Ringkasan dan UI penilaian risiko

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Ringkasan

Penilaian risiko Advanced API Security terus mengevaluasi konfigurasi proxy API dan menghitung skor keamanan untuk membantu mengidentifikasi dan mengatasi kerentanan di API Anda.

Penilaian risiko membantu Anda:

  • Terapkan standar keamanan yang konsisten di semua API.
  • Mendeteksi kesalahan konfigurasi dalam penyiapan API.
  • Tingkatkan skor keamanan keseluruhan Anda dengan tindakan yang direkomendasikan.
  • Selidiki dan selesaikan masalah keamanan dengan cepat melalui dasbor terpusat.

Selain menilai risiko saat ini dari setiap proxy, penilaian risiko dapat digunakan untuk memantau postur keamanan API Anda dari waktu ke waktu. Skor penilaian yang berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, termasuk proxy yang di-deploy tanpa kebijakan keamanan yang diperlukan, modifikasi alur bersama melalui deployment flow hook dan penambahan kebijakan FlowCallout, serta perubahan server target dalam deployment lingkungan atau proxy.

Anda dapat mengakses penilaian risiko melalui UI Apigee, seperti yang dijelaskan di halaman ini, atau melalui Security scores and profiles API.

Lihat Peran yang diperlukan untuk penilaian risiko untuk mengetahui peran yang diperlukan untuk melakukan tugas penilaian risiko.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Berlangganan untuk mengetahui detail selengkapnya. Jika Anda adalah pelanggan Pay-as-you-go, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk mengetahui informasi selengkapnya, lihat Mengelola add-on Keamanan API Lanjutan.

Penilaian Risiko v1 dan v2

Penilaian Risiko tersedia dalam dua versi: Penilaian Risiko v1, yang tersedia secara umum, dan Penilaian Risiko v2, yang dalam pratinjau. Penggunaan versi mana pun memerlukan add-on Keamanan API Lanjutan.

Perbedaan fitur utama antara v1 dan v2 adalah:

  • v2 mencakup:
    • Peningkatan keandalan, termasuk penghitungan skor yang lebih cepat dengan data proxy terbaru
    • Penghitungan skor tanpa perlu melampirkan profil keamanan ke lingkungan terlebih dahulu
    • Penyajian skor yang disederhanakan, berdasarkan skala 0% hingga 100%
    • Konsep bobot pemeriksaan penilaian, yang tidak didukung oleh v1. Lihat Konsep dan pemberian skor penilaian risiko.
    • Penilaian tambahan atas v1, yang memeriksa lebih banyak kebijakan saat menghitung skor. Misalnya, v1 mendukung lima kebijakan terkait otorisasi dan autentikasi, sedangkan v2 mendukung delapan kebijakan. Selain itu, v2 menyertakan kategori Pengelolaan Traffic dengan kebijakan terkait dan melakukan pemeriksaan tambahan dalam kebijakan, termasuk untuk atribut continueOnError.
    • Pemeriksaan alur bersama bertingkat dan hook alur hingga lima tingkat bertingkat. v1 tidak mengevaluasi kebijakan yang disertakan melalui rangkaian alur bersama.
    • Penggantian skor target (skor server target) dengan penilaian dan rekomendasi berbasis proxy. Jika Target digunakan di proxy, skor keamanan untuk proxy tersebut mencakup skor untuk Server Target juga.
    • Profil kustom menggunakan pemeriksaan penilaian v2 baru serta profil sistem google-default.
    • Memantau skor dan metrik keamanan dari waktu ke waktu menggunakan Cloud Monitoring dan menyiapkan pemberitahuan menggunakan pemberitahuan Cloud Monitoring.
  • v2 tidak mendukung penilaian sumber berdasarkan traffic yang melanggar.

Penilaian Risiko v2

Bagian ini menjelaskan Penilaian Risiko v2, versi baru Penilaian Risiko. Beberapa konsep dan perilaku Penilaian Risiko berbeda antara v1 dan v2. Untuk penggunaan dengan Penilaian Risiko v1, lihat Penilaian Risiko v1.

Konsep dan metodologi pemberian skor Penilaian Risiko v2

Skor keamanan penilaian risiko menilai risiko keamanan API Anda berdasarkan pemberian skor dan bobot penilaian keamanan dalam profil keamanan.

Skor penilaian risiko didasarkan pada:

  • Penilaian dan pemeriksaan penilaian: Pemeriksaan individual yang dilakukan terhadap proxy, dan proxy yang diberi skor. Setiap pemeriksaan juga memiliki bobot, yang memberikan signifikansi lebih atau kurang saat dinilai terhadap proxy. Bobot ditetapkan pada tingkat ringan, sedang, atau berat untuk setiap pemeriksaan. Setiap bobot memiliki nilai poin yang digunakan untuk menghitung skor:
    • Ringan: 1
    • Sedang: 5
    • Major: 15
  • Profil keamanan: Kumpulan pemeriksaan penilaian, yang digunakan untuk menilai proxy yang di-deploy di lingkungan.
  • Skor keamanan: Skor untuk proxy setelah penilaian terhadap profil keamanan.

    Skor adalah nilai antara 0% dan 100%. 100% menunjukkan bahwa proxy sepenuhnya mematuhi penilaian dan tidak ada risiko yang ditemukan berdasarkan pemeriksaan penilaian.

    Skor keamanan pada dasarnya adalah total semua poin yang diberikan untuk pemeriksaan penilaian yang lulus dibagi dengan total poin potensial dalam profil. Skor adalah rata-rata tertimbang, sehingga makin banyak kebijakan yang dimiliki profil keamanan, makin kecil dampak setiap pemeriksaan penilaian terhadap skor keamanan.

    Bobot pemeriksaan penilaian juga memengaruhi skor keamanan. Bobot yang lebih tinggi memiliki dampak yang lebih besar pada perhitungan dan bobot yang lebih rendah memiliki dampak yang lebih kecil, dengan menggunakan nilai poin untuk setiap bobot. Jika bobotnya sama untuk semua pemeriksaan penilaian dalam profil keamanan (seperti saat semua pemeriksaan penilaian memiliki bobot sedang), skor keamanan dihitung sebagai rata-rata reguler.

  • Keparahan: Nilai keparahan untuk setiap proxy yang dinilai, berdasarkan skor keamanan. Nilai potensi tingkat keparahan adalah tinggi (0-50%), sedang (51-90%), rendah (91-99%), dan minimal (100%/tidak ada risiko yang ditemukan berdasarkan penilaian dalam profil keamanan yang ditetapkan).

Kategori dan pemeriksaan penilaian

Tabel ini menunjukkan kategori penilaian dan pemeriksaan individual yang dapat menjadi bagian dari profil keamanan. Alat ini juga menampilkan rekomendasi tentang cara mengatasi penilaian yang gagal untuk setiap pelanggaran.

