Présentation et interface utilisateur de l'évaluation des risques

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Présentation

L'évaluation des risques Advanced API Security évalue en permanence les configurations de proxy d'API et calcule des scores de sécurité pour identifier et corriger les failles de sécurité de vos API.

L'évaluation des risques vous permet de :

  • Appliquer des normes de sécurité cohérentes à toutes les API
  • Détecter les erreurs de configuration dans les configurations d'API
  • Améliorer votre score de sécurité global grâce aux actions recommandées
  • Analyser et résoudre rapidement les problèmes de sécurité via un tableau de bord centralisé

En plus d'évaluer le risque actuel de chaque proxy, l'évaluation des risques peut être utilisée pour évaluer la stratégie de sécurité de vos API au fil du temps. Un score d'évaluation qui fluctue peut indiquer que le comportement de l'API évolue fréquemment, y compris les proxys déployés sans les règles de sécurité nécessaires, les modifications de flux partagé via les déploiements de hook de flux et les ajouts de règles FlowCallout, ainsi que les modifications du serveur cible dans les déploiements d'environnement ou de proxy.

Vous pouvez accéder à l'évaluation des risques via l'interface utilisateur Apigee, comme décrit sur cette page, ou via l'API des scores et profils de sécurité.

Consultez la section Rôles requis pour l'évaluation des risques pour connaître les rôles nécessaires pour effectuer des tâches d'évaluation des risques.

Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.

Risk Assessment v1 et v2

L'évaluation des risques est disponible en deux versions : Risk Assessment v1, qui est en disponibilité générale, et Risk Assessment v2, qui est en version preview. L'utilisation de l'une ou l'autre de ces versions nécessite le module complémentaire Advanced API Security.

Les principales différences de fonctionnalités entre la version 1 et la version 2 sont les suivantes :

  • La version 2 comprend les éléments suivants :
    • Amélioration de la fiabilité, y compris des calculs de score plus rapides avec les données proxy récentes
    • Calcul du score sans avoir à associer un profil de sécurité à un environnement
    • Présentation simplifiée du score, basée sur une échelle de 0 à 100 %
    • Concept de pondération des vérifications d'évaluation, non pris en charge par la version 1. Consultez Concepts et évaluation des risques.
    • Évaluations supplémentaires par rapport à la version 1, qui vérifie davantage de règles lors du calcul des scores. Par exemple, la version 1 propose cinq règles liées à l'autorisation et à l'authentification, tandis que la version 2 en propose huit règles. La version 2 inclut également une catégorie de gestion du trafic avec des règles associées et effectue des vérifications supplémentaires dans les règles, y compris pour l'attribut continueOnError.
    • Vérification des flux partagés imbriqués et des hooks de flux jusqu'à cinq niveaux d'imbrication. La version 1 n'évalue pas les règles incluses via la chaîne de flux partagé.
    • Remplacement des scores cibles (scores des serveurs cibles) par des évaluations et des recommandations basées sur des proxys. Si une cible est utilisée dans un proxy, les scores de sécurité de ce proxy incluent également le score du serveur cible.
    • Profils personnalisés utilisant les nouvelles vérifications d'évaluation de la v2 ainsi que le profil système google-default
  • La version 2 ne prend pas en charge les éléments suivants :
    • Évaluation de la source basée sur le trafic abusif.
    • Les métriques et la surveillance ne sont pas prises en charge pour le moment.

Risk Assessment v1

Cette section décrit Risk Assessment v2, la nouvelle version de l'évaluation des risques. Certains concepts et comportements de l'évaluation des risques diffèrent entre la version 1 et la version 2. Pour en savoir plus sur l'utilisation de Risk Assessment v1, consultez Risk Assessment v1.

Concepts et méthodologie de notation de l'évaluation des risques v2

Les scores de sécurité d'évaluation des risques évaluent le risque de sécurité de vos API en fonction des scores d'évaluation de la sécurité et des pondérations dans un profil de sécurité.

L'évaluation du risque repose sur les critères suivants :

  • Évaluations et vérifications d'évaluation : vérifications individuelles effectuées sur les proxys et proxys sur lesquels les scores sont calculés. Chaque vérification est également associée à une pondération, qui lui confère une importance plus ou moins grande lorsqu'elle est évaluée par rapport à un proxy. Les pondérations sont définis sur "mineure", "modérée" ou "majeure" pour chaque vérification. Chaque pondération pest associée à une valeur en points qui permet de calculer un score :
    • Mineure : 1
    • Moyenne : 5
    • Majeure : 15
  • Profil de sécurité : ensemble de vérifications d'évaluation, sur la base desquelles les proxys déployés dans un environnement sont évalués.
  • Score de sécurité : score d'un proxy après évaluation par rapport à un profil de sécurité.

    Le score est une valeur comprise entre 0 et 100 %. Un score de 100 % indique que le proxy est entièrement conforme à l'évaluation et qu'aucun risque n'a été détecté sur la base des vérifications de l'évaluation.

    Le score de sécurité correspond essentiellement au total de tous les points attribués pour les vérifications réussies divisé par le nombre total de points potentiels dans le profil. Le score est une moyenne pondérée. Par conséquent, plus le profil de sécurité comporte de règles, moins chaque vérification d'évaluation a d'impact sur le score de sécurité.

    La pondération de la vérification d'évaluation a également un impact sur le score de sécurité. Les pondérations plus élevées ont un impact plus important sur le calcul, tandis que les pondérations plus faibles ont un impact moindre. Si les pondérations sont égales pour toutes les vérifications d'évaluation dans le profil de sécurité (par exemple, lorsque toutes les vérifications d'évaluation ont une pondération moyenne), le score de sécurité est calculé en tant que moyenne régulière.

  • Gravité : valeur de gravité pour chaque proxy évalué, en fonction du score de sécurité. Les valeurs de gravité potentielle sont élevées (0 à 50 %), moyennes (51 à 90 %), faibles (91 à 99 %) et minimes (100 %/aucun risque détecté en fonction des évaluations du profil de sécurité attribué).

Catégories d'évaluation et vérifications

Ce tableau présente les catégories d'évaluation et les vérifications individuelles qui peuvent faire partie des profils de sécurité. Il fournit également des recommandations sur la manière de corriger les évaluations ayant échoué pour chacune d'elles.

