本頁適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
總覽
Advanced API Security 風險評估會持續評估 API 代理程式設定,並計算安全性分數,協助您找出並解決 API 中的安全漏洞。
風險評估可協助您:
- 在所有 API 中強制執行一致的安全標準。
- 偵測 API 設定中的錯誤設定。
- 採取建議的應變措施,提高整體安全分數。
- 透過集中式資訊主頁快速調查及解決安全性問題。
除了評估每個 Proxy 目前的風險之外,風險評估還可用於監控 API 的安全防護機制隨時間變化。評估分數的波動可能表示 API 行為經常變更,包括在沒有必要安全性政策的情況下部署 Proxy、透過流程掛鉤部署和 FlowCallout 政策新增共用流程修改,以及在環境或 Proxy 部署中變更目標伺服器。
您可以透過 Apigee UI (如本頁所述) 或 安全性分數和設定檔 API 存取風險評估。
如要瞭解執行風險評估工作所需的角色,請參閱「 風險評估的必要角色」。
如要使用這項功能,您必須啟用加購項目。如果您是訂閱客戶,可以為機構啟用外掛程式。詳情請參閱「 為訂閱機構管理進階 API 安全性」。如果您是預付費客戶,可以在符合資格的環境中啟用外掛程式。詳情請參閱「 管理進階 API 安全性外掛程式」。
風險評估 v1 和 v2
風險評估有兩個版本:風險評估第 1 版 (正式發布) 和 風險評估第 2 版 (預先發布)。如要使用這兩種版本,必須安裝進階 API 安全性外掛程式。
v1 和 v2 的主要功能差異如下:
- v2 包含:
- 可靠性提升,包括使用最新代理資料加快分數計算
- 不必先將安全性設定檔附加至環境,即可計算分數
- 以 0% 到 100% 的比例簡化分數呈現方式
- 評估檢查權重,v1 不支援。請參閱風險評估概念和評分。
- 相較於 v1,這項評估會在計算分數時檢查更多政策。舉例來說,第 1 版支援五項授權和驗證相關政策,第 2 版則支援八項。此外,第 2 版包含「流量管理」類別,其中包含相關政策,並在政策中執行額外檢查,包括
continueOnError屬性。 - 檢查巢狀共用流程和流程掛鉤,最多五個巢狀層級。v1 不會評估透過共用流程鏈結所納入的政策。
- 將目標分數 (目標伺服器分數) 替換為以 Proxy 為基礎的評估和建議。如果在 Proxy 中使用 Target,該 Proxy 的安全性分數也會包含 Target 伺服器的分數。
- 使用新 v2 評估檢查的自訂設定檔,以及
google-default系統設定檔。 - 使用 Cloud Monitoring 監控安全性分數和指標,並使用 Cloud Monitoring 快訊設定快訊。
- v2 不支援根據濫用流量進行來源評估。
風險評估 v2
本節說明風險評估第 2 版,也就是風險評估的新版本。部分風險評估概念和行為在 v1 和 v2 之間有所不同。如要搭配風險評估 v1 使用,請改為參閱 風險評估 v1。
風險評估 v2 概念和評分方法
風險評估安全性分數會根據安全性評估的分數和安全性設定檔中的權重,評估 API 的安全風險。
風險評估分數的計算方式如下:
- 評估和評估檢查:針對代理程式執行的個別檢查,以及評估哪些代理程式。每項檢查項目也有權重,可在評估代理程式時,為檢查項目提供較高或較低的權重。每項檢查的權重都設為次要、中等或主要。每個權重都有一個點數值,用於計算分數:
- 次要:1
- 中:5
- 主要:15
- 安全性設定檔:一系列評估檢查,用於評估環境中已部署的 Proxy。
- 安全分數:根據安全設定檔評估後,代理伺服器的分數。
分數值介於 0% 到 100%。100% 表示 Proxy 完全符合評估標準,且根據評估檢查結果,未發現任何風險。
安全分數基本上是將通過評估檢查後獲得的所有分數加總,再除以設定檔中的總分數。分數是加權平均值,因此安全設定檔的政策越多,每項評估檢查對安全分數的影響就越小。
評估檢查權重也會影響安全分數。權重越高,對計算的影響就越大,權重越低,影響就越小,請使用每個權重的點值。如果安全設定檔中的所有評估檢查權重相同 (例如,所有評估檢查的權重都為中等),則安全分數會以一般平均值計算。 - 嚴重程度:每個評估的 Proxy 的嚴重程度值,取決於安全分數。 潛在嚴重程度值為高 (0-50%)、中 (51-90%)、低 (91-99%) 和最低 (100%/根據指派的安全性設定檔評估結果,未發現任何風險)。
評估類別和檢查
下表列出可納入安全性設定檔的評估類別和個別檢查項目。並提供建議,說明如何解決各項評估項目的失敗問題。
