos en aparecer.
La puntuación general se calcula a partir de las puntuaciones individuales en los tres tipos de evaluación:
- Evaluación de origen
- Evaluación de proxy
- Evaluación de destino
Ten en cuenta que todas las puntuaciones están en el rango 200 - 1200. Las puntuaciones de evaluación más altas indican un riesgo de seguridad más bajo.
Visualiza las puntuaciones
Una vez que hayas vinculado un perfil de seguridad a un entorno, podrás ver las puntuaciones y recomendaciones en el entorno. Para hacerlo, haz clic en la fila del entorno en la página principal de Puntuaciones de seguridad. Esto muestra las puntuaciones del entorno, como se muestra a continuación:
La vista muestra cuatro pestañas:
Descripción general
La pestaña Descripción general muestra lo siguiente:
- Aspectos destacados de cada evaluación:
- Proxy: Muestra la recomendación principal para los proxies en el entorno. Haz clic en Editar proxy para abrir el Editor de proxy de Apigee, en el que podrás implementar la recomendación.
- Destino: Muestra la recomendación principal para los destinos en el entorno. Haz clic en Ver servidores de destino para abrir la pestaña Servidores de destino en la página Administración > Entornos en la IU de Apigee.
- Fuente: muestra el tráfico de abuso detectado. Haz clic en Tráfico detectado para ver la pestaña Tráfico detectado en la página de detección de abuso.
- Resúmenes para la evaluación de la fuente, la evaluación del proxy y la evaluación de destino, incluidos los siguientes:
- La puntuación más reciente para cada tipo de evaluación.
- En el panel Evaluación de fuente (Source Assessment), se muestra el tráfico de abuso detectado y el recuento de direcciones IP.
- Los paneles Evaluación de proxy y Evaluación de destino muestran el nivel de riesgo para esas evaluaciones.
- Haz clic en Ver detalles de la evaluación en cualquiera de los paneles de resumen para ver los detalles de ese tipo de evaluación:
- Historial de evaluación, que muestra un grafo de las puntuaciones totales diarias del entorno durante un período reciente, que puedes elegir ser de 3 días o 7 días. De forma predeterminada, el gráfico muestra 3 días. El gráfico también muestra la puntuación total promedio durante el mismo período.
Ten en cuenta que una puntuación solo se calcula para el tipo de evaluación si hay algo que evaluar. Por ejemplo, si no hay servidores de destino, no se informará ninguna puntuación para Destinos.
Evaluación de origen
Haz clic en la pestaña Evaluación de fuente para ver los detalles de la evaluación del entorno.
Haz clic en el ícono de expandir a la derecha de Detalles de la evaluación para ver un grafo de la evaluación de fuente durante un período reciente, que puedes elegir ser de 3 días o 7 días.
En el panel Fuente, se muestra una tabla con la siguiente información:
- Categoría: La categoría para la evaluación.
- Nivel de riesgo: El nivel de riesgo de la categoría.
- Puntuación de seguridad: La puntuación de seguridad de la categoría de abuso.
- Recomendaciones: La cantidad de recomendaciones para la categoría.
Detalles de la fuente
En el panel Detalles de la fuente, se muestran los detalles del tráfico de abuso detectado en el entorno, incluidos los siguientes:
- Detalles del tráfico:
- Tráfico detectado: La cantidad de llamadas a la API que se originan en una dirección IP que se detectó como fuente de abuso.
- Tráfico total: La cantidad total de llamadas a la API realizadas.
- Recuento de direcciones IP detectadas: La cantidad de direcciones IP distintas que se detectaron como fuentes de abuso.
- Hora de inicio de la observación (UTC): Es la hora de inicio en UTC del período durante el que se supervisa el tráfico.
- Hora de finalización de la observación (UTC): Es la hora de finalización en UTC del período durante el que se supervisa el tráfico.
- Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
- La recomendación para mejorar la puntuación. Consulta Recomendaciones sobre el abuso para obtener más recomendaciones sobre cómo manejar el tráfico de abuso.
Para crear unacción de seguridad para abordar los problemas que plantea la evaluación de fuente, haz clic en el botón Create Security Action.
Evaluación de proxy
La evaluación del proxy de API calcula las puntuaciones de todos los proxies del entorno. Para ver la evaluación del proxy, haz clic en la pestaña Evaluación de proxy:
En el panel Proxy, se muestra una tabla con la siguiente información:
- Proxy: El proxy que se evalúa.
- Nivel de riesgo: El nivel de riesgo del proxy.
- Puntuación de seguridad: La puntuación de seguridad para el proxy.
- Requiere atención: Las categorías de evaluación que se deben abordar para mejorar la puntuación del proxy.