Catégorie d'évaluation Description
Authentification Dans ce cas, "Auth" signifie à la fois autorisation et authentification. Les évaluations d'authentification vérifient si vous avez mis en place des règles d'autorisation et d'authentification, et si l'attribut continueOnError des règles d'authentification est défini sur false.
Vérification de l'évaluation / nom Description Recommandation
Vérification des règles d'authentification / auth-policies-check Vérifier si l'une des règles d'authentification suivantes est activée : AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS ou VerifyJWT. Au moins une des règles requises pour le proxy
Vérification continueOnError dans les règles d'authentification / continue-on-error-auth-policies-check Vérifier si le champ continueOnError est activé pour toutes les règles d'autorisation dans le proxy. Cela implique de vérifier si une règle d'authentification est utilisée. Cette vérification n'a aucun impact si le proxy ne contient aucune règle d'authentification. Définir continueOnError sur "false" pour toutes les règles d'authentification incluses dans le proxy.
Vérification de la règle AccessControl / access-control-policy-check Indique si la règle AccessControl est utilisée. Ajouter la règle AccessControl au proxy.
Vérification de la règle BasicAuthentication / basic-auth-policy-check Indique si la règle BasicAuthentication est utilisée. Ajouter la règle BasicAuthentication au proxy.
Vérification de la règle HMAC / hmac-policy-check Indique si la règle HMAC est utilisée. Ajouter la règle HMAC au proxy.
Vérification de la règle OAuthV2 / oauthv2-policy-check Indique si la règle OAuth est utilisée. Ajouter la règle OAuthV2 au proxy.
Vérification de la règle ValidateSAMLAssertion / validate-saml-assertion-policy-check Indique si la règle ValidateSAMLAssertion est utilisée. Ajouter la règle ValidateSAMLAssertion au proxy.
Règle VerifyAPIKey / verify-api-key-policy-check Indique si la règle VerifyAPIKey est utilisée. Ajouter la règle VerifyAPIKey au proxy.
Règle VerifyJWS / verify-jws-policy-check Indique si la règle VerifyJWS est utilisée. Ajouter la règle VerifyJWS au proxy.
Règle VerifyJWT / verify-jwt-policy-check Indique si la règle VerifyJWT est utilisée. Ajouter la règle VerifyJWT au proxy.
CORS Vérifier si une règle CORS ou un en-tête CORS est présent dans la règle AssignMessage.
Vérification de l'évaluation / nom Description Recommandation
Vérification des règles CORS / cors-policies-check Vérifier si une règle CORS ou un en-tête CORS dans la règle AssignMessage sont présents. Ajouter la règle CORS ou la règle AssignMessage avec les en-têtes CORS au proxy.
Vérification des règles CORS / cors-policy-check Vérifier si une règle CORS est utilisée. Ajouter la règle CORS au proxy.
Vérification de la règle CORS AssignMessage / cors-assignmessage-policy-check Vérifier si les en-têtes CORS sont ajoutés dans une règle AssignMessage. Ajouter la règle AssignMessage avec des en-têtes CORS au proxy.
Médiation Vérifier si une règle de médiation est activée.
Vérification de l'évaluation / nom Description Recommandation
Vérification des règles de médiation / mediation-policies-check Vérifier si l'une des règles de médiation suivantes est activée : SOAPMessageValidation ou OASValidation. Ajouter l'une des règles de médiation suivantes à votre proxy: SOAPMessageValidation ou OASValidation.
Véfification de la règle SOAPMessageValidation / soap-validation-policy-check Vérifier si la règle SOAPMessageValidation est utilisée. Ajouter la règle SOAPMessageValidation au proxy.
Vérification de la règle OASValidation / oas-validation-policy-check Vérifier si la règle OASValidation est utilisée. Ajouter la règle OASValidationCheck au proxy.
Cible Vérifier si les protections du serveur cible sont utilisées. Pour en savoir plus sur la configuration des serveurs cibles, consultez la section Équilibrage de charge sur les serveurs backend.
Vérification de l'évaluation / nom Description Recommandation
Vérification TLS du serveur cible / tls-target-server-check Recherche TLS/SSL dans les serveurs cibles. Configurer TLS/SSL sur tous les serveurs cibles configurés dans le proxy pour des communications sécurisées.
Vérification mTLS sur le serveur cible / mtls-target-server-check Recherche mTLS sur les serveurs cibles. Configurer mTLS sur tous les serveurs cibles configurés dans le proxy pour une sécurité maximale.
Vérification du champ du serveur cible / target-enforce-field-check Vérifier si le champ Enforce est activé dans la configuration du serveur cible. Configurer le champ "Appliquer" pour appliquer le protocole SSL strict entre le proxy Apigee et la cible.
Menace Vérifier si des règles de prévention des menaces sont utilisées.
Vérification de l'évaluation / nom Description Recommandation
Vérification des règles de menace / threat-policies-check Vérifier si l'une des règles de menace suivantes est activée : JSONThreatProtection, RegularExpressionProtection ou XMLThreatProtection. Ajouter l'une des règles de menace requises à votre proxy.
Vérification continueOnError dans les règles de menace / continue-on-error-threat-policies Vérifier si le champ continueOnError est activé dans toutes les règles de menace utilisées dans le proxy. Cela implique de vérifier si une règle de menace est utilisée. Cette vérification n'a aucun impact si le proxy ne contient aucune règle de menace. Définir continueOnError sur false pour toutes les règles de détection des menaces utilisées dans le proxy.
Vérification de la règle JSONThreatProtection / json-threat-protection-policy-check Vérifier si la règle JSONThreatProtection est utilisée. Ajouter la règle JSONThreatProtection au proxy.
Vérification de la règle RegularExpressionProtection / regex-protection-policy-check Vérifier si la règle RegularExpressionProtection est utilisée. Ajouter la règle RegularExpressionProtection au proxy.
Vérification de la règle XMLThreatProtection / xml-threat-protection-policy-check Vérifier si la règle XMLThreatProtection est utilisée. Ajouter la règle XMLThreatProtection au proxy.
Trafic Vérifie si vous avez mis en place des règles de gestion du trafic.
Vérification de l'évaluation / nom Description Recommandation
Vérification des règles de gestion du trafic / traffic-management-policies-check Vérifier si l'une des règles de gestion du trafic suivantes est activée : LookupCache, Quota, ResponseCache ou SpikeArrest. Ajouter l'une des règles de gestion du trafic à votre proxy.
Vérification de la règle LookupCache / lookup-cache-policy-check Vérifier si la règle LookupCache est activée. Ajouter la règle LookupCache au proxy.
Vérification des règles de quota / quota-policy-check Vérifier si la règle de quota est utilisée. Ajouter la règle de quota au proxy.
Vérification de la règle ResponseCache / response-cache-policy-check Vérifier si la règle ResponseCache est utilisée. Ajouter la règle ResponseCache au proxy.
Vérification de la règle SpikeArrest / spike-arrest-policy-check Vérifier si la règle SpikeArrest est utilisée. Ajouter la règle SpikeArrest au proxy.