| 評估類別 | 說明 | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 驗證 | 在本例中,「Auth」代表授權和驗證。驗證評估會檢查您是否已設立授權和驗證政策,以及驗證政策的 continueOnError 屬性是否設為 false。
|
|||||||||||||||||||||||||||||||||
| CORS | 檢查 AssignMessage 政策中是否有 CORS 政策或 CORS 標頭。
|
|||||||||||||||||||||||||||||||||
| 中介服務 | 檢查是否已啟用中介服務政策。
|
|||||||||||||||||||||||||||||||||
| 目標 | 檢查是否使用目標伺服器保護措施。如要瞭解目標伺服器設定,請參閱「跨後端伺服器負載平衡」。
|
|||||||||||||||||||||||||||||||||
| 威脅 | 檢查是否已使用威脅防護政策。
|
|||||||||||||||||||||||||||||||||
| 流量 | 檢查是否已設定流量管理政策。
|
政策附件和 Proxy 安全性分數
對於 Proxy 評估,安全性分數會根據您使用的政策計算。這些政策的評估方式取決於是否已附加至流程,以及附加方式:
- 只有附加至流程的政策 (前置流程、條件式流程、Proxy 中的後置流程或共用流程) 會影響分數。未連結至任何流量的政策不會影響分數。
- Proxy 分數會考量 Proxy 透過流程掛鉤和 Proxy 中的 FlowCallout 政策呼叫的共用流程,前提是 FlowCallout 政策已附加至流程。不過,如果 FlowCallout 未連結至流程,則其所連結的共用流程中的政策不會影響安全性分數。
- 連結的共用流程最多可評估五個層級。任何直接納入 Proxy 和前五個共用資料流層級的政策,都會計入安全性分數。
- 對於附加至條件式流程的政策,安全性分數只會考量政策是否存在,不會考量政策是否在執行階段強制執行,也不會考量執行方式。
安全性設定檔 v2
安全性設定檔是一組安全性評估和權重,用於評估 API 代理程式。您可以使用 Apigee 的預設安全性設定檔 (稱為 google-default),也可以建立自訂安全性設定檔,只包含您要評估的安全性類別和權重。
使用安全性設定檔或建立自訂安全性設定檔時,請注意,類別中的多項評估檢查項目會個別評估。
舉例來說,如果安全設定檔中有三項驗證政策檢查,而評估的 Proxy 包含其中之一,評估分數就會將找到的政策計入滿分,而未找到的其他兩項政策則計為零分。在這個例子中,即使評估的 Proxy 包含驗證政策,仍無法獲得驗證政策檢查的滿分。請注意,在這種情況下,請謹慎解讀安全分數和設計安全設定檔。
預設安全性設定檔
Advanced API Security 提供預設安全性設定檔,其中包含所有評估項目。使用預設設定檔時,安全性分數會根據所有類別計算。
您無法編輯或刪除預設安全性設定檔 google-default。
自訂安全性設定檔
您可以建立自訂安全性設定檔,只包含所選的評估檢查和權重,以便評估代理程式。如需透過 Apigee UI 建立及使用自訂安全性設定檔的操作說明,請參閱「在 Apigee UI 中管理自訂設定檔」。
自訂安全性設定檔:
- 系統會列出設定檔名稱 (又稱為設定檔 ID),這項資訊為必填項目,名稱必須介於 1 至 63 個半形字元之間,可使用小寫英文字母、0 到 9 的數字或連字號。開頭須為小寫英文字母,最後一個字元必須是小寫英文字母或數字。自訂安全性設定檔的名稱不得重複,且不得與現有設定檔重複。
- 個人資料說明為選填項目,長度不得超過 1,000 個半形字元。
監控條件和快訊
進階 API 安全性功能可讓您在風險評估中加入監控條件。建立監控條件後,風險評估會將安全分數指標發布至 Cloud Monitoring。雲端監控可針對根據安全性設定檔評估的 Proxy,追蹤安全性分數的變化。
如要使用監控條件,請按照下列步驟操作:
- 熟悉 Cloud Monitoring 功能。
- 請確認您具備管理監控條件的必要角色或權限。請參閱風險評估的必要角色。
- 使用 Apigee UI 或 API 建立及管理監控條件。請參閱「在 Apigee UI 中管理監控條件和警示」和「在 API 中管理監控條件」。
建立監控條件後,您可以使用 Cloud Monitoring 快訊,針對條件指標設定監控快訊。
如要透過 Apigee UI 建立監控快訊,請參閱「在 Apigee UI 中管理監控條件和快訊」。如要瞭解進階 API 安全性中的快訊,以及如何管理監控快訊,請參閱「安全性快訊」。
風險評估 2.0 版的限制和已知問題