Kategori penilaian Deskripsi
Auth "Auth" berarti otorisasi dan autentikasi dalam hal ini. Penilaian otorisasi memeriksa untuk melihat apakah Anda memiliki kebijakan otorisasi dan autentikasi, serta apakah atribut continueOnError untuk kebijakan otorisasi ditetapkan ke false.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan otorisasi / auth-policies-check Periksa apakah ada kebijakan autentikasi berikut yang diaktifkan: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS, atau kebijakan VerifyJWT. Setidaknya satu kebijakan yang diperlukan untuk proxy
pemeriksaan continueOnError di kebijakan otorisasi / continue-on-error-auth-policies-check Memeriksa apakah kolom continueOnError diaktifkan di semua kebijakan otorisasi dalam proxy. Hal ini melibatkan pemeriksaan apakah kebijakan autentikasi sedang digunakan dan pemeriksaan ini tidak akan berpengaruh jika tidak ada kebijakan autentikasi di proxy. Tetapkan continueOnError ke false untuk semua kebijakan otorisasi yang disertakan dalam proxy.
Pemeriksaan kebijakan AccessControl / access-control-policy-check Apakah kebijakan AccessControl sedang digunakan. Tambahkan kebijakan AccessControl ke proxy.
Pemeriksaan kebijakan BasicAuthentication / basic-auth-policy-check Apakah kebijakan BasicAuthentication sedang digunakan. Tambahkan kebijakan BasicAuthentication ke proxy.
Pemeriksaan kebijakan HMAC / hmac-policy-check Apakah kebijakan HMAC sedang digunakan. Tambahkan kebijakan HMAC ke proxy.
Pemeriksaan kebijakan OAuthV2 / oauthv2-policy-check Apakah kebijakan OAuth sedang digunakan. Tambahkan kebijakan OAuthV2 ke proxy.
Pemeriksaan kebijakan ValidateSAMLAssertion / validate-saml-assertion-policy-check Apakah kebijakan ValidateSAMLAssertion sedang digunakan. Tambahkan kebijakan ValidateSAMLAssertion ke proxy.
Kebijakan VerifyAPIKey / verify-api-key-policy-check Apakah kebijakan VerifyAPIKey sedang digunakan. Tambahkan kebijakan VerifyAPIKey ke proxy.
Kebijakan VerifyJWS / verify-jws-policy-check Apakah kebijakan VerifyJWS sedang digunakan. Tambahkan kebijakan VerifyJWS ke proxy.
Kebijakan VerifyJWT / verify-jwt-policy-check Apakah kebijakan VerifyJWT sedang digunakan. Tambahkan kebijakan VerifyJWT ke proxy.
CORS Memeriksa apakah ada kebijakan CORS atau header CORS dalam kebijakan AssignMessage.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan CORS / cors-policies-check Periksa apakah kebijakan CORS atau header CORS dalam kebijakan AssignMessage ada. Tambahkan kebijakan CORS atau kebijakan AssignMessage dengan header CORS ke proxy.
Pemeriksaan kebijakan CORS / cors-policy-check Periksa apakah kebijakan CORS sedang digunakan. Tambahkan kebijakan CORS ke proxy.
Pemeriksaan kebijakan AssignMessage CORS / cors-assignmessage-policy-check Periksa apakah header CORS ditambahkan dalam kebijakan AssignMessage. Tambahkan kebijakan AssignMessage dengan header CORS ke proxy.
Mediasi Memeriksa apakah kebijakan mediasi diaktifkan.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan mediasi / mediation-policies-check Periksa apakah salah satu kebijakan mediasi berikut diaktifkan: SOAPMessageValidation atau OASValidation. Tambahkan salah satu kebijakan mediasi berikut ke proxy Anda: SOAPMessageValidation atau OASValidation.
Pemeriksaan kebijakan SOAPMessageValidation / soap-validation-policy-check Periksa apakah kebijakan SOAPMessageValidation sedang digunakan. Tambahkan kebijakan SOAPMessageValidation ke proxy.
Pemeriksaan kebijakan OASValidation / oas-validation-policy-check Periksa apakah kebijakan OASValidation sedang digunakan. Tambahkan kebijakan OASValidationCheck ke proxy.
Target Memeriksa apakah perlindungan server target digunakan. Untuk mengetahui informasi tentang konfigurasi server target, lihat Load balancing di seluruh server backend.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan TLS Server Target / tls-target-server-check Periksa TLS/SSL di server target. Konfigurasi TLS/SSL di semua server target yang dikonfigurasi di proxy untuk komunikasi yang aman.
Pemeriksaan mTLS Server Target / mtls-target-server-check Periksa mTLS di server target. Konfigurasi mTLS di semua server target yang dikonfigurasi di proxy untuk keamanan maksimum.
Penerapan pemeriksaan kolom Target Server / target-enforce-field-check Periksa apakah kolom Enforce diaktifkan dalam konfigurasi server target. Konfigurasi kolom Enforce untuk menerapkan SSL ketat antara proxy Apigee dan target.
Ancaman Memeriksa apakah kebijakan pencegahan ancaman digunakan.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan ancaman / threat-policies-check Periksa apakah ada kebijakan ancaman berikut yang diaktifkan: JSONThreatProtection, RegularExpressionProtection, atau XMLThreatProtection. Tambahkan salah satu kebijakan ancaman yang diperlukan ke proxy Anda.
Pemeriksaan continueOnError dalam kebijakan ancaman / continue-on-error-threat-policies Periksa apakah kolom continueOnError diaktifkan di semua kebijakan ancaman yang digunakan di proxy. Hal ini melibatkan pemeriksaan apakah kebijakan ancaman sedang digunakan dan pemeriksaan ini tidak akan berdampak jika tidak ada kebijakan ancaman di proxy. Tetapkan continueOnError ke false untuk semua kebijakan ancaman yang digunakan di proxy.
Pemeriksaan kebijakan JSONThreatProtection / json-threat-protection-policy-check Periksa apakah kebijakan JSONThreatProtection sedang digunakan. Tambahkan kebijakan JSONThreatProtection ke proxy.
Pemeriksaan kebijakan RegularExpressionProtection / regex-protection-policy-check Periksa apakah kebijakan RegularExpressionProtection sedang digunakan. Tambahkan kebijakan RegularExpressionProtection ke proxy.
Pemeriksaan kebijakan XMLThreatProtection / xml-threat-protection-policy-check Periksa apakah kebijakan XMLThreatProtection sedang digunakan. Tambahkan kebijakan XMLThreatProtection ke proxy.
Traffic Memeriksa apakah Anda telah menerapkan kebijakan pengelolaan traffic.
Pemeriksaan / nama penilaian Deskripsi Rekomendasi
Pemeriksaan kebijakan pengelolaan traffic / traffic-management-policies-check Periksa apakah ada kebijakan pengelolaan traffic berikut yang diaktifkan: LookupCache, Quota, ResponseCache, atau SpikeArrest. Tambahkan salah satu kebijakan pengelolaan traffic ke proxy Anda.
Pemeriksaan kebijakan LookupCache / lookup-cache-policy-check Periksa apakah kebijakan LookupCache diaktifkan. Tambahkan kebijakan LookupCache ke proxy.
Pemeriksaan kebijakan kuota / quota-policy-check Periksa apakah kebijakan Kuota sedang digunakan. Tambahkan kebijakan Kuota ke proxy.
Pemeriksaan kebijakan ResponseCache / response-cache-policy-check Periksa apakah kebijakan ResponseCache sedang digunakan. Tambahkan kebijakan ResponseCache ke proxy.
Pemeriksaan kebijakan SpikeArrest / spike-arrest-policy-check Periksa apakah kebijakan SpikeArrest sedang digunakan. Tambahkan kebijakan SpikeArrest ke proxy.