Scores de sécurité des règles et des proxys

Pour les évaluations de proxys, les scores de sécurité sont basés sur les règles que vous utilisez. La manière dont ces règles sont évaluées varie selon que celles-ci sont associées ou non aux flux, et selon la façon dont elles y sont associées :

  • Seules les règles associées à un flux (préflux, flux conditionnel, post-flux dans les proxys, ou flux partagé) ont un impact sur les scores. Les règles qui ne sont associées à aucun flux nont aucun impact sur les scores.
  • Les scores de proxy prennent en compte les flux partagés qu'un proxy appelle via des hooks de flux et les règles FlowCallout incluses dans le proxy, à condition que la règle FlowCallout soit associée à un flux. Toutefois, si la règle FlowCallout n'est pas associée à un flux, les règles issues de son flux partagé associé n'ont aucun impact sur les scores de sécurité.
  • Les flux partagés en chaîne sont évalués jusqu'à cinq niveaux de profondeur. Toutes les règles incluses directement dans le proxy et dans les cinq premiers niveaux de flux partagés sont prises en compte dans le score de sécurité.
  • Pour les règles associées aux flux conditionnels, les scores de sécurité ne tiennent compte que de la présence ou non de ces règles. Ils ne tiennent pas compte du fait que les règles sont appliquées ou non au moment de leur exécution, ni de quelle manière.

Profils de sécurité v2

Un profil de sécurité est un ensemble d'évaluations et de pondérations de sécurité permettant d'évaluer les proxys d'API. Vous pouvez utiliser le profil de sécurité par défaut d'Apigee, appelé google-default, ou créer un profil de sécurité personnalisé qui ne contient que les catégories de sécurité et les pondérations que vous souhaitez évaluer.

Lorsque vous utilisez des profils de sécurité ou que vous en créez, notez que les différentes vérifications d'évaluation d'une catégorie sont évaluées individuellement.

Par exemple, si un profil de sécurité comporte trois vérifications de règles d'authentification et que le proxy évalué inclut l'une des trois, le score d'évaluation inclura le nombre maximal de points pour la règle trouvée et zéro point pour les deux autres règles qui ne sont pas présentes. Dans cet exemple, le proxy évalué ne recevrait pas le nombre maximal de points pour les vérifications des règles d'authentification, même s'il inclut une règle d'authentification. Compte tenu de ce comportement, soyez prudent lorsque vous interprétez le score de sécurité et concevez le profil de sécurité.

Profil de sécurité par défaut

Advanced API Security fournit un profil de sécurité par défaut contenant toutes les évaluations. Lorsque vous utilisez le profil par défaut, les scores de sécurité sont basés sur toutes les catégories.

Le profil de sécurité par défaut, google-default, ne peut pas être modifié ni supprimé.

Profil de sécurité personnalisé

Vous pouvez créer des profils de sécurité personnalisés qui n'incluent que les vérifications et les pondérations d'évaluation que vous avez choisies pour évaluer les proxys. Pour savoir comment créer et utiliser des profils de sécurité personnalisés à partir de l'interface utilisateur d'Apigee, consultez Gérer les profils personnalisés dans l'interface utilisateur d'Apigee.

Pour les profils de sécurité personnalisés :

  • Le nom du profil (également appelé ID de profil) est obligatoire et s'affiche dans le tableau récapitulatif lorsque vous listez les profils. Le nom doit comporter entre 1 et 63 caractères, qui peuvent être des lettres minuscules, des chiffres de 0 à 9 ou des traits d'union. Le premier caractère doit être une lettre minuscule. Le dernier caractère doit être une lettre minuscule ou un chiffre. Les profils de sécurité personnalisés doivent avoir des noms uniques et ne peuvent pas dupliquer les noms de profils existants.
  • La description du profil est facultative et ne doit pas dépasser 1 000 caractères.

Limites et problèmes connus des scores de sécurité v2

Les scores de sécurité présentent les limites et problèmes connus suivants :

  • Les scores de sécurité ne sont générés que si un environnement a déployé des proxys.
  • Les proxys nouvellement déployés, ainsi que les organisations et les environnements nouvellement activés, n'affichent pas immédiatement de scores.
  • Vous pouvez créer jusqu'à 100 profils personnalisés par organisation.
  • La notification des nouveaux calculs et scores d'évaluation n'est pas disponible pour le moment.

Retards de données

Les données sur lesquelles se basent les scores de sécurité d'Advanced API Security sont soumises aux délais de traitement suivants avant que les résultats ne soient disponibles :

  • Lorsque vous activez Advanced API Security dans une organisation pour la première fois, l'actualisation des scores des proxys et des cibles existants dans un environnement peut prendre un certain temps. En règle générale, comptez entre 30 et 90 minutes pour les organisations avec abonnement et moins de temps pour les organisations avec paiement à l'usage.
  • Les nouveaux événements liés aux proxys (déploiement et annulation du déploiement) et aux cibles (créer, mettre à jour, supprimer) dans un environnement peuvent prendre au moins 60 secondes et jusqu'à cinq minutes (pour les très grands environnements) pour apparaître dans le score de l'environnement.

Afficher les évaluations des risques dans l'interface utilisateur d'Apigee

La page Évaluation des risques affiche des scores qui mesurent la sécurité de votre API dans chaque environnement.

Pour ouvrir la page Évaluation des risques, procédez comme suit :

  1. Ouvrez l'interface utilisateur d'Apigee dans la console Cloud.
  2. Sélectionnez Advanced API Security > Évaluation des risques.