安全性評分有下列限制和已知問題:
- 只有在環境中部署了 Proxy 時,系統才會產生安全性分數。
- 新部署的 Proxy 和新啟用的機構和環境不會立即顯示分數。如需相關資訊,請參閱「資料延遲」一文。
- 每個機構最多可建立 100 個自訂設定檔。
- 目前不支援通知新評估計算結果和分數。
- 範圍和安全性設定檔組合只能有一個監控條件。如果設定檔已是所選範圍現有監控條件的一部分,系統會顯示警告訊息,並防止建立新條件。
- 系統只會監控已部署的 Proxy。如果監控條件中包含的 Proxy 未部署,則不會受到監控,也不會在監控條件詳細資料中顯示為受監控。重新部署時,系統會自動監控 Proxy,並在監控條件詳細資料中顯示監控狀態。
- 每個機構最多可建立 1,000 個安全監控條件。
- 安全監控條件追蹤的新分數,最多可能需要 5 分鐘才會顯示在 Cloud Monitoring 中。
- 安全分數會在 Cloud Monitoring 中顯示最多 6 週。請參閱「資料保留」一文。
資料延遲
進階 API 安全性分數的資料有以下處理時限,結果才會顯示:
- 當您首次在機構中啟用 Advanced API Security 時,系統需要一段時間才能將現有 Proxy 和目標的分數反映在環境中。一般來說,訂閱型機構需要 30 到 90 分鐘,而即付即用型機構則需要更短的時間。
- 在環境中,與 proxy (部署和取消部署) 和目標 (建立、更新、刪除) 相關的新事件,需要至少 60 秒 (對於非常大型的環境,最多 5 分鐘) 才能反映在環境分數中。
在 Apigee UI 中查看風險評估
「風險評估」頁面會顯示評分,用於評估 API 在各個環境中的安全性。
如何開啟「風險評估」頁面:
- 開啟 Cloud 控制台中的 Apigee UI。
- 依序選取「進階 API 安全性」>「風險評估」。
系統會顯示「風險評估」頁面:
這個頁面包含以下部分:
- 環境:選取要查看評估項目的環境。
- 安全性設定檔:選取預設設定檔 (
google-default) 或自訂設定檔 (如有)。如要瞭解安全性設定檔,請參閱「安全性設定檔」。 - 依嚴重性部署 Proxy:設定環境後,這個頁面會顯示該環境中所有 Proxy 的嚴重性摘要。請參閱風險評估概念和評分。
- 評估詳細資料:顯示所選環境的安全性設定檔、評估日期和時間、總評估設定和總部署的 Proxy。評估的設定總數反映執行的「檢查」總數。這個計數可能會高於設定檔中的評估數量;某些評估 (例如驗證「continueOnError」屬性是否設為
false) 也會檢查相關政策是否已建立且已啟用。 - 已部署的 Proxy:環境中已部署的 Proxy 摘要,以及其風險評估分數:
- Proxy:Proxy 名稱。
- 嚴重性:代理程式的風險評估嚴重性。詳情請參閱安全性分數和嚴重程度。
- 分數:代理程式風險評估分數。詳情請參閱風險評估概念和評分方式。
- 修訂版本:評分依據的代理程式修訂版本。
- 依權重分組的失敗評估數量:依評估權重分組的失敗評估數量。
- 最佳化建議:針對改善代理程式分數提供的具體最佳化建議。按一下數字即可查看建議。
在 Apigee UI 中管理自訂設定檔
本節將說明如何使用 Apigee UI 查看、建立、編輯及刪除自訂設定檔。請注意「安全性分數的限制」一節中列出的自訂設定檔限制。
建立及編輯自訂設定檔
在「風險評估」畫面中,選取「安全性設定檔」分頁標籤。如要編輯現有設定檔,請按一下設定檔名稱查看設定檔詳細資料,然後點選「編輯」。或者,您也可以在該設定檔的資料列中,從「動作」選單中選取「編輯」。
如要建立新的自訂設定檔,請按一下安全設定檔清單中的「+ 建立」。
建立或編輯自訂設定檔時,您可以設定下列值:
- 名稱:安全性設定檔的名稱。請確認此名稱在專案中不重複。
- 說明:(選填)。安全性設定檔的說明。
- 評估檢查和評估權重:一或多項評估檢查,用於評估代理資料,並為每項評估設定權重。如需可用評估檢查項目的清單,請參閱「風險評估概念和評分」。如要為設定檔新增其他評估檢查和權重,請按一下「+ 新增」。如要刪除檢查/權重組合,請按一下該組合所在列中的垃圾桶圖示。
重複的商家檔案
如要複製現有設定檔 (建立新的自訂設定檔),請在該設定檔所在的資料列中,從「動作」選單中選取「複製」,或點選設定檔清單中的設定檔名稱來查看設定檔中繼資料,然後點選「複製」。
新自訂設定檔的名稱不得與複製的設定檔相同。如要瞭解安全性設定檔的命名規定,請參閱「自訂安全性設定檔」。
刪除自訂設定檔
如要刪除現有的自訂設定檔,請在該設定檔所在的列中,從「動作」選單中選取「刪除」,或是按一下設定檔清單中的設定檔名稱來查看設定檔中繼資料,然後按一下「刪除」。