Lampiran kebijakan dan skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:

  • Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur mana pun tidak memengaruhi skor.
  • Skor proxy mempertimbangkan alur bersama yang dipanggil proxy melalui flow hook dan kebijakan FlowCalloutdi proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke alur, kebijakan dari alur bersama tertautnya tidak memengaruhi skor keamanan.
  • Alur bersama yang dirangkai dievaluasi hingga kedalaman lima tingkat. Kebijakan apa pun yang disertakan langsung di proxy dan di lima tingkat pertama alur bersama dihitung dalam skor keamanan.
  • Untuk kebijakan yang dilampirkan ke alur bersyarat, skor keamanan hanya memperhitungkan apakah kebijakan ada atau tidak; skor tidak memperhitungkan apakah atau bagaimana kebijakan diterapkan saat runtime.

Profil keamanan v2

Profil keamanan adalah serangkaian penilaian dan bobot keamanan untuk memberi skor pada proxy API. Anda dapat menggunakan profil keamanan default Apigee, yang disebut google-default, atau Anda dapat membuat profil keamanan kustom yang hanya berisi kategori dan bobot keamanan yang ingin Anda nilai.

Saat bekerja dengan profil keamanan atau membuat profil keamanan kustom, perhatikan bahwa beberapa pemeriksaan penilaian dalam suatu kategori dinilai secara terpisah.

Misalnya, jika ada tiga pemeriksaan kebijakan autentikasi dalam profil keamanan dan proxy yang dinilai mencakup salah satu dari ketiganya, skor penilaian akan mencakup poin penuh untuk satu kebijakan yang ditemukan dan nol poin untuk dua kebijakan lainnya yang tidak ada. Dalam contoh ini, proxy yang dinilai tidak akan menerima poin penuh untuk pemeriksaan kebijakan autentikasi meskipun proxy tersebut menyertakan kebijakan autentikasi. Berhati-hatilah dalam menafsirkan skor keamanan dan desain profil keamanan mengingat perilaku ini.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua penilaian. Jika Anda menggunakan profil default, skor keamanan didasarkan pada semua kategori.

Profil keamanan default, google-default, tidak dapat diedit atau dihapus.

Profil keamanan kustom

Anda dapat membuat profil keamanan kustom yang hanya menyertakan pemeriksaan dan bobot penilaian yang Anda pilih untuk mengevaluasi proksi. Untuk mengetahui petunjuk tentang cara membuat dan menggunakan profil keamanan kustom dari UI Apigee, lihat Mengelola profil kustom di UI Apigee.

Untuk profil keamanan kustom:

  • Nama profil (juga disebut ID profil) diperlukan dan ditampilkan dalam tabel ringkasan saat mencantumkan profil. Nama harus terdiri dari 1 hingga 63 karakter, yang dapat berupa huruf kecil, angka 0-9, atau tanda hubung. Karakter pertama harus berupa huruf kecil. Karakter terakhir harus berupa huruf kecil atau angka. Profil keamanan kustom harus memiliki nama yang unik dan tidak boleh menduplikasi nama profil yang ada.
  • Deskripsi profil bersifat opsional dan tidak boleh melebihi 1.000 karakter.

Kondisi dan pemberitahuan pemantauan

Dengan Keamanan API Lanjutan, Anda dapat menambahkan kondisi pemantauan ke Penilaian Risiko. Setelah Anda membuat kondisi pemantauan, Penilaian Risiko akan memublikasikan metrik skor keamanan ke Cloud Monitoring. Cloud Monitoring dapat melacak skor keamanan dari waktu ke waktu untuk proxy yang dinilai berdasarkan profil keamanan.

Untuk menggunakan kondisi pemantauan:

  1. Pahami fungsi Cloud Monitoring.
  2. Pastikan Anda memiliki peran atau izin yang diperlukan untuk mengelola kondisi pemantauan. Lihat Peran yang diperlukan untuk Penilaian Risiko.
  3. Gunakan UI atau API Apigee untuk membuat dan mengelola kondisi pemantauan. Lihat Mengelola kondisi dan pemberitahuan pemantauan di UI Apigee dan Mengelola kondisi pemantauan di API.

Setelah membuat kondisi pemantauan, Anda dapat menyiapkan pemberitahuan pemantauan pada metrik kondisi, menggunakan pemberitahuan Cloud Monitoring.

Untuk membuat pemberitahuan pemantauan dari UI Apigee, lihat Mengelola kondisi dan pemberitahuan pemantauan di UI Apigee. Untuk mengetahui informasi tentang pemberitahuan di Advanced API Security dan cara mengelola pemberitahuan pemantauan, lihat Pemberitahuan keamanan.

Batasan dan masalah umum pada Penilaian Risiko v2

Skor keamanan memiliki batasan dan masalah umum berikut:

  • Skor keamanan hanya dibuat jika lingkungan telah men-deploy proxy.
  • Proxy yang baru di-deploy serta organisasi dan lingkungan yang baru diaktifkan tidak langsung menampilkan skor. Lihat Penundaan data untuk mengetahui informasinya.
  • Untuk profil kustom, Anda dapat membuat maksimal 100 profil kustom per organisasi.
  • Pemberitahuan penghitungan dan skor penilaian baru saat ini tidak didukung.
  • Hanya satu kondisi pemantauan yang dapat ada untuk kombinasi cakupan dan profil keamanan. Jika profil sudah menjadi bagian dari kondisi pemantauan yang ada untuk cakupan yang dipilih, pesan peringatan akan muncul dan mencegah pembuatan kondisi baru.
  • Hanya proxy yang di-deploy yang dipantau. Jika proxy yang disertakan dalam kondisi pemantauan tidak di-deploy, proxy tersebut tidak dipantau dan tidak ditampilkan sebagai dipantau dalam detail kondisi pemantauan. Saat di-deploy ulang, proxy dipantau secara otomatis dan ditampilkan sebagai dipantau dalam detail kondisi pemantauan.
  • Anda dapat membuat maksimum 1.000 kondisi pemantauan keamanan per organisasi.
  • Skor baru yang dilacak oleh kondisi pemantauan keamanan mungkin memerlukan waktu hingga 5 menit untuk ditampilkan di Cloud Monitoring.
  • Skor keamanan tersedia di Cloud Monitoring hingga 6 minggu. Lihat Retensi data.