La page Évaluation des risques s'affiche :

Page principale d'évaluation des risques

La page comporte les sections suivantes :

  • Environnement : sélectionnez l'environnement dans lequel afficher les évaluations.
  • Profil de sécurité : sélectionnez le profil par défaut (google-default) ou un profil personnalisé, le cas échéant. Pour en savoir plus sur les profils de sécurité, consultez la page Profils de sécurité.
  • Proxys déployés par niveau de gravité : une fois l'environnement défini, la page affiche un récapitulatif des niveaux de gravité des proxys dans cet environnement. Consultez la section Concepts et évaluation des risques.
  • Détails de l'évaluation : affiche le profil de sécurité, la date et l'heure de l'évaluation, le nombre total de configurations évaluées et le nombre total de proxys déployés pour l'environnement sélectionné. Le nombre total de configurations évaluées reflète le nombre total de "vérifications" effectuées. Ce nombre peut être supérieur au nombre d'évaluations dans un profil. Certaines évaluations, comme la vérification que l'attribut "continueOnError" est défini sur false, vérifient également si les règles associées sont en place et activées.
  • Proxys déployés : récapitulatif des proxys déployés dans l'environnement et de leurs scores d'évaluation des risques :

    • Proxy : nom du proxy.
    • Gravité : gravité de l'évaluation des risques pour le proxy. Pour en savoir plus, consultez Scores et niveaux de gravité de sécurité.

    • Score : score d'évaluation des risques pour le proxy. Pour en savoir plus, consultez Concepts et évaluation des risques.
    • Révision : révision du proxy pour laquelle le score a été évalué.
    • Évaluations ayant échoué par pondération : nombre d'évaluations ayant échoué regroupées par pondération.
    • Recommandations : recommandations spécifiques pour améliorer le score du proxy. Cliquez sur le nombre pour afficher les recommandations.

Gérer les profils personnalisés dans l'interface utilisateur d'Apigee

Cette section explique comment afficher, créer, modifier et supprimer des profils personnalisés à l'aide de l'interface utilisateur d'Apigee. Notez les limites des profils personnalisés listées dans la section Limites des scores de sécurité.

Commencez par afficher les évaluations des risques dans l'interface utilisateur d'Apigee.

Créer et modifier des profils personnalisés

Sur l'écran "Évaluation des risques", sélectionnez l'onglet Profils de sécurité. Pour modifier un profil existant, cliquez sur son nom pour afficher ses détails, puis sur Modifier. Vous pouvez également sélectionner Modifier dans le menu "Actions" de la ligne correspondant à ce profil.

Pour créer un profil personnalisé, cliquez sur + Créer dans la liste des profils de sécurité.

Liste des profils de sécurité

Lorsque vous créez ou modifiez un profil personnalisé, vous pouvez définir les valeurs suivantes :

  • Nom : nom du profil de sécurité. Assurez-vous que ce nom est unique pour le projet.
  • Description : (facultatif). Description du profil de sécurité.
  • Vérification(s) d'évaluation et pondération(s) de l'évaluation : une ou plusieurs vérifications d'évaluation à évaluer par rapport aux proxys et une pondération pour chacune. Consultez la section Concepts et évaluation des risques pour obtenir la liste des vérifications d'évaluation disponibles. Pour ajouter des vérifications et des pondérations d'évaluation supplémentaires au profil, cliquez sur + Ajouter. Pour supprimer une paire de vérification/pondération, cliquez sur l'icône de corbeille de la ligne correspondante.

Profils en double

Pour dupliquer un profil existant (pour créer un profil personnalisé), sélectionnez Dupliquer dans le menu "Actions" de la ligne correspondante ou cliquez sur le nom du profil dans la liste des profils pour afficher les métadonnées du profil, puis cliquez sur Dupliquer.

Le nom du nouveau profil personnalisé ne peut pas correspondre à celui du profil en double. Pour connaître les règles de dénomination des profils de sécurité, consultez Profil de sécurité personnalisé.

Supprimer des profils personnalisés

Pour supprimer un profil personnalisé existant, sélectionnez Supprimer dans le menu "Actions" de la ligne correspondante ou cliquez sur le nom du profil dans la liste des profils pour afficher les métadonnées du profil, puis cliquez sur Supprimer.

Notez que vous ne pouvez pas supprimer le profil système par défaut (google-default).

La suppression d'un profil personnalisé est immédiate et empêche d'évaluer les proxys par rapport à ce profil ou de consulter les évaluations précédentes de ce profil personnalisé.

Risk Assessment v1

Cette section décrit l'évaluation des risques v1. Pour en savoir plus sur l'évaluation des risques v2, consultez Risk Assessment v2.

Scores de sécurité

Les scores de sécurité évaluent la sécurité de vos API, ainsi que leur posture de sécurité au fil du temps. Par exemple, un score qui varie beaucoup peut indiquer que le comportement de l'API évolue fréquemment, ce qui peut ne pas être souhaitable. Les modifications apportées à un environnement pouvant entraîner une baisse du score sont les suivantes :

  • Le déploiement de nombreux proxys d'API sans les règles de sécurité nécessaires
  • Un pic de trafic abusif en provenance de sources malveillantes.

L'observation des modifications de vos scores de sécurité au fil du temps est un bon indicateur de toute activité indésirable ou suspecte dans l'environnement.

Les scores de sécurité sont calculés en fonction de votre profil de sécurité, qui spécifie les catégories de sécurité que vous souhaitez évaluer. Vous pouvez utiliser le profil de sécurité par défaut d'Apigee ou créer un profil de sécurité personnalisé qui n'inclut que les catégories de sécurité les plus importantes pour vous.

Types d'évaluation des scores de sécurité

Trois types d'évaluation contribuent au score de sécurité global calculé par Advanced API Security :

  • Évaluation de la source : évalue le trafic détecté à l'aide des règles de détection d'Advanced API Security. L'"utilisation abusive" désigne des requêtes envoyées à l'API à des fins autres que celles auxquelles l'API est destinée.

  • Évaluation des proxys : évalue dans quelle mesure les proxys ont mis en œuvre diverses règles de sécurité dans les domaines suivants :

    Pour en savoir plus, consultez la section Impact des règles sur les scores de sécurité des proxys.

  • Évaluation des cibles : vérifie si la sécurité de la couche de transport mutuelle (mTLS) est configurée avec les serveurs cibles de l'environnement.

Chaque type d'évaluation se voit attribuer un score qui lui est propre. Le score global correspond à la moyenne des scores de chaque type d'évaluation.