請注意,您無法刪除預設系統設定檔 (google-default)。
刪除自訂設定檔後,系統會立即生效,並移除對該設定檔評估代理伺服器或查看先前對該自訂設定檔評估的功能。
透過 Apigee UI 管理監控條件和快訊
本節說明如何使用 Apigee UI 查看、建立、編輯及刪除監控條件,以及建立監控快訊。如要瞭解這項功能,請參閱「監控條件和快訊」。
首先,請在 Apigee UI 中查看風險評估結果,然後選取「監控條件」分頁標籤。
查看、建立及編輯監控條件
主頁面會列出所有現有的監控條件。如要查看現有監控條件的詳細資料,請按一下該監控條件列中的「監控的 Proxy/總部署數量」值。如要編輯現有條件,請在該監控條件的資料列中,從「動作」選單中選取「編輯」。如要建立新的監控條件,請按一下結果清單上方的「+ 建立監控條件」。
監控條件包括下列設定:
- 環境:監控條件建立的環境。建立監控條件後即無法編輯。
- 安全性設定檔/設定檔:評估的安全性設定檔。
- 條件:是否要從環境中
Include all或Include指定 Proxy。如果選取Include,請勾選每個 Proxy 名稱旁邊的核取方塊,選取要納入的 Proxy。
查看監控指標
在 Cloud Monitoring 中查看監控條件的指標。如要查看指標,請在監控條件資料列中按一下「查看」。
刪除監控條件
如要刪除現有的監控條件,請在監控條件列的「動作」選單中,選取「刪除」,然後確認。
系統會稍微延遲一段時間,才會停止發布 Cloud Monitoring 指標。
建立監控快訊
如要建立新的監控快訊,請在監控條件列的「動作」選單中,選取「建立監控快訊」。這項操作會將您導向 Google Cloud 控制台的 Cloud Monitoring 快訊頁面,並根據監視條件預先填入部分值。詳情請參閱「安全警示」。
風險評估 v1
本節將說明風險評估 v1。如要瞭解風險評估第 2 版,請改為參閱「風險評估第 2 版」一文。
安全性分數
安全性分數可評估 API 的安全性,以及其安全防護機制隨時間的變化。舉例來說,分數波動幅度過大可能表示 API 行為經常變動,這可能不是理想的情況。環境變更可能導致分數下降,包括:
- 在未部署必要安全性政策的情況下,部署許多 API Proxy。
- 惡意來源的濫用流量突然暴增。
觀察安全分數隨時間的變化,可有效判斷環境中是否有任何不當或可疑的活動。
系統會根據安全性設定檔計算安全分數,該設定檔會指定要評估的分數安全性類別。您可以使用 Apigee 的預設安全性設定檔,也可以建立自訂安全性設定檔,只包含對您最重要的安全性類別。
安全性分數評估類型
有三種評估類型會影響 Advanced API Security 計算的整體安全分數:
來源評估:使用 Advanced API Security 的偵測規則評估偵測到的濫用流量。「濫用」是指傳送至 API 的要求,其目的並非 API 的預期用途。
- 代理評估:評估代理伺服器在下列各個領域中導入各種安全性政策的程度:
- 中介服務:請確認是否已為環境中的所有 Proxy 設定下列任一中介服務政策:OASValidation 或 SOAPMessageValidation。
- 安全性:
- 授權:檢查是否為環境中的所有 Proxy 設定下列任一授權政策:
- CORS:檢查是否已設定 CORS。
- 威脅:檢查是否已為環境中的所有 Proxy 設定下列任一政策: XMLThreatProtection 或 JSONThreatProtection。
詳情請參閱「政策如何影響 Proxy 安全性分數」。
- 目標評估:檢查是否已在環境中使用目標伺服器設定雙向傳輸層安全標準 (mTLS)。
系統會為每種評估類型指派專屬的分數。整體分數是個別評估類型的分數平均值。
政策對 Proxy 安全性分數的影響
對於 Proxy 評估,安全性分數會根據您使用的政策計算。這些政策的評估方式取決於是否已附加至流程,以及附加方式:
- 只有附加至流程的政策 (前置流程、條件式流程、Proxy 中的後置流程或共用流程) 會影響分數。未附加至任何流量的政策不會影響分數。
- Proxy 分數會考量 Proxy 透過流程掛鉤和 Proxy 中的 FlowCallout 政策呼叫的共用流程,前提是 FlowCallout 政策已附加至流程。不過,如果 FlowCallout 未附加至流程,則其連結共用流程的政策不會影響安全性分數。
- 不支援共用流程鏈結。計算安全性評分時,系統不會評估透過共用流程鏈結加入的政策。
- 對於附加至條件式流程的政策,安全性分數只會考量政策是否存在,不會考量在執行階段是否或如何強制執行政策。
安全性設定檔