Keterlambatan data

Data yang memiliki skor keamanan Advanced API Security memiliki jendela pemrosesan berikut sebelum hasil tersedia:

  • Saat Anda mengaktifkan Keamanan API Lanjutan di organisasi untuk pertama kalinya, diperlukan waktu agar skor untuk proxy dan target yang ada ditampilkan di lingkungan. Sebagai panduan, tunggu 30 hingga 90 menit untuk organisasi Berlangganan dan lebih sedikit waktu untuk organisasi Bayar sesuai penggunaan.
  • Peristiwa baru yang terkait dengan proxy (deployment dan penghapusan deployment) dan target (buat, perbarui, hapus) di lingkungan memerlukan waktu setidaknya 60 detik dan hingga 5 menit (untuk lingkungan yang sangat besar) agar tercermin dalam skor lingkungan.

Melihat penilaian risiko di UI Apigee

Halaman Penilaian Risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.

Untuk membuka halaman Penilaian Risiko:

Di konsol Google Cloud , buka halaman Advanced API Security > Penilaian risiko.

Buka Penilaian risiko

Tindakan ini akan menampilkan halaman Penilaian Risiko:

Halaman utama penilaian risiko.

Halaman ini memiliki bagian-bagian berikut:

  • Lingkungan: Pilih lingkungan tempat Anda ingin melihat penilaian.
  • Profil keamanan: Pilih profil default (google-default) atau profil kustom, jika tersedia. Lihat Profil keamanan untuk informasi tentang profil keamanan.
  • Proxy yang di-deploy menurut tingkat keparahan: Setelah lingkungan disetel, halaman ini akan menampilkan ringkasan tingkat keparahan di seluruh proxy dalam lingkungan tersebut. Lihat Konsep dan pemberian skor penilaian risiko.
  • Detail penilaian: Menampilkan profil keamanan, tanggal dan waktu penilaian, total konfigurasi yang dinilai, dan total proxy yang di-deploy untuk lingkungan yang dipilih. Jumlah total konfigurasi yang dinilai mencerminkan jumlah total "pemeriksaan" yang dilakukan. Jumlah ini mungkin lebih tinggi daripada jumlah penilaian dalam profil; beberapa penilaian, seperti memverifikasi bahwa atribut "continueOnError” disetel ke false juga memeriksa apakah kebijakan terkait sudah diterapkan dan diaktifkan.
  • Proxy yang di-deploy: Ringkasan proxy yang di-deploy di lingkungan dan skor penilaian risikonya:

    • Proxy: Nama proxy.
    • Keparahan: Tingkat keparahan penilaian risiko untuk proxy. Lihat Skor dan tingkat keparahan keamanan untuk mengetahui informasinya.

    • Skor: Skor penilaian risiko untuk proxy. Lihat Konsep dan pemberian skor penilaian risiko untuk mengetahui informasinya.
    • Revisi: Revisi proxy yang digunakan untuk menilai skor.
    • Penilaian yang gagal menurut bobot: Jumlah penilaian yang gagal dikelompokkan menurut bobot penilaian.
    • Rekomendasi: Rekomendasi khusus untuk meningkatkan skor pada proksi. Klik nomor untuk melihat rekomendasi.

Mengelola profil kustom di UI Apigee

Bagian ini menunjukkan cara melihat, membuat, mengedit, dan menghapus profil kustom menggunakan UI Apigee. Perhatikan batasan pada profil kustom yang tercantum di Batasan pada skor keamanan.

Mulailah dengan Melihat penilaian risiko di UI Apigee.

Membuat dan mengedit profil kustom

Di layar Penilaian Risiko, pilih tab Profil Keamanan. Untuk mengedit profil yang ada, klik nama profil untuk melihat detail profil, lalu klik Edit. Atau, Anda dapat memilih Edit dari menu Tindakan di baris untuk profil tersebut.

Untuk membuat profil kustom baru, klik + Buat di daftar profil keamanan.

Daftar profil keamanan

Saat membuat atau mengedit profil kustom, Anda dapat menetapkan nilai berikut:

  • Nama: Nama profil keamanan. Pastikan nama ini unik untuk project.
  • Deskripsi: (Opsional). Deskripsi untuk profil keamanan.
  • Pemeriksaan penilaian dan Bobot penilaian: Satu atau beberapa pemeriksaan penilaian untuk mengevaluasi proksi dan bobot untuk setiap proksi. Lihat Konsep dan pemberian skor penilaian risiko untuk mengetahui daftar pemeriksaan penilaian yang tersedia. Untuk menambahkan pemeriksaan dan bobot penilaian tambahan ke profil, klik + Tambahkan. Untuk menghapus pasangan berat/pemeriksaan, klik ikon sampah di baris untuk pasangan tersebut.

Profil duplikat

Untuk menduplikasi profil yang ada (untuk membuat profil kustom baru), pilih Duplikasikan dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Duplikasikan.

Nama profil kustom baru tidak boleh sama dengan profil duplikat. Lihat Profil keamanan kustom untuk persyaratan penamaan profil keamanan.

Menghapus profil kustom

Untuk menghapus profil kustom yang ada, pilih Hapus dari menu Tindakan di baris untuk profil tersebut atau klik nama profil dari daftar profil untuk melihat metadata profil, lalu klik Hapus.

Perhatikan bahwa Anda tidak dapat menghapus profil sistem default (google-default).

Penghapusan profil kustom berlaku segera dan menghilangkan kemampuan untuk menilai proxy berdasarkan profil tersebut atau melihat penilaian sebelumnya berdasarkan profil kustom tersebut.

Mengelola kondisi pemantauan dan pemberitahuan dari UI Apigee

Bagian ini menunjukkan cara melihat, membuat, mengedit, dan menghapus kondisi pemantauan serta membuat pemberitahuan pemantauan menggunakan UI Apigee. Lihat Memantau kondisi dan pemberitahuan untuk informasi tentang fitur ini.