- Recomendaciones: La cantidad de recomendaciones para el proxy.
Haz clic en el nombre de un proxy en la tabla para abrir el Editor de proxy, en el que puedes realizar cambios recomendados en el proxy.
Recomendaciones de proxy
Si un proxy tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo en el panel Recomendaciones. Para ver las recomendaciones de un proxy, haz clic en la columna Requiere atención del proxy en el panel Proxy.
En el panel Recomendaciones, se muestra lo siguiente:
- Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
- La recomendación para mejorar la puntuación.
Evaluación de destino
La evaluación de destino calcula una puntuación de seguridad mutua de la capa de transporte (mTLS) para cada servidor de destino del entorno. Las puntuaciones objetivo se asignan de la siguiente manera:
- No hay TLS presente: 200
- TLS unidireccional presente: 900
- mTLS o bidireccional presente: 1200
Para ver la evaluación objetivo, haz clic en la pestaña Evaluación de destino:
En el panel Destino, se muestra la siguiente información:
- Destino: El nombre del destino.
- Nivel de riesgo: El nivel de riesgo del objetivo.
- Puntuación de seguridad: La puntuación de seguridad del destino.
- Requiere atención: Las categorías de evaluación que se deben abordar para mejorar la puntuación del destino.
- Recomendaciones: La cantidad de recomendaciones para el destino.
Haz clic en el nombre de un destino en la tabla para abrir el Servidores de destino entradaAdministración > Entornos en la IU de Apigee, en la que puedes aplicar las acciones recomendadas al destino.
Recomendaciones de destino
Si un servidor de destino tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo en el panel Recomendaciones. Para ver las recomendaciones de un destino, haz clic en la columna Requiere atención del destino en el panel Destino.
En el panel Recomendaciones, se muestra lo siguiente:
- Fecha de evaluación: La fecha y hora en que se realizó la evaluación.
- La recomendación para mejorar la puntuación.
Crea y edita perfiles de seguridad
Para crear o editar un perfil de seguridad , selecciona la pestaña Perfiles de seguridad.
La pestaña Perfiles de seguridad muestra una lista de perfiles de seguridad, incluida la siguiente información:
- Nombre: El nombre del perfil.
- Categorías: Las categorías de seguridad incluidas en el perfil.
- Descripción: La descripción opcional del perfil.
- Entornos: Los entornos a los que se adjunta el perfil. Si esta columna está en blanco, el perfil no se adjunta a ningún entorno.
- Última actualización (UTC): La última fecha y hora en que se actualizó la acción.
- Acciones: Un menú con los siguientes elementos:
Consulta los detalles de un perfil de seguridad
Para ver los detalles de un perfil de seguridad, haz clic en su nombre en la fila del perfil. Esto muestra los detalles del perfil, como se muestra a continuación.
La primera fila de la pestaña Detalles muestra el ID de revisión: el número de revisión más reciente del perfil. Cuando editas un perfil y cambias sus categorías de seguridad, el ID de revisión aumenta en 1. Sin embargo, cambiar la descripción del perfil no aumenta el ID de revisión.
En las filas que se encuentran a continuación, se muestra la misma información que aparece en la fila del perfil en la pestaña Perfiles de seguridad.
La vista de detalles del perfil también tiene dos botones etiquetados Editar y Borrar, que puedes usar para editar o borrar un perfil de seguridad.
Historial
Para ver el historial del perfil, haz clic en la pestaña Historial. Esto muestra una lista de todas las revisiones del perfil. Para cada revisión, la lista muestra lo siguiente:
- ID de revisión: El número de revisión.
- Categorías: Las categorías de seguridad incluidas en esa revisión del perfil.
- Última actualización (UTC): Última fecha y hora en UTC cuando se creó la revisión.
Crea un perfil de seguridad personalizado
Sigue estos pasos para crear un perfil de seguridad personalizado nuevo:
- Haz clic en Crear en la parte superior de la página.
- En el diálogo que se abre, ingresa lo siguiente:
- Nombre: El nombre del perfil. El nombre debe tener entre 1 y 63 letras en minúscula, números o guiones, y debe comenzar con una letra y terminar con una letra o un número. El nombre debe ser diferente del nombre de cualquier perfil existente.
- (Opcional) Descripción: Una descripción del perfil.
- En el campo Categorías, selecciona las categorías de evaluación que deseas incluir en el perfil.
Edita un perfil de seguridad personalizado
Sigue estos pasos para editar un perfil de seguridad personalizado:
- Al final de la fila del perfil de seguridad, haz clic en el menú Acciones.
- Selecciona Editar.
- En la página Editar perfil de seguridad, puedes cambiar lo siguiente:
- Descripción: La descripción opcional del perfil de seguridad.