安全性設定檔是一組安全性類別 (詳見下文),您可以根據這些類別為 API 評分。設定檔可包含安全性類別的任何子集。如要查看環境的安全性分數,您必須先將安全性設定檔附加至環境。您可以使用 Apigee 的預設安全性設定檔,也可以建立自訂安全性設定檔,只包含您重視的安全性類別。
預設安全性設定檔
Advanced API Security 提供預設安全性設定檔,其中包含所有安全性類別。如果您使用預設設定檔,安全性分數會根據所有類別計算。
自訂安全性設定檔
自訂安全性設定檔可讓您只根據要納入安全性評分的安全性類別計算安全性評分。請參閱「建立及編輯安全性設定檔」,瞭解如何建立自訂設定檔。
安全性類別
安全分數是根據下列安全性類別的評估結果計算而得。
| 類別 | 說明 | 建議 |
|---|---|---|
| 濫用行為 | 檢查是否有濫用行為,包括任何傳送至 API 的請求,但目的並非 API 的預期用途,例如大量要求、資料擷取和授權相關濫用行為。 | 請參閱濫用行為建議 |
| 授權 | 檢查是否已設定授權政策。 | 將下列任一政策新增至 Proxy: |
| CORS | 檢查是否已設定 CORS 政策。 | 在 Proxy 中新增 CORS 政策。 |
| MTLS | 檢查是否已為目標伺服器設定 mTLS (雙向傳輸層安全標準)。 | 請參閱 目標伺服器 mTLS 設定。 |
| 中介服務 | 檢查您是否已設立中介服務政策。 | 在 Proxy 中加入下列任一政策: |
| 威脅 | 檢查是否已啟用威脅防護政策。 | 在 Proxy 中加入下列任一政策: |
安全性分數 v1 的限制
安全性評分有下列限制:
- 每個機構最多可建立 100 個自訂設定檔。
- 只有在環境中含有 Proxy、目標伺服器和流量時,系統才會產生安全性分數。
- 新部署的 Proxy 不會立即顯示分數。
資料延遲
由於資料處理方式的關係,Advanced API Security 安全性分數的資料會出現以下延遲:
- 在機構中啟用 Advanced API Security 後,最多可能需要 6 小時,環境才會顯示現有 Proxy 和目標的分數。
- 在環境中,與代理程式 (部署和取消部署) 和目標 (建立、更新、刪除) 相關的新事件,最多可能需要 6 小時才會反映在環境的分數中。
- 資料流入 Apigee Analytics 管道的延遲時間平均為 15 到 20 分鐘。因此,濫用行為資料的來源評分處理時間約為 15 到 20 分鐘。
開啟「風險評估」頁面
「風險評估」頁面會顯示評分,用於評估 API 在各個環境中的安全性。
風險評估頁面可能需要幾分鐘才能載入。在流量量大且有大量 Proxy 和目標的環境中,網頁的載入時間會拉長。
Cloud 控制台中的 Apigee
如何開啟「風險評估」頁面:
- 開啟 Cloud 控制台中的 Apigee UI。
- 依序選取「進階 API 安全性」>「風險評估」。
系統隨即會顯示「風險評估」頁面:
這個頁面有兩個分頁,請參閱以下各節的說明:
- 安全性分數:查看安全性分數。
- 安全性設定檔:查看、建立及編輯安全性設定檔。
查看安全性分數
如要查看安全性分數,請按一下「安全性分數」分頁標籤。
請注意,除非您已附加安全性設定檔 (如將安全性設定檔附加至環境所述),否則系統不會為環境計算分數。Apigee 提供預設安全性政策,您也可以建立自訂設定檔,詳情請參閱「建立及編輯安全性設定檔」一文。
「安全性評分」表格會顯示下列資料欄:
- 環境:計算分數的環境。
- 風險等級:環境風險等級,可分為低、中或高。
- 安全分數:環境的總分 (滿分 1200 分)。
- 最佳化建議總數:提供的最佳化建議數量。
- Profile:已附加的安全性設定檔名稱。
- 上次更新時間:安全性評分上次更新的日期。
- 動作:按一下環境列中的三點選單,執行下列動作:
- 附加設定檔:將安全性設定檔附加至環境。
- 卸離設定檔:從環境中卸離安全性設定檔。
將安全性設定檔附加至環境
如要查看環境的安全性評分,您必須先將安全性設定檔附加至環境,如下所示:
- 在「動作」下方,按一下環境列中的三點選單。
- 按一下「附加設定檔」。
- 在「Attach Profile」對話方塊中:
- 按一下「Profile」欄位,然後選取要附加的設定檔。如果您尚未建立自訂安全性設定檔,唯一可用的設定檔就是「預設」。
- 按一下「指派」。
當您將安全性設定檔附加至環境時,Advanced API Security 會立即開始評估並評分。請注意,分數可能需要幾分鐘才會顯示。
整體分數是根據以下三種評估類型的個別分數計算得出:
- 來源評估
- 代理評估
- 目標評估