Impact des règles sur les scores de sécurité des proxys

Pour les évaluations de proxys, les scores de sécurité sont basés sur les règles que vous utilisez. La manière dont ces règles sont évaluées varie selon que celles-ci sont associées ou non aux flux, et selon la façon dont elles y sont associées :

  • Seules les règles associées à un flux (préflux, flux conditionnel, post-flux dans les proxys, ou flux partagé) ont un impact sur les scores. Les règles qui ne sont associées à aucun flux nont aucun impact sur les scores.
  • Les scores de proxy prennent en compte les flux partagés qu'un proxy appelle via des hooks de flux et les règles FlowCallout incluses dans le proxy, à condition que la règle FlowCallout soit associée à un flux. Toutefois, si la règle FlowCallout n'est pas associée à un flux, les règles issues de son flux partagé associé n'ont aucun impact sur les scores de sécurité.
  • Les chaînes de flux partagée ne sont pas prises en charge. Les règles incluses via des chaînes de flux partagée ne sont pas évaluées lors du calcul des scores de sécurité.
  • Pour les règles associées aux flux conditionnels, les scores de sécurité ne tiennent compte que de la présence ou non de ces règles. Ils ne tiennent pas compte du fait que les règles sont appliquées ou non au moment de leur exécution, ni de quelle manière.
.

Profils de sécurité

Un profil de sécurité est un ensemble de catégories de sécurité (décrites ci-dessous) en fonction desquelles vous souhaitez que vos API soient évaluées. Un profil peut contenir n'importe quel sous-ensemble des catégories de sécurité. Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement. Vous pouvez utiliser le profil de sécurité par défaut d'Apigee ou créer un profil de sécurité personnalisé qui ne contient que les catégories de sécurité qui vous intéressent.

Profil de sécurité par défaut

Advanced API Security fournit un profil de sécurité par défaut qui contient toutes les catégories de sécurité. Si vous utilisez le profil par défaut, les scores de sécurité seront basés sur toutes les catégories.

Profil de sécurité personnalisé

Les profils de sécurité personnalisés vous permettent de baser vos scores de sécurité uniquement sur les catégories de sécurité que vous souhaitez inclure dans le score. Consultez Créer et modifier des profils de sécurité pour découvrir comment créer un profil personnalisé.

Catégories de sécurité

Les scores de sécurité sont basés sur une évaluation des catégories de sécurité décrites ci-dessous.

Catégorie Description Recommandation
Utilisation abusive Recherche toute utilisation abusive, y compris toutes les requêtes envoyées à l'API à des fins autres que celles auxquelles elle est destinée, par exemple des volumes élevés de requêtes, le détournement de données et les utilisations abusives liées à l'autorisation. Consultez les recommandations liées aux abus.
Autorisation Vérifie si vous avez mis en place une règle d'autorisation. Ajoutez l'une des règles suivantes à votre proxy :
CORS Vérifie si vous avez mis en place une règle CORS. Ajouter une règle CORS à votre proxy.
MTLS Vérifie si vous avez configuré mTLS (Mutual Transport Layer Security) pour le serveur cible. Consultez la section Configuration mTLS du serveur cible.
Médiation Vérifie si vous avez mis en place une règle de médiation. Ajoutez l'une des règles suivantes à vos proxys :
Menace Vérifie si vous avez mis en place une règle de protection contre les menaces. Ajoutez l'une des règles suivantes à vos proxys :

Limites des scores de sécurité v1

Les scores de sécurité présentent les limites suivantes :

  • Vous pouvez créer jusqu'à 100 profils personnalisés par organisation.
  • Les scores de sécurité ne sont générés que si un environnement comporte des proxys, des serveurs cibles et du trafic.
  • Les proxys nouvellement déployés n'affichent pas immédiatement de scores.

Retards de données

Les données sur lesquelles se basent les scores de sécurité d'Advanced API Security sont soumises aux délais suivants, en raison de la façon dont les données sont traitées :

  • Lorsque vous activez Advanced API Security dans une organisation, l'actualisation des scores des proxys et des cibles existants dans un environnement peut prendre jusqu'à six heures.
  • Les nouveaux événements liés aux proxys (déploiement et annulation du déploiement) et aux cibles (créer, mettre à jour, supprimer) dans un environnement peuvent prendre jusqu'à six heures pour apparaître dans le score de l'environnement.
  • Les données transmises par le pipeline Apigee Analytics ont un délai moyen de 15 à 20 minutes. Par conséquent, les données d'utilisation abusive des scores des sources présentent un retard de traitement d'environ 15 à 20 minutes.

Ouvrir la page Évaluation des risques

La page Évaluation des risques affiche des scores qui mesurent la sécurité de votre API dans chaque environnement.

Le chargement de la page Évaluation des risques peut prendre quelques minutes. La page prendra plus de temps à se charger dans les environnements ayant un volume de trafic élevé et un grand nombre de proxys et de cibles.

Apigee dans la console Cloud

Pour ouvrir la page Évaluation des risques, procédez comme suit :

  1. Ouvrez l'interface utilisateur d'Apigee dans la console Cloud.
  2. Sélectionnez Advanced API Security > Évaluation des risques.

La page Évaluation des risques s'affiche :

Page principale d'évaluation des risques

Cette page comporte deux onglets, décrits dans les sections suivantes :

Afficher les scores de sécurité

Pour afficher les scores de sécurité, cliquez sur l'onglet Scores de sécurité.

Notez qu'aucun score n'est calculé pour un environnement tant que vous n'avez pas associé de profil de sécurité, comme décrit dans la section Associer un profil de sécurité à un environnement. Apigee fournit une règle de sécurité par défaut ou vous pouvez créer un profil personnalisé, comme décrit dans la section Créer et modifier des profils de sécurité.

La table Scores de sécurité contient les colonnes suivantes :

  • Environment (Environnement) : environnement dans lequel les scores sont calculés.
  • Niveau de risque : niveau de risque pour l'environnement, qui peut être faible, modéré ou grave
  • Score de sécurité : score total de l'environnement, sur 1200.
  • Recommandations totales : nombre de recommandations fournies
  • Profil : nom du profil de sécurité associé
  • Dernière mise à jour : date de la dernière mise à jour des scores de sécurité
  • Actions : cliquez sur le menu à trois points sur la ligne de l'environnement pour effectuer les actions suivantes :
    • Associer un profil : associez un profil de sécurité à l'environnement.
    • Dissocier un profil : dissociez un profil de sécurité de l'environnement.

Associer un profil de sécurité à un environnement

Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement comme suit :

  1. Sous Actions, cliquez sur le menu à trois points de la ligne de l'environnement.
  2. Cliquez sur Associer un profil.
  3. Dans la boîte de dialogue Associer un profil :
    1. Cliquez sur le champ Profil et sélectionnez le profil que vous souhaitez associer. Si vous n'avez pas créé de profil de sécurité personnalisé, le seul profil disponible est celui par défaut.
    2. Cliquez sur Attribuer.