- Categorías: Las categorías de seguridad seleccionadas para el perfil. Haz clic en el menú desplegable y cambia las categorías seleccionadas a través de la selección o anulación de la selección en el menú.
- Haz clic en Aceptar.
Borra un perfil de seguridad personalizado
Para borrar un perfil de seguridad, haz clic en Acciones al final de la fila del perfil y selecciona Borrar. Ten en cuenta que si borras un perfil, también se separa de todos los entornos.
IU clásica de Apigee
Para abrir la vista Puntuaciones de seguridad, haz lo siguiente:
- Abre la IU de Apigee clásica.
- Selecciona Analizar > Seguridad de API > Puntuaciones de seguridad.
Esto muestra la vista Puntuaciones de seguridad:
Ten en cuenta que no se calculan puntuaciones en un entorno hasta que adjuntas un perfil de seguridad al entorno. Apigee proporciona una política de seguridad predeterminada o puedes crear un perfil personalizado con la API de Apigee. Consulta Usa un perfil de seguridad personalizado para obtener más detalles.
En la imagen anterior, no se vinculó ningún perfil de seguridad al entorno integration
, por lo que la columna Nombre del perfil muestra No establecido para eso. entorno.
En la tabla Puntuaciones de seguridad, se muestran las siguientes columnas:
- Entorno: El entorno en el que se calculan las puntuaciones.
- Última puntuación: La última puntuación total para el entorno, de un total de 1,200.
- Nivel de riesgo: El nivel de riesgo, que puede ser bajo, moderado o grave.
- Recomendaciones totales: La cantidad de recomendaciones proporcionadas. Cada recomendación corresponde a una fila en la tabla Requiere atención.
- Nombre del perfil: El nombre del perfil de seguridad.
- Fecha de evaluación: La fecha más reciente en la que se calcularon las puntuaciones de seguridad.
Adjunta un perfil de seguridad a un entorno
Para ver las puntuaciones de seguridad de un entorno, primero debes adjuntar un perfil de seguridad al entorno de la siguiente manera:
- En Acciones, haz clic en el menú de tres puntos en la fila del entorno.
- Haz clic en Adjuntar perfil.
- En el cuadro de diálogo Adjuntar perfil, sigue estos pasos:
- Haz clic en el campo Perfil y selecciona el perfil que deseas adjuntar. Si no creaste un perfil de seguridad personalizado, el único perfil disponible es predeterminado.
- Haz clic en Assign.
Cuando adjuntas un perfil de seguridad a un entorno, la seguridad avanzada de la API comienza a evaluarlo y puntuarlo de inmediato. Ten en cuenta que la puntuación puede tardar unos minutos en aparecer.
En la siguiente imagen, se muestra la vista Puntuaciones de seguridad (Securirty Scores) con un entorno que tiene el perfil de seguridad predeterminado adjunto:
La fila del entorno ahora muestra la puntuación de seguridad más reciente, el nivel de riesgo, la cantidad de recomendaciones para las acciones de seguridad que se realizarán y la Fecha de evaluación de la puntuación.
La puntuación general se calcula a partir de las puntuaciones individuales en los tres tipos de evaluación:
- Evaluación de origen
- Evaluación de proxy
- Evaluación de destino
Ten en cuenta que todas las puntuaciones están en el rango 200 - 1200. Cuánto más alta sea la puntuación, mejor será la evaluación de seguridad.
Visualiza las puntuaciones
Una vez que hayas vinculado un perfil de seguridad a un entorno, podrás ver las puntuaciones y recomendaciones en el entorno. Para hacerlo, haz clic en la fila del entorno en la vista principal de Puntuaciones de seguridad. Esto muestra las puntuaciones del entorno, como se muestra a continuación:
La vista muestra lo siguiente:
- Las puntuaciones más recientes de Fuentes, Proxies y Destinos. Haz clic en Ver detalles de la evaluación en cualquiera de estos paneles para ver la evaluación de ese tipo.
- Historial de puntuación del entorno, que muestra un grafo de las puntuaciones totales diarias del entorno durante los últimos 5 días, así como la puntuación total promedio durante el mismo período.
- La tabla Atención necesaria, que enumera los tipos de evaluación de tus API en los que puedes mejorar la seguridad.
Ten en cuenta que una puntuación solo se calcula para el tipo de evaluación si hay algo que evaluar. Por ejemplo, si no hay servidores de destino, no se informará ninguna puntuación para Destinos.