請注意,所有分數都在 200 到 1200 之間。評估分數越高,安全風險就越低。
查看分數
將安全性設定檔附加至環境後,您就能在環境中查看分數和建議。方法是按一下主「安全性評分」頁面中的環境列。這會顯示環境的分數,如下所示:
這個檢視畫面會顯示四個分頁:
總覽
「總覽」分頁會顯示下列資訊:
- 每項評估的重點摘要:
- Proxy:顯示環境中代理程式的首要建議。按一下「Edit Proxy」開啟 Apigee Proxy Editor,您可以在其中導入建議。
- 目標:顯示環境中目標的首要最佳化建議。按一下「View Target Servers」,即可在 Apigee UI 的「Management」>「Environments」頁面中開啟「Target Servers」分頁。
- 來源:顯示偵測到的濫用流量。按一下「Detected Traffic」,即可在「Abuse detection」頁面中查看「Detected traffic」分頁。
- 來源評估、代理評估和目標評估的摘要,包括:
- 每種評估類型的最新分數。
- 「Source Assessment」窗格會顯示偵測到的濫用流量和 IP 位址數量。
- 「Proxy Assessment」和「Target Assessment」窗格會顯示這些評估的風險等級。
- 在任何摘要窗格中按一下「查看評估詳細資料」,即可查看該評估類型的詳細資料:
- 評估記錄:顯示環境在最近一段時間 (可選擇 3 天或 7 天) 的每日總分數圖表。根據預設,圖表會顯示 3 天的資料。圖表也會顯示同一期間的平均總分。
請注意,只有在有可評估的項目時,系統才會計算評估類型的分數。舉例來說,如果沒有指定伺服器,系統就不會回報目標的分數。
來源評估
按一下「Source Assessment」分頁標籤,查看環境的評估詳細資料。
按一下「評估詳細資料」右側的展開圖示,即可查看來源評估在最近一段時間 (可選擇 3 天或 7 天) 的圖表。
「來源」窗格會顯示表格,其中包含下列資訊:
- 類別:評估的類別。
- 風險等級:類別的風險等級。
- 安全性分數:濫用行為類別的安全性分數。
- Recommendations:類別的推薦內容數量。
來源詳細資料
「來源詳細資料」窗格會顯示環境中偵測到的濫用流量詳細資料,包括:
- 流量詳細資料:
- 偵測到的流量:從已偵測為濫用來源的 IP 位址發出的 API 呼叫數量。
- 總流量:已發出的 API 呼叫總數。
- 偵測到的 IP 位址數量:偵測到濫用行為來源的 IP 位址數量。
- 觀察開始時間 (世界標準時間):觀察期間 (監控流量期間) 的開始時間,以世界標準時間表示。
- 觀察結束時間 (世界標準時間):觀察期間 (監控流量期間) 的結束時間 (以世界標準時間計算)。
- 評估日期:評估的日期和時間。
- 改善分數的建議。如要進一步瞭解如何處理濫用流量,請參閱「濫用行為最佳化建議」。
如要建立安全性動作來處理來源評估所提出的問題,請按一下「建立安全性動作」按鈕。
代理評估
API Proxy 評估會為環境中的所有 Proxy 計算分數。如要查看 Proxy Assessment,請按一下「Proxy Assessment」分頁標籤:
「Proxy」窗格會顯示表格,其中包含下列資訊:
- Proxy:評估的 Proxy。
- 風險等級:Proxy 的風險等級。
- 安全性分數:Proxy 的安全性分數。
- 需要處理:評估類別,必須解決才能改善委任帳戶的分數。
- Recommendations:Proxy 的最佳化建議數量。
按一下表格中的 Proxy 名稱,即可開啟 Proxy 編輯器,在其中進行 Proxy 的建議變更。
Proxy 建議
如果某個 Proxy 分數偏低,您可以在「Recommendations」窗格中查看改善分數的建議。如要查看 Proxy 的最佳化建議,請在「Proxy」窗格中,按一下 Proxy 的「Needs attention」欄。
系統會顯示「Recommendations」窗格:
- 評估日期:評估的日期和時間。
- 改善分數的建議。
目標評估
目標評估會為環境中的每個目標伺服器計算相互傳輸層安全性 (mTLS) 分數。目標分數的分配方式如下:
- 沒有 TLS:200
- 單向 TLS 存在:900
- 使用雙向或 mTLS:1200
如要查看目標評估結果,請按一下「目標評估」分頁:
「Target」窗格會顯示下列資訊:
- Target:目標名稱。
- 風險等級:目標的風險等級。
- 安全性分數:目標的安全性分數。
- 需要處理:評估類別,必須解決才能提高目標分數。
- Recommendations:指定目標的推薦內容數量。