Mulai dengan Melihat penilaian risiko di UI Apigee lalu memilih tab Kondisi Pemantauan.

Melihat, membuat, dan mengedit kondisi pemantauan

Halaman utama mencantumkan kondisi pemantauan yang ada. Untuk melihat detail kondisi pemantauan yang ada, klik nilai Proxy yang dipantau/total yang di-deploy di baris untuk kondisi pemantauan tersebut. Untuk mengedit kondisi yang ada, pilih Edit dari menu Tindakan di baris untuk kondisi pemantauan tersebut. Untuk membuat kondisi pemantauan baru, klik + Buat kondisi pemantauan di atas daftar hasil.

Daftar profil keamanan

Kondisi pemantauan mencakup setelan berikut:

  • Lingkungan: Lingkungan tempat kondisi pemantauan dibuat. Tidak dapat diedit setelah kondisi pemantauan dibuat.
  • Profil keamanan/Profil: Profil keamanan yang dinilai.
  • Kondisi: Apakah akan Include all atau Include proxy tertentu dari lingkungan. Jika Include dipilih, pilih setiap proxy yang akan disertakan dengan mencentang di samping nama proxy.

Melihat metrik pemantauan

Lihat metrik untuk kondisi pemantauan di Cloud Monitoring. Untuk melihat metrik, klik Lihat di baris untuk kondisi pemantauan.

Menghapus kondisi pemantauan

Untuk menghapus kondisi pemantauan yang ada, pilih Hapus dari menu Tindakan di baris untuk kondisi pemantauan, lalu konfirmasi.

Ada sedikit penundaan sebelum metrik Cloud Monitoring berhenti dipublikasikan.

Membuat pemberitahuan pemantauan

Untuk membuat pemberitahuan pemantauan baru, pilih Buat pemberitahuan pemantauan dari menu Tindakan di baris untuk kondisi pemantauan. Tindakan ini akan mengarahkan Anda ke halaman pemberitahuan Cloud Monitoring di konsol Google Cloud dan mengisi beberapa nilai berdasarkan kondisi pemantauan. Lihat Pemberitahuan keamanan untuk mengetahui informasi selengkapnya.

Penilaian Risiko v1

Bagian ini menjelaskan Penilaian Risiko v1. Untuk mengetahui informasi tentang Penilaian Risiko v2, lihat Penilaian Risiko v2.

Skor keamanan

Skor keamanan menilai keamanan API Anda, serta postur keamanannya dari waktu ke waktu. Misalnya, skor yang sangat berfluktuasi dapat menunjukkan bahwa perilaku API sering berubah, yang mungkin tidak diinginkan. Perubahan di lingkungan yang dapat menyebabkan skor menurun meliputi:

  • Men-deploy banyak proxy API tanpa kebijakan keamanan yang diperlukan.
  • Lonjakan traffic penyalahgunaan dari sumber berbahaya.

Mengamati perubahan skor keamanan Anda dari waktu ke waktu memberikan indikator yang baik untuk mengetahui aktivitas yang tidak diinginkan atau mencurigakan di lingkungan.

Skor keamanan dihitung berdasarkan profil keamanan Anda, yang menentukan kategori keamanan yang ingin Anda evaluasi skornya. Anda dapat menggunakan profil keamanan default Apigee, atau membuat profil keamanan kustom yang hanya menyertakan kategori keamanan yang paling penting bagi Anda.

Jenis penilaian skor keamanan

Ada tiga jenis penilaian yang berkontribusi pada skor keamanan keseluruhan yang dihitung oleh Keamanan API Lanjutan:

  • Penilaian sumber: Menilai traffic penyalahgunaan yang terdeteksi, menggunakan aturan deteksi Advanced API Security. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain yang dimaksudkan untuk API tersebut.

  • Penilaian proxy: Menilai seberapa baik proxy telah menerapkan berbagai kebijakan keamanan di area berikut:

    Lihat Pengaruh kebijakan terhadap skor keamanan proxy untuk mengetahui informasi selengkapnya.

  • Penilaian target: Memeriksa apakah keamanan lapisan transpor timbal balik (mTLS) dikonfigurasi dengan server target di lingkungan.

Setiap jenis penilaian ini diberi skornya sendiri. Skor keseluruhan adalah rata-rata skor dari setiap jenis penilaian.

Pengaruh kebijakan terhadap skor keamanan proxy

Untuk penilaian proxy, skor keamanan didasarkan pada kebijakan yang Anda gunakan. Cara kebijakan tersebut dinilai bergantung pada apakah dan bagaimana kebijakan tersebut dilampirkan ke alur:

  • Hanya kebijakan yang dilampirkan ke alur (pra-alur, alur bersyarat, pasca-alur di proxy, atau alur bersama) yang memengaruhi skor. Kebijakan yang tidak dilampirkan ke alur mana pun tidak memengaruhi skor.
  • Skor proxy mempertimbangkan alur bersama yang dipanggil proxy melalui flow hook dan kebijakan FlowCalloutdi proxy, asalkan kebijakan FlowCallout dilampirkan ke alur. Namun, jika FlowCallout tidak dilampirkan ke alur, kebijakan dari alur bersama yang ditautkan tidak memengaruhi skor keamanan.
  • Rantai alur bersama tidak didukung. Kebijakan yang disertakan melalui rangkaian alur bersama tidak dinilai saat menghitung skor keamanan.
  • Untuk kebijakan yang dilampirkan ke alur bersyarat, skor keamanan hanya memperhitungkan apakah kebijakan ada atau tidak; skor tidak memperhitungkan apakah atau bagaimana kebijakan diterapkan saat runtime.

Profil keamanan

Profil keamanan adalah sekumpulan kategori keamanan (dijelaskan di bawah) yang Anda inginkan untuk penilaian API Anda. Profil dapat berisi subkumpulan kategori keamanan apa pun. Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu. Anda dapat menggunakan profil keamanan default Apigee, atau Anda dapat membuat profil keamanan kustom yang hanya berisi kategori keamanan yang penting bagi Anda.

Profil keamanan default

Advanced API Security menyediakan profil keamanan default yang berisi semua kategori keamanan. Jika Anda menggunakan profil default, skor keamanan akan didasarkan pada semua kategori.

Profil keamanan kustom

Profil keamanan kustom memungkinkan Anda mendasarkan skor keamanan hanya pada kategori keamanan yang ingin disertakan dalam skor. Lihat Membuat dan mengedit profil keamanan untuk mempelajari cara membuat profil kustom.

Kategori keamanan

Skor keamanan didasarkan pada penilaian kategori keamanan yang dijelaskan di bawah.