Lorsque vous associé un profil de sécurité à un environnement, Advanced API Security commence immédiatement à l'évaluer et à lui attribuer un score. Notez que l'affichage du score peut prendre quelques minutes.

Le score global est calculé à partir des scores individuels des trois types d'évaluation :

  • Évaluation de la source
  • Évaluation du proxy
  • Évaluation de la cible

Notez que tous les scores sont compris entre 200 et 1 200. Plus le score d'évaluation est élevé, plus le risque de sécurité est faible.

Consultez les scores

Une fois que vous avez associé un profil de sécurité à un environnement, vous pouvez afficher les scores et les recommandations dans l'environnement. Pour ce faire, cliquez sur la ligne de l'environnement dans la page principale Scores de sécurité. Les scores de l'environnement s'affichent, comme indiqué ci-dessous :

Scores de sécurité dans un environnement.

La vue affiche quatre onglets :

Présentation

L'onglet Aperçu affiche les éléments suivants :

  • Principales caractéristiques de chaque évaluation :
    • Proxy : affiche la recommandation principale pour les proxys dans l'environnement. Cliquez sur Modifier Proxy pour ouvrir l'éditeur de proxy Apigee, dans lequel vous pouvez implémenter la recommandation.
    • Cible : affiche la recommandation principale pour les cibles de l'environnement. Cliquez sur Afficher les serveurs cibles pour ouvrir l'onglet Serveurs cibles sur la page Gestion > Environnements de l'interface utilisateur d'Apigee.
    • Source : affiche le trafic détecté comme abusif. Cliquez sur Trafic détecté pour afficher l'onglet Trafic détecté sur la page "Détection d'utilisation abusive".
  • Résumés de l'évaluation de la source, de l'évaluation du proxy et de l'évaluation de la cible, y compris :
    • Le dernier score pour chaque type d'évaluation.
    • Le volet Évaluation de la source affiche le trafic détecté comme abusif et le nombre d'adresses IP.
    • Les volets Évaluation du proxy et Évaluation de la cible affichent le niveau de risque de ces évaluations.
  • Cliquez sur Afficher les détails de l'évaluation dans l'un des volets récapitulatifs pour afficher les détails de ce type d'évaluation :
  • L'historique des évaluations, qui affiche un graphique du score total quotidien de l'environnement sur une période récente, que vous pouvez choisir sur 3 jours ou 7 jours. Par défaut, le graphique affiche 3 jours. Le graphique indique également le score total moyen sur la même période.

Notez qu'un score n'est calculé que pour le type d'évaluation lorsqu'il existe quelque chose à évaluer. Par exemple, s'il n'existe aucun serveur cible, aucun score ne sera indiqué pour le champ Target (Cible).

Évaluation de la source

Cliquez sur l'onglet Évaluation de la source pour afficher les détails de l'évaluation de l'environnement.

Volet Évaluation de la source.

Cliquez sur l'icône de développement à droite des détails de l'évaluation pour afficher un graphique de l'évaluation source sur une période récente, que vous pouvez choisir sur 3 ou 7 jours.

Le volet Source affiche une table contenant les informations suivantes :

  • Catégorie : catégorie de l'évaluation
  • Niveau de risque : niveau de risque de la catégorie
  • Score de sécurité : score de sécurité de la catégorie abusive.
  • Recommandations : nombre de recommandations pour la catégorie
Détails de la source

Le volet Détails de la source affiche les détails du trafic détecté dans l'environnement, y compris :

  • Informations sur le trafic :
    • Trafic détecté : nombre d'appels d'API provenant d'une adresse IP détectée comme une source abusive
    • Trafic total : nombre total d'appels d'API effectués
    • Nombre d'adresses IP détectées : nombre d'adresses IP distinctes détectées comme sources d'abus
    • Heure de début de l'observation (UTC) : heure de début, au format UTC, de la période pendant laquelle le trafic a été surveillé
    • Heure de fin de l'observation (UTC) : heure de fin (UTC) de la période pendant laquelle le trafic a été surveillé
  • Date d'évaluation : date et heure de l'évaluation.
  • Recommandation pour améliorer le score. Consultez la section Recommandations liées à l'utilisation abusive pour en savoir plus sur la gestion du trafic abusif.

Pour créer une action de sécurité permettant de résoudre les problèmes liés à l'évaluation de la source, cliquez sur le bouton Créer une action de sécurité.

Évaluation du proxy

L'évaluation de proxy d'API calcule les scores de tous les proxys de l'environnement. Pour afficher l'évaluation du proxy, cliquez sur l'onglet Évaluation du proxy :

Volet d'évaluation du proxy.

Le volet Proxy affiche une table contenant les informations suivantes :

  • Proxy : proxy en cours d'évaluation
  • Niveau de risque : niveau de risque du proxy
  • Score de sécurité : score de sécurité du proxy
  • Attention requise : catégories d'évaluation à traiter pour améliorer le score du proxy
  • Recommandations : nombre de recommandations pour le proxy

Cliquez sur le nom d'un proxy dans le tableau pour ouvrir l'éditeur de proxy, où vous pouvez apporter les modifications recommandées au proxy.

Recommandations liées au proxy

Si un proxy a un score faible, vous pouvez afficher des recommandations pour l'améliorer dans le volet Recommandations. Pour afficher les recommandations concernant un proxy, cliquez sur la colonne Attention requise du proxy dans le volet Proxy.

Le volet Recommandations s'affiche :

  • Date d'évaluation : date et heure de l'évaluation.
  • Recommandation pour améliorer le score.

Évaluation de la cible

L'évaluation de la cible calcule un score mTLS (Mutual Transport Layer Security) pour chaque serveur cible de l'environnement. Les scores de la cible sont attribués comme suit :

  • Absence d'une communication TLS : 200
  • Présence d'une communications TLS unidirectionnelle : 900
  • Présence d'une communications TLS bidirectionnelle ou mTLS : 1200

Pour afficher l'évaluation de la cible, cliquez sur l'onglet Évaluation de la cible :

Volet d'évaluation cible.

Le volet Cible affiche les informations suivantes :

  • Cible : nom de la cible
  • Niveau de risque : niveau de risque de la cible
  • Score de sécurité : score de sécurité de la cible
  • Attention requise : catégories d'évaluation à traiter pour améliorer le score de la cible
  • Recommandations : nombre de recommandations pour la cible

Cliquez sur le nom d'une cible dans le tableau pour ouvrir l'onglet Serveurs cibles dans la page Gestion > Environnements de l'interface utilisateur d'Apigee, où vous pouvez appliquer les actions recommandées à la cible.