按一下表格中的目標名稱,即可在 Apigee UI 的「管理 > 環境」頁面中開啟「Target Servers」分頁,並將建議的動作套用至目標。
指定目標建議
如果目標伺服器的分數偏低,您可以在「建議」窗格中查看改善分數的建議。如要查看目標的最佳化建議,請在「目標」窗格中,按一下目標的「需要處理」欄。
系統會顯示「Recommendations」窗格:
- 評估日期:評估的日期和時間。
- 改善分數的建議。
建立及編輯安全性設定檔
「安全性設定檔」分頁會顯示安全性設定檔清單,其中包含下列資訊:
- 名稱:設定檔的名稱。
- 類別:設定檔中包含的安全性類別。
- 說明:設定檔的說明 (選填)。
- 環境:設定檔連結的環境。如果這個欄留空,表示設定檔未附加至任何環境。
- 上次更新時間 (世界標準時間):上次更新個人資料的日期和時間。
- 動作:選單,包含下列項目:
查看安全性設定檔的詳細資料
如要查看安全性設定檔的詳細資料,請按一下該設定檔資料列中的名稱。系統會顯示設定檔的詳細資料,如下所示。
「Details」分頁的第一列會顯示「Revision ID」:設定檔的最新修訂版本編號。編輯設定檔並變更其安全性類別時,修訂 ID 會增加 1。不過,只要變更設定檔的說明,修訂版本 ID 就不會增加。
下方列會顯示「安全性設定檔」分頁中,所選設定檔所在列中顯示的相同資訊。
設定檔詳細資料檢視畫面中還有兩個按鈕,分別標示為「編輯」和「刪除」,可用來編輯或刪除安全性設定檔。
歷史記錄
如要查看設定檔的記錄,請按一下「記錄」分頁標籤。這會顯示設定檔的所有修訂版本清單。每個修訂版本的清單會顯示:
- 修訂版本 ID:修訂版本編號。
- 類別:設定檔修訂版本中包含的安全性類別。
- 上次更新時間 (世界標準時間):修訂版本建立的日期和時間 (以世界標準時間為準)。
建立自訂安全性設定檔
如要建立新的自訂安全性設定檔,請按照下列步驟操作:
- 按一下頁面頂端的「建立」。
- 在隨即開啟的對話方塊中,輸入以下資訊:
- 名稱:設定檔的名稱。名稱必須由 1 至 63 個小寫英文字母、數字或連字號組成,且開頭必須為英文字母,結尾則須為英文字母或數字。名稱不得與任何現有設定檔的名稱相同。
- (選用) 說明:設定檔的說明。
- 在「類別」欄位中,選取要納入設定檔的評估類別。
編輯自訂安全性設定檔
如要編輯自訂安全性設定檔,請按照下列步驟操作:
- 在安全性設定檔列的結尾,按一下「動作」選單。
- 選取 [編輯]。
- 在「編輯安全性設定檔」頁面中,您可以變更:
- 說明:安全性設定檔的選用說明。
- 類別:為設定檔選取的安全性類別。點選下拉式選單,然後在選單中選取或取消選取所選類別,即可變更所選類別。
- 按一下 [確定]。
刪除自訂安全性設定檔
如要刪除安全性設定檔,請按一下該設定檔列結尾處的「動作」,然後選取「刪除」。請注意,刪除設定檔也會將其從所有環境中分離。
傳統版 Apigee UI
如何開啟「安全性分數」檢視畫面:
- 開啟傳統版 Apigee UI。
- 依序選取「Analyze」>「API Security」>「Security Scores」。
這會顯示「安全性分數」檢視畫面:
請注意,您必須先為環境附加安全性設定檔,系統才會為該環境計算分數。Apigee 提供預設安全性政策,您也可以使用 Apigee API 建立自訂設定檔。詳情請參閱「使用自訂安全性設定檔」。
在上圖中,系統並未將任何安全性設定檔附加至 integration 環境,因此該環境的「Profile Name」欄會顯示「Not set」。
「安全性評分」表格會顯示下列資料欄:
- 環境:計算分數的環境。
- 最新分數:環境的最新總分 (滿分 1200 分)。
- 風險等級:風險等級,可分為低、中或高。
- 最佳化建議總數:提供的最佳化建議數量。每項最佳化建議都對應至「需要注意」表格中的一列。
- 設定檔名稱:安全性設定檔的名稱。
- 評估日期:最近一次計算安全分數的日期。
將安全性設定檔附加至環境
如要查看環境的安全性評分,您必須先將安全性設定檔附加至環境,如下所示:
- 在「動作」下方,按一下環境列中的三點選單。
- 按一下「附加設定檔」。
- 在「Attach Profile」對話方塊中:
- 按一下「Profile」欄位,然後選取要附加的設定檔。如果您尚未建立自訂安全性設定檔,唯一可用的設定檔就是「預設」。
- 按一下「指派」。
當您將安全性設定檔附加至環境時,Advanced API Security 會立即開始評估並評分。請注意,分數可能需要幾分鐘才會顯示。
下圖顯示「安全性分數」檢視畫面,其中包含已附加預設安全性設定檔的環境:
環境的資料列現在會顯示最新的安全性評分、風險等級、建議採取的安全性動作數量,以及評分的評估日期。