Kategori Deskripsi Rekomendasi
Penyalahgunaan Pemeriksaan penyalahgunaan, yang mencakup semua permintaan yang dikirim ke API untuk tujuan selain tujuan yang dimaksudkan, seperti permintaan dalam volume tinggi, pengumpulan data, dan penyalahgunaan terkait otorisasi. Lihat Rekomendasi penyalahgunaan
Otorisasi Memeriksa apakah Anda telah menerapkan kebijakan otorisasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
CORS Memeriksa apakah Anda telah menerapkan kebijakan CORS. Tambahkan kebijakan CORS ke proxy Anda.
MTLS Memeriksa apakah Anda telah mengonfigurasi mTLS (Mutual transport layer security) untuk server target. Lihat Konfigurasi mTLS server target.
Mediasi Memeriksa apakah Anda telah menerapkan kebijakan mediasi. Tambahkan salah satu kebijakan berikut ke proxy Anda:
Ancaman Memeriksa apakah Anda memiliki kebijakan perlindungan ancaman. Tambahkan salah satu kebijakan berikut ke proxy Anda:

Batasan pada skor keamanan v1

Skor keamanan memiliki batasan berikut:

  • Anda dapat membuat hingga 100 profil kustom per organisasi.
  • Skor keamanan hanya dibuat jika lingkungan memiliki proxy, server target, dan traffic.
  • Proxy yang baru di-deploy tidak langsung menampilkan skor.

Keterlambatan data

Data yang menjadi dasar skor keamanan Advanced API Security mengalami penundaan berikut, karena cara data diproses:

  • Jika Anda mengaktifkan Keamanan API Lanjutan di organisasi, diperlukan waktu hingga 6 jam agar skor untuk proxy dan target yang ada ditampilkan di lingkungan.
  • Peristiwa baru yang terkait dengan proxy (deployment dan penghapusan deployment) serta target (buat, perbarui, hapus) di lingkungan dapat memerlukan waktu hingga 6 jam untuk ditampilkan dalam skor lingkungan.
  • Data yang masuk ke pipeline Apigee Analytics memiliki jeda hingga 15 hingga 20 menit secara rata-rata. Akibatnya, data penyalahgunaan skor sumber memiliki penundaan pemrosesan sekitar 15 hingga 20 menit.

Buka halaman Penilaian risiko

Halaman Penilaian risiko menampilkan skor yang mengukur keamanan API Anda di setiap lingkungan.

Mungkin perlu waktu beberapa menit untuk memuat halaman Penilaian risiko. Halaman akan memerlukan waktu lebih lama untuk dimuat di lingkungan dengan volume lalu lintas yang tinggi dan sejumlah besar proxy dan target.

Apigee di Konsol Cloud

Untuk membuka halaman Penilaian risiko:

Di konsol Google Cloud , buka halaman Advanced API Security > Penilaian risiko.

Buka Penilaian risiko

Tindakan ini akan menampilkan halaman Penilaian risiko:

Halaman utama penilaian risiko.

Halaman ini memiliki dua tab, yang dijelaskan di bagian berikut:

Melihat skor keamanan

Untuk melihat skor keamanan, klik tab Skor Keamanan.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan, seperti yang dijelaskan dalam Melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom, seperti yang dijelaskan dalam Membuat dan mengedit profil keamanan.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat penghitungan skor.
  • Tingkat risiko: Tingkat risiko bagi lingkungan, yang dapat berupa rendah, sedang, atau berat.
  • Skor keamanan: Total skor untuk lingkungan, dari 1200.
  • Total rekomendasi: Jumlah rekomendasi yang diberikan.
  • Profil: Nama profil keamanan terlampir.
  • Terakhir diperbarui: Tanggal terbaru saat skor keamanan diperbarui.
  • Tindakan: Klik menu tiga titik di baris untuk lingkungan guna melakukan tindakan berikut:
    • Lampirkan profil: Lampirkan profil keamanan ke lingkungan.
    • Lepaskan profil: Melepaskan profil keamanan dari lingkungan.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:

  1. Di bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Dalam dialog Lampirkan Profil:
    1. Klik kolom Profil dan pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin diperlukan waktu beberapa menit agar skor ditampilkan.

Skor keseluruhan dihitung dari skor individu dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Skor penilaian yang lebih tinggi menunjukkan risiko keamanan yang lebih rendah.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan tersebut. Untuk melakukannya, klik baris untuk lingkungan di halaman Skor Keamanan utama. Hal ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Skor keamanan di lingkungan.

Tampilan ini menampilkan empat tab:

Ringkasan

Tab Ringkasan menampilkan hal berikut:

  • Sorotan utama untuk setiap penilaian:
    • Proxy: Menampilkan rekomendasi teratas untuk proxy di lingkungan. Klik Edit Proxy untuk membuka Proxy Editor Apigee, tempat Anda dapat menerapkan rekomendasi.
    • Target: Menampilkan rekomendasi teratas untuk target di lingkungan. Klik View Target Servers untuk membuka tab Target Servers di halaman Management > Environments di UI Apigee.
    • Sumber: Menampilkan traffic penyalahgunaan yang terdeteksi. Klik Traffic yang Terdeteksi untuk melihat tab Traffic yang terdeteksi di halaman Deteksi penyalahgunaan.
  • Ringkasan untuk Penilaian Sumber, Penilaian Proxy, dan Penilaian Target, termasuk:
    • Skor terbaru untuk setiap jenis penilaian.
    • Panel Penilaian Sumber menampilkan traffic penyalahgunaan yang terdeteksi dan jumlah alamat IP.
    • Panel Penilaian Proxy dan Penilaian Target menampilkan tingkat risiko untuk penilaian tersebut.
  • Klik Lihat Detail Penilaian di salah satu panel ringkasan untuk melihat detail jenis penilaian tersebut:
  • Histori penilaian, yang menampilkan grafik skor total harian untuk lingkungan selama jangka waktu baru-baru ini, yang dapat Anda pilih selama 3 hari atau 7 hari. Secara default, grafik menampilkan 3 hari. Grafik ini juga menampilkan skor total rata-rata selama periode yang sama.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang perlu dinilai. Misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Penilaian sumber

Klik tab Penilaian Sumber untuk melihat detail penilaian lingkungan.

Panel penilaian sumber.

Klik ikon perluas di sebelah kanan Detail penilaian untuk melihat grafik penilaian sumber selama jangka waktu baru-baru ini, yang dapat Anda pilih selama 3 hari atau 7 hari.