Recommandations liées à la cible

Si un serveur cible présente un score faible, vous pouvez afficher des recommandations pour l'améliorer dans le volet Recommandations. Pour afficher les recommandations pour une cible, cliquez sur la colonne Attention requise de la cible dans le volet Cible.

Le volet Recommandations s'affiche :

  • Date d'évaluation : date et heure de l'évaluation.
  • Recommandation pour améliorer le score.

Créer et modifier des profils de sécurité

Pour créer ou modifier un profil de sécurité , sélectionnez l'onglet Profils de sécurité.

Onglet Profils de sécurité

L'onglet Profils de sécurité affiche la liste des profils de sécurité, y compris les informations suivantes :

  • Nom : nom du profil
  • Catégories : catégories de sécurité incluses dans le profil
  • Description : description facultative du profil
  • Environnements : environnements auxquels le profil est associé. Si cette colonne est vide, le profil n'est associé à aucun environnement.
  • Dernière mise à jour (UTC) : date et heure de la dernière mise à jour du profil
  • Actions : un menu contenant les éléments suivants :

Afficher les détails d'un profil de sécurité

Pour afficher les détails d'un profil de sécurité, cliquez sur son nom dans la ligne correspondante. Les détails du profil s'affichent, comme illustré ci-dessous.

Détails du profil de sécurité

La première ligne de l'onglet Détails affiche l'ID de révision : le numéro de révision le plus récent du profil. Lorsque vous modifiez un profil et ses catégories de sécurité, l'ID de révision est augmenté de 1. Toutefois, le simple fait de modifier la description du profil n'augmente pas l'ID de révision.

Les lignes ci-dessous affichent les mêmes informations que celles de la ligne du profil dans l'onglet Profils de sécurité.

La vue Détails du profil comporte également deux boutons intitulés Modifier et Supprimer, que vous pouvez utiliser pour modifier ou supprimer un profil de sécurité.

Historique

Pour afficher l'historique du profil, cliquez sur l'onglet Historique. La liste de toutes les révisions du profil s'affiche. Pour chaque révision, la liste affiche :

  • ID de révision : numéro de révision
  • Catégories : catégories de sécurité incluses dans cette révision du profil
  • Dernière mise à jour (UTC) : date et heure UTC lors de la création de la révision

Créer un profil de sécurité personnalisé

Pour créer un profil de sécurité personnalisé, procédez comme suit :

  1. Cliquez sur Créer en haut de la page.
  2. Dans la boîte de dialogue qui s'ouvre, saisissez ce qui suit :
    • Nom : nom du profil Le nom doit comporter entre 1 et 63 lettres minuscules, chiffres ou traits d'union. Il doit commencer par une lettre et se terminer par une lettre ou un chiffre. Le nom doit être différent de celui de tout profil existant.
    • (Facultatif) Description : description du profil.
    • Dans le champ Catégories, sélectionnez les catégories d'évaluation que vous souhaitez inclure dans le profil.

Modifier un profil de sécurité personnalisé

Pour modifier un profil de sécurité personnalisé, procédez comme suit :

  1. À la fin de la ligne du profil de sécurité, cliquez sur le menu Actions.
  2. Sélectionnez Modifier.
  3. Sur la page Modifier le profil de sécurité, vous pouvez modifier :
    • Description : description facultative du profil de sécurité
    • Catégories : catégories de sécurité sélectionnées pour le profil. Cliquez sur le menu déroulant, puis sélectionnez ou désélectionnez les catégories de votre choix dans le menu.
  4. Cliquez sur OK.

Supprimer un profil de sécurité personnalisé

Pour supprimer un profil de sécurité, cliquez sur Actions à la fin de la ligne du profil, puis sélectionnez Supprimer. Notez que la suppression d'un profil le dissocie également de tous les environnements.

Interface utilisateur classique d'Apigee

Procédez comme suit pour ouvrir la vue Scores de sécurité :

  1. Ouvrez l'interface utilisateur classique d'Apigee.
  2. Sélectionnez Analyse > Sécurité de l'API > Scores de sécurité.

La vue Scores de sécurité s'affiche :

Vue principale des scores de sécurité

Notez qu'aucun score n'est calculé pour un environnement tant que vous n'avez pas associé un profil de sécurité à l'environnement. Apigee fournit une règle de sécurité par défaut ou vous pouvez créer un profil personnalisé à l'aide de l'API Apigee. Pour en savoir plus, consultez Utiliser un profil de sécurité personnalisé.

Dans l'image ci-dessus, aucun profil de sécurité n'a été associé à l'environnement integration. Par conséquent, la colonne Nom du profil affiche Non défini pour cet environnement.

La table Scores de sécurité contient les colonnes suivantes :

  • Environment (Environnement) : environnement dans lequel les scores sont calculés.
  • Latest Score (Dernier score) : dernier score total pour l'environnement, sur 1200.
  • Risk Level (Niveau de risque) : niveau de risque, qui peut être faible, modéré ou grave.
  • Total Recommendations (Recommandations totales) : nombre de recommandations fournies. Chaque recommandation correspond à une ligne de la table Attention requise.
  • Profile Name (Nom du profil) : nom du profil de sécurité.
  • Assessment Date (Date d'évaluation) : date la plus récente du calcul des scores de sécurité.

Associer un profil de sécurité à un environnement

Pour afficher les scores de sécurité d'un environnement, vous devez d'abord associer un profil de sécurité à l'environnement comme suit :

  1. Sous Actions, cliquez sur le menu à trois points de la ligne de l'environnement.
  2. Cliquez sur Associer un profil.
  3. Dans la boîte de dialogue Associer un profil :
    1. Cliquez sur le champ Profil et sélectionnez le profil que vous souhaitez associer. Si vous n'avez pas créé de profil de sécurité personnalisé, le seul profil disponible est celui par défaut.
    2. Cliquez sur Attribuer.

Lorsque vous associé un profil de sécurité à un environnement, Advanced API Security commence immédiatement à l'évaluer et à lui attribuer un score. Notez que l'affichage du score peut prendre quelques minutes.

L'image ci-dessous montre la vue Scores de sécurité avec un environnement auquel le profil de sécurité par défaut est associé :

Fenêtre principale des Scores de sécurité avec un profil de sécurité associé.

La ligne de l'environnement affiche désormais le dernier score de sécurité, le niveau de risque, le nombre de recommandations pour les actions de sécurité à effectuer et la Date d'évaluation du score.