En las siguientes secciones, se describe cómo ver las evaluaciones para cada tipo:
La tabla Atención necesaria
En la tabla Requiere atención (Needs Attention) que se muestra arriba, se enumeran las categorías de la API cuyas puntuaciones son inferiores a 1,200, junto con lo siguiente:
- La puntuación más reciente de la categoría
- El nivel de riesgo de la categoría, que puede ser bajo, moderado o grave
- La fecha de evaluación
- El tipo de evaluación
Ver recomendaciones
Para cada fila de la tabla, la seguridad avanzada de la API proporciona una recomendación para mejorar la puntuación. Puedes ver las recomendaciones en las vistas de Detalles de la evaluación para cada uno de los tipos, Fuentes, Proxies o Destinos, como se describe en las siguientes secciones:
Puedes abrir una vista de Detalles de la evaluación de las siguientes maneras:
- Haz clic en Ver detalles de la evaluación en cualquiera de los paneles de la vista principal Puntuaciones de seguridad.
- En la tabla Requiere atención, haz lo siguiente:
- Expande el grupo de categorías en la tabla:
- Haz clic en la categoría para la que deseas ver la recomendación. Se abrirá la vista de detalles de la evaluación correspondiente a la recomendación.
Evaluación de origen
La evaluación de origen calcula una puntuación de abuso del entorno. “Abuso” hace referencia a las solicitudes enviadas a la API con fines diferentes a los que está destinada la API.
Para ver la evaluación de origen, haz clic en Ver en el panel Fuentes para abrir la vista de Evaluación de origen de la API:
El Historial de puntuación de origen muestra las puntuaciones de los últimos 5 días, junto con su promedio y la última puntuación. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.
Recomendaciones de origen
Si una categoría tiene una puntuación baja, puedes ver las recomendaciones para mejorarla. Para ver una recomendación de la categoría abuse, haz clic en su fila en la tabla Detalles de la evaluación (Assessment details). Esto muestra la recomendación en el panel Recomendaciones.
Para desglosar los detalles del abuso, haz clic en Ver detalles. Esto abrirá la vista Tráfico detectado en la página de detección de abuso. La vista Tráfico detectado muestra información detallada sobre el abuso detectado.
Debajo de la línea Ver detalles, el panel Recomendaciones muestra lo siguiente:
- La recomendación: se muestra “Bloquea o permite el tráfico identificado por la detección de abuso”.
- En la fila Acciones, se muestra un vínculo a la documentación de las recomendaciones de abuso.
Evaluación de proxy
La evaluación del proxy de API calcula las puntuaciones de todos los proxies del entorno. Para ver la evaluación del proxy, haz clic en Ver en el panel Proxies para abrir la vista Evaluación del proxy de API:
El Historial de puntuación del proxy muestra las puntuaciones de los últimos 5 días, junto con su puntuación promedio y la más reciente. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.
Recomendaciones de proxy
Si un proxy tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo. Por ejemplo, para ver recomendaciones del proxy hellooauth2, haz clic en su fila en la tabla de detalles de la evaluación. Esto muestra las recomendaciones en el panel Recomendaciones. Dos de ellos se muestran a continuación.
Evaluación de destino
La evaluación de destino calcula una puntuación mTLS para cada servidor de destino del entorno. Las puntuaciones objetivo se asignan de la siguiente manera:
- No hay TLS presente: 200
- TLS unidireccional presente: 900
- mTLS o bidireccional presente: 1200
Para ver la evaluación objetivo, haz clic en Ver en el panel Destinos para abrir la vista Evaluación de destino de la API:
El Historial de puntuación de destino muestra las puntuaciones de los últimos 5 días, junto con su promedio y la última puntuación. En la tabla Detalles de la evaluación (Assessment details), se muestran las puntuaciones individuales más recientes de las categorías de evaluación.
Recomendaciones de destino
Si un servidor de destino tiene una puntuación baja, puedes ver las recomendaciones para mejorarlo. Para ver la evaluación de un servidor de destino, haz clic en su fila. Esto muestra la recomendación en el panel Recomendaciones.
Recomendaciones sobre abuso
Si la puntuación de origen es baja, Apigee recomienda que revises las IP para las que se detectó un abuso. Luego, si aceptas que el tráfico de esas IP sea abusivo, usa la página Acciones de seguridad para bloquear las solicitudes de direcciones IP que son fuentes de tráfico de abuso.
Para obtener más información sobre el abuso, puedes usar cualquiera de los siguientes recursos:
- La página Detección de abusos, que muestra información sobre los incidentes de seguridad que involucran el tráfico de abuso.
- La página Informes de seguridad.
Por ejemplo, puede crear los siguientes informes:
- Direcciones IP de bots, como se describe en el Ejemplo: Informe de direcciones IP de bots.
- Tráfico de bot por motivo de bot, como se describe en Ejemplo: tráfico de bot por informe de motivo de bot.