Panel Sumber menampilkan tabel dengan informasi berikut:

  • Kategori: Kategori untuk penilaian.
  • Tingkat risiko: Tingkat risiko untuk kategori.
  • Skor keamanan: Skor keamanan untuk kategori penyalahgunaan.
  • Rekomendasi: Jumlah rekomendasi untuk kategori.
Detail sumber

Panel Detail sumber menampilkan detail traffic penyalahgunaan yang terdeteksi di lingkungan, termasuk:

  • Detail lalu lintas:
    • Traffic yang terdeteksi: Jumlah panggilan API yang berasal dari alamat IP yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Total traffic: Total jumlah panggilan API yang dilakukan.
    • Jumlah alamat IP yang terdeteksi: Jumlah alamat IP berbeda yang telah terdeteksi sebagai sumber penyalahgunaan.
    • Waktu mulai pengamatan (UTC): Waktu mulai dalam UTC dari periode saat traffic dipantau.
    • Waktu berakhir pengamatan (UTC): Waktu berakhir dalam UTC dari periode saat traffic dipantau.
  • Tanggal penilaian: Tanggal dan waktu penilaian dilakukan.
  • Rekomendasi untuk meningkatkan skor. Lihat Rekomendasi penyalahgunaan untuk rekomendasi lebih lanjut tentang cara menangani traffic penyalahgunaan.

Untuk membuat tindakan keamanan untuk menangani masalah yang muncul akibat penilaian sumber, klik tombol Buat Tindakan Keamanan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik tab Proxy Assessment:

Panel penilaian proxy.

Panel Proxy menampilkan tabel dengan informasi berikut:

  • Proxy: Proxy yang sedang dinilai.
  • Tingkat risiko: Tingkat risiko untuk proxy.
  • Skor keamanan: Skor keamanan untuk proxy.
  • Perlu perhatian: Kategori penilaian yang harus ditangani untuk meningkatkan skor proxy.
  • Rekomendasi: Jumlah rekomendasi untuk proxy.

Klik nama proxy dalam tabel untuk membuka Editor Proxy, tempat Anda dapat melakukan perubahan yang direkomendasikan pada proxy.

Rekomendasi proxy

Jika proksi memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Rekomendasi. Untuk melihat rekomendasi untuk proxy, klik kolom Perlu diperhatikan untuk proxy di panel Proxy.

Panel Rekomendasi akan ditampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dilakukan.
  • Rekomendasi untuk meningkatkan skor.

Penilaian target

Penilaian target menghitung skor keamanan lapisan transport timbal balik (mTLS) untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • TLS satu arah ada: 900
  • Hadirnya mTLS atau autentikasi dua arah: 1200

Untuk melihat penilaian target, klik tab Target Assessment:

Panel penilaian target.

Panel Target menampilkan informasi berikut:

  • Target: Nama target.
  • Tingkat risiko: Tingkat risiko untuk target.
  • Skor keamanan: Skor keamanan untuk target.
  • Perlu perhatian: Kategori penilaian yang harus ditangani untuk meningkatkan skor untuk target.
  • Rekomendasi: Jumlah rekomendasi untuk target.

Klik nama target dalam tabel untuk membuka tab Target Server di halaman Management > Environments di UI Apigee, tempat Anda dapat menerapkan tindakan yang direkomendasikan ke target.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya di panel Rekomendasi. Untuk melihat rekomendasi untuk target, klik di kolom Perlu diperhatikan untuk target di panel Target.

Panel Rekomendasi akan ditampilkan:

  • Tanggal penilaian: Tanggal dan waktu penilaian dilakukan.
  • Rekomendasi untuk meningkatkan skor.

Membuat dan mengedit profil keamanan

Untuk membuat atau mengedit profil keamanan, pilih tab Profil Keamanan.

Tab profil keamanan.

Tab Profil Keamanan menampilkan daftar profil keamanan, termasuk informasi berikut:

  • Nama: Nama profil.
  • Kategori: Kategori keamanan yang disertakan dalam profil.
  • Deskripsi: Deskripsi profil opsional.
  • Lingkungan: Lingkungan tempat profil dilampirkan. Jika kolom ini kosong, profil tidak dilampirkan ke lingkungan apa pun.
  • Terakhir diperbarui (UTC): Tanggal dan waktu terakhir profil diperbarui.
  • Tindakan: Menu dengan item berikut:

Melihat detail profil keamanan

Untuk melihat detail profil keamanan, klik namanya di baris untuk profil tersebut. Bagian ini menampilkan detail profil seperti yang ditunjukkan di bawah.

Detail profil keamanan.

Baris pertama di tab Detail menampilkan ID Revisi: nomor revisi terbaru profil. Saat Anda mengedit profil dan mengubah kategori keamanannya, ID revisi akan bertambah 1. Namun, hanya mengubah deskripsi profil tidak akan meningkatkan ID revisi.

Baris di bawahnya menampilkan informasi yang sama seperti yang ditampilkan di baris untuk profil di tab Profil Keamanan.

Tampilan detail profil juga memiliki dua tombol berlabel Edit dan Hapus, yang dapat Anda gunakan untuk mengedit atau menghapus profil keamanan.

Histori

Untuk melihat histori profil, klik tab Histori. Tab ini menampilkan daftar semua revisi profil. Untuk setiap revisi, daftar akan menampilkan:

  • ID Revisi: Nomor revisi.
  • Kategori: Kategori keamanan yang disertakan dalam revisi profil tersebut.
  • Terakhir diperbarui (UTC): Tanggal dan waktu dalam UTC saat revisi dibuat.

Membuat profil keamanan kustom

Untuk membuat profil keamanan kustom baru:

  1. Klik Create di bagian atas halaman.
  2. Pada dialog yang terbuka, masukkan hal berikut:
    • Nama: Nama profil. Nama harus terdiri dari 1 hingga 63 huruf kecil, angka, atau tanda hubung, dan harus diawali dengan huruf serta diakhiri dengan huruf atau angka. Nama harus berbeda dengan nama profil yang ada.
    • (Opsional) Deskripsi: Deskripsi profil.
    • Di kolom Kategori, pilih kategori penilaian yang ingin Anda sertakan dalam profil.

Mengedit profil keamanan kustom

Untuk mengedit profil keamanan kustom:

  1. Di akhir baris untuk profil keamanan, klik menu Tindakan.
  2. Pilih Edit.
  3. Di halaman Edit profil keamanan, Anda dapat mengubah:
    • Deskripsi: Deskripsi opsional profil keamanan.
    • Kategori: Kategori keamanan yang dipilih untuk profil. Klik menu drop-down dan ubah kategori yang dipilih dengan memilih atau membatalkan pilihan kategori di menu.
  4. Klik Oke.

Menghapus profil keamanan kustom

Untuk menghapus profil keamanan, klik Tindakan di akhir baris untuk profil tersebut, lalu pilih Hapus. Perhatikan bahwa menghapus profil juga akan melepaskannya dari semua lingkungan.

UI Apigee Klasik

Untuk membuka tampilan Skor keamanan:

  1. Buka UI Apigee Klasik.
  2. Pilih Analyze > API Security > Security Scores.

Tindakan ini akan menampilkan tampilan Skor keamanan:

Tampilan utama skor keamanan.

Perhatikan bahwa tidak ada skor yang dihitung untuk lingkungan hingga Anda melampirkan profil keamanan ke lingkungan. Apigee menyediakan kebijakan keamanan default, atau Anda dapat membuat profil kustom menggunakan Apigee API. Lihat Menggunakan profil keamanan kustom untuk mengetahui detailnya.

Pada gambar di atas, tidak ada profil keamanan yang dilampirkan ke lingkungan integration, sehingga kolom Nama Profil menampilkan Tidak disetel untuk lingkungan tersebut.

Tabel Skor keamanan menampilkan kolom berikut:

  • Lingkungan: Lingkungan tempat penghitungan skor.
  • Skor Terbaru: Total skor terbaru untuk lingkungan, dari 1200.
  • Tingkat Risiko: Tingkat risiko, yang dapat berupa rendah, sedang, atau berat.
  • Total Rekomendasi: Jumlah rekomendasi yang diberikan. Setiap rekomendasi sesuai dengan baris dalam tabel Perlu Diperhatikan.
  • Nama Profil: Nama profil keamanan.
  • Tanggal Penilaian: Tanggal terbaru saat skor keamanan dihitung.

Melampirkan profil keamanan ke lingkungan

Untuk melihat skor keamanan lingkungan, Anda harus melampirkan profil keamanan ke lingkungan terlebih dahulu sebagai berikut:

  1. Di bagian Tindakan, klik menu tiga titik di baris untuk lingkungan.
  2. Klik Lampirkan profil.
  3. Dalam dialog Lampirkan Profil:
    1. Klik kolom Profil dan pilih profil yang ingin Anda lampirkan. Jika Anda belum membuat profil keamanan kustom, satu-satunya profil yang tersedia adalah default.
    2. Klik Tetapkan.

Saat Anda melampirkan profil keamanan ke lingkungan, Advanced API Security akan segera mulai menilai dan memberi skor. Perhatikan bahwa mungkin perlu waktu beberapa menit agar skor ditampilkan.

Gambar di bawah menunjukkan tampilan Skor Keamanan dengan lingkungan yang memiliki profil keamanan default terlampir:

Jendela utama Skor Keamanan dengan profil keamanan terlampir.

Baris untuk lingkungan kini menampilkan skor keamanan terbaru, tingkat risiko, jumlah rekomendasi untuk tindakan keamanan yang harus dilakukan, dan Tanggal Penilaian skor.

Skor keseluruhan dihitung dari skor individu dalam tiga jenis penilaian:

  • Penilaian sumber
  • Penilaian proxy
  • Penilaian target

Perhatikan bahwa semua skor berada dalam rentang 200 - 1200. Makin tinggi skornya, makin baik penilaian keamanan.

Lihat skor

Setelah melampirkan profil keamanan ke lingkungan, Anda dapat melihat skor dan rekomendasi di lingkungan tersebut. Untuk melakukannya, klik baris lingkungan di tampilan Skor Keamanan utama. Hal ini akan menampilkan skor untuk lingkungan, seperti yang ditunjukkan di bawah:

Skor keamanan di lingkungan.

Tampilan akan menampilkan:

  • Skor terbaru untuk Sumber, Proxy, dan Target. Klik Lihat Detail Penilaian di salah satu panel ini untuk melihat penilaian untuk jenis tersebut.
  • Histori Skor Lingkungan, yang menampilkan grafik total skor harian untuk lingkungan selama 5 hari terakhir, serta total skor rata-rata selama periode yang sama.
  • Tabel Perlu Perhatian, yang mencantumkan jenis penilaian API Anda yang dapat ditingkatkan keamanannya.

Perhatikan bahwa skor hanya dihitung untuk jenis penilaian jika ada sesuatu yang perlu dinilai. Misalnya, jika tidak ada server target, tidak ada skor yang akan dilaporkan untuk Target.

Bagian berikut menjelaskan cara melihat penilaian untuk setiap jenis:

Tabel Perlu Diperhatikan

Tabel Perlu Diperhatikan, yang ditampilkan di atas, mencantumkan kategori API yang skornya di bawah 1.200, beserta:

  • Skor terbaru untuk kategori
  • Tingkat risiko untuk kategori, yang dapat berupa rendah, sedang, atau berat
  • Tanggal penilaian
  • Jenis penilaian

Lihat rekomendasi

Untuk setiap baris dalam tabel, Advanced API Security memberikan rekomendasi untuk meningkatkan skor. Anda dapat melihat rekomendasi di tampilan Detail penilaian untuk setiap jenis, Sumber, Proxy, atau Target, seperti yang dijelaskan di bagian berikut:

Anda dapat membuka tampilan Detail penilaian dengan salah satu cara berikut:

  • Klik Lihat Detail Penilaian di salah satu panel di tampilan Skor Keamanan utama.
  • Di Tabel Perlu Diperhatikan:
    1. Luaskan grup kategori dalam tabel:

      Baris autentikasi di tabel Perlu Diperhatikan.

    2. Klik kategori yang rekomendasinya ingin Anda lihat. Tindakan ini akan membuka tampilan detail penilaian yang sesuai dengan rekomendasi.

Penilaian sumber

Penilaian sumber menghitung skor penyalahgunaan untuk lingkungan. "Penyalahgunaan" mengacu pada permintaan yang dikirim ke API untuk tujuan selain yang dimaksudkan untuk API tersebut.

Untuk melihat penilaian sumber, klik Lihat di panel Sumber untuk membuka tampilan Penilaian Sumber API:

Panel penilaian sumber.

Histori Skor Sumber menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbaru. Tabel Detail penilaian menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi sumber

Jika kategori memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat rekomendasi untuk kategori penyalahgunaan, klik barisnya di tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi penyalahgunaan di panel Rekomendasi.

Untuk melihat detail penyalahgunaan, klik Lihat Detail. Tindakan ini akan membuka tampilan Traffic yang Terdeteksi di halaman Deteksi penyalahgunaan. Tampilan Traffic yang Terdeteksi menampilkan informasi mendetail tentang penyalahgunaan yang terdeteksi.

Di bawah baris Lihat Detail, panel Rekomendasi menampilkan:

  • Rekomendasi: "Blokir atau izinkan lalu lintas yang diidentifikasi oleh deteksi penyalahgunaan" ditampilkan.
  • Baris Tindakan menampilkan link ke dokumentasi untuk rekomendasi penyalahgunaan.

Penilaian proxy

Penilaian proxy API menghitung skor untuk semua proxy di lingkungan. Untuk melihat penilaian proxy, klik Lihat di