Le score global est calculé à partir des scores individuels des trois types d'évaluation :

  • Évaluation de la source
  • Évaluation du proxy
  • Évaluation de la cible

Notez que tous les scores sont compris entre 200 et 1 200. Plus le score est élevé, meilleure est l'évaluation de la sécurité.

Consultez les scores

Une fois que vous avez associé un profil de sécurité à un environnement, vous pouvez afficher les scores et les recommandations dans l'environnement. Pour ce faire, cliquez sur la ligne de l'environnement dans la vue principale Security Scores (Scores de sécurité). Les scores de l'environnement s'affichent, comme indiqué ci-dessous :

Scores de sécurité dans un environnement.

La vue affiche ce qui suit :

  • Les derniers scores pour les sources, les proxys et les cibles. Cliquez sur Afficher les détails de l'évaluation dans l'un de ces volets pour afficher l'évaluation pour ce type.
  • L'historique de score de l'environnement, qui affiche un graphique des scores totaux quotidiens de l'environnement au cours des cinq derniers jours, ainsi que le score total moyen sur la même période.
  • Needs Attention Table (Table "Attention requise"), qui regroupe les types d'évaluation de vos API dans lesquels vous pouvez améliorer la sécurité.

Notez qu'un score n'est calculé que pour le type d'évaluation lorsqu'il existe quelque chose à évaluer. Par exemple, s'il n'existe aucun serveur cible, aucun score ne sera indiqué pour le champ Target (Cible).

Les sections suivantes décrivent comment afficher les évaluations pour chaque type :

Table Attention requise

La table Attention requise, présentée ci-dessus, répertorie les catégories d'API dont les scores sont inférieurs à 1200, ainsi que :

  • Le dernier score de la catégorie
  • Le niveau de risque de la catégorie, qui peut être faible, modéré ou grave
  • La date de l'évaluation
  • Le type d'évaluation

Afficher les recommandations

Pour chaque ligne du tableau, la sécurité avancée d'API fournit une recommandation permettant d'améliorer le score. Vous pouvez consulter les recommandations dans les vues Assessment details (Détails de l'évaluation) pour chacun des types (Sources, Proxys ou Cibles) comme décrit dans les sections suivantes :

Vous pouvez ouvrir une vue Assessment details (Détails de l'évaluation) de l'une des manières suivantes :

  • Cliquez sur View Assessment Details (Afficher les détails de l'évaluation) dans l'un des volets de la vue principale Security Scores (Scores de sécurité).
  • Dans la table Attention requise :
    1. Développez le groupe de catégorie dans le tableau :

      Ligne d'authentification de la table "Attention requise".

    2. Cliquez sur la catégorie pour laquelle vous souhaitez afficher la recommandation. La vue "Détails de l'évaluation" correspondant à la recommandation s'ouvre.

Évaluation de la source

L'évaluation de la source définit un score "Abuse" (Utilisation abusive) pour l'environnement. L'"utilisation abusive" désigne des requêtes envoyées à l'API à des fins autres que celles auxquelles l'API est destinée.

Pour afficher l'évaluation de la source, cliquez sur View (Afficher) dans le volet Sources pour ouvrir la vue Évaluation des sources de l'API (Évaluation de la source de l'API) :

Volet Évaluation de la source.

Le volet Historique des scores de la source affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Détails de l'évaluation affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées à la source

Si une catégorie a un score faible, vous pouvez afficher des recommandations pour l'améliorer. Pour afficher une recommandation concernant la catégorie utilisation abusive, cliquez sur la ligne correspondante dans la table Détails de l'évaluation. La recommandation s'affiche alors dans le volet Recommandations.

Recommandation liée à l'utilisation abusive dans le volet "Recommandations".

Pour afficher les détails de l'utilisation abusive, cliquez sur Afficher les détails. La vue Trafic détecté s'ouvre sur la page Détection d'utilisation abusive. La vue Trafic détecté affiche des informations détaillées sur les abus détectés.

Sous la ligne Détails de la vue, le volet "Recommandations" s'affiche :

Évaluation du proxy

L'évaluation de proxy d'API calcule les scores de tous les proxys de l'environnement. Pour afficher l'évaluation du proxy, cliquez sur Afficher dans le volet Proxys pour ouvrir la vue Évaluation des proxys d'API :

Volet d'évaluation du proxy.

Le volet Proxy Score History (Historique des scores du proxy) affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Assessment details (Détails de l'évaluation) affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées au proxy

Si un proxy a un score faible, vous pouvez afficher des recommandations pour l'améliorer. Par exemple, pour afficher les recommandations pour le proxy hellooauth2, cliquez sur la ligne correspondante dans le tableau des détails des évaluations. Les recommandations s'affichent alors dans le volet Recommandations. Deux d'entre elles sont illustrées ci-dessous.

Recommandation liée au proxy.

Évaluation de la cible

L'évaluation de la cible calcule un score mTLS pour chaque serveur cible dans l'environnement. Les scores de la cible sont attribués comme suit :

  • Absence d'une communication TLS : 200
  • Présence d'une communications TLS unidirectionnelle : 900
  • Présence d'une communications TLS bidirectionnelle ou mTLS : 1200

Pour afficher l'évaluation de la cible, cliquez sur View (Afficher) dans le volet Targets (Cibles) pour ouvrir la vue API Target Assessment (Évaluation cible de l'API) :

Volet d'évaluation cible.

Le volet Target Score History (Historique des scores de la cible) affiche les scores des cinq derniers jours, ainsi que le score moyen et le dernier score. La table Assessment details (Détails de l'évaluation) affiche les derniers scores individuels pour les catégories de l'évaluation.

Recommandations liées à la cible

Si un serveur cible présente un score faible, vous pouvez afficher des recommandations pour l'améliorer. Pour afficher l'évaluation d'un serveur cible, cliquez sur la ligne correspondante. La recommandation s'affiche alors dans le volet Recommandations.

Recommandation liée au proxy.

Recommandations liées à une utilisation abusive

Si le score de la source est faible, Apigee vous recommande d'examiner les adresses IP pour lesquelles des utilisations abusives ont été détectées. Ensuite, si vous acceptez le caractère abusif du trafic provenant de ces adresses IP, utilisez la page Actions de sécurité pour bloquer les requêtes provenant des adresses IP qui sont à l'origine du trafic abusif.

Pour obtenir plus d'informations sur l'utilisation abusive, vous pouvez utiliser l'une des ressources suivantes :