整體分數是根據以下三種評估類型的個別分數計算得出:
- 來源評估
- 代理評估
- 目標評估
請注意,所有分數都在 200 到 1200 之間。分數越高,安全性評估結果就越好。
查看分數
將安全性設定檔附加至環境後,您就能在環境中查看分數和建議。如要這樣做,請在主要的「安全分數」檢視畫面中,按一下環境的資料列。這會顯示環境的分數,如下所示:
這個檢視畫面會顯示:
- 來源、Proxy 和目標 的最新分數。 在任一窗格中按一下「查看評估詳細資料」,即可查看該類型的評估。
- 「環境分數記錄」:會顯示過去 5 天內環境的每日總分數圖表,以及同一期間的平均總分數。
- 「需要注意」表格:列出可改善 API 安全性的評估類型。
請注意,只有在有可評估的項目時,系統才會計算評估類型的分數。舉例來說,如果沒有指定伺服器,系統就不會回報目標的分數。
以下各節說明如何查看各類型評估:
「需要處理」資料表
如上所示,「需要處理」表格會列出分數低於 1200 的 API 類別,以及:
- 類別的最新分數
- 類別的風險等級,可分為低、中或高
- 評估日期
- 評估類型
查看建議
針對表格中的每一列,進階 API 安全性會提供改善分數的最佳化建議。您可以查看各類型 (「來源」、「Proxy」或「目標」) 的評估詳細資料檢視畫面中的最佳化建議,如以下各節所述:
您可以透過下列任一方式開啟「評估詳細資料」檢視畫面:
- 在主要的「安全分數」檢視畫面中,按一下任一窗格中的「查看評估詳細資料」。
- 在「需要處理」表格中:
- 展開表格中的類別群組:
- 按一下要查看推薦內容的類別。系統會開啟與建議相符的評估詳細資料檢視畫面。
- 展開表格中的類別群組:
來源評估
來源評估會計算環境的濫用分數。「濫用」是指傳送至 API 的要求,其用途並非 API 的預期用途。
如要查看來源評估結果,請按一下「來源」窗格中的「查看」,開啟「API 來源評估」檢視畫面:
「來源分數記錄」會顯示過去 5 天的分數,以及平均分數和最新分數。「評估詳細資料」表格會顯示評估類別的最新個別分數。
來源建議
如果某個類別的分數偏低,您可以查看改善建議。如要查看「濫用」類別的建議,請按一下「評估詳細資料」表格中的該列。這會在「Recommendations」窗格中顯示建議。
如要深入瞭解濫用行為的詳細資料,請按一下「查看詳細資料」。系統會在「濫用行為偵測」頁面中開啟「偵測到的流量」檢視畫面。「Detected Traffic」檢視畫面會顯示所偵測到的濫用行為詳細資訊。
「查看詳細資料」行下方會顯示「最佳化建議」窗格:
- 系統會顯示建議:「封鎖或允許濫用偵測功能識別的流量」。
- 「動作」列會顯示 濫用行為建議說明文件的連結。
代理評估
API Proxy 評估會為環境中的所有 Proxy 計算分數。如要查看 Proxy 評估結果,請按一下「Proxy」窗格中的「View」,開啟「API Proxy Assessment」檢視畫面:
「Proxy Score History」會顯示過去 5 天的分數,以及平均分數和最新分數。「評量詳細資料」表格會顯示評量類別的最新個別分數。
Proxy 建議
如果某個 Proxy 的分數偏低,您可以查看改善分數的建議。舉例來說,如要查看 hellooauth2 委派作業的最佳化建議,請按一下評估詳細資料表中的該列。這會在「Recommendations」窗格中顯示建議內容。以下列舉其中兩個。
目標評估
目標評估會為環境中的每個目標伺服器計算 mTLS 分數。目標分數的分配方式如下:
- 沒有 TLS:200
- 單向 TLS 存在:900
- 使用雙向或 mTLS:1200
如要查看目標評估結果,請按一下「目標」窗格中的「查看」,開啟「API 目標評估」檢視畫面:
「目標分數記錄」會顯示過去 5 天的分數,以及平均分數和最新分數。「評量詳細資料」表格會顯示評量類別的最新個別分數。
指定目標建議
如果目標伺服器的分數偏低,您可以查看改善分數的建議。如要查看目標伺服器的評估結果,請按一下該伺服器的資料列。這會在「Recommendations」窗格中顯示建議。
濫用行為建議
如果來源分數偏低,Apigee 建議您查看偵測到濫用行為的 IP 位址。接著,如果您認為這些 IP 位址的流量是濫用行為,請使用「安全性動作」頁面,封鎖濫用流量來源 IP 位址的請求。
如要進一步瞭解濫用行為,請參閱下列任一資源:
- 「濫用行為偵測」頁面:顯示涉及濫用流量的安全事件相關資訊。
- 「安全性報告」頁面。
舉例來說,您可以建立下列報表:
- 機器人的 IP 位址,請參閱 「範例:機器人 IP 位址報表」一文。
- 如 這篇文章所述,依 bot_reason 分類的機器人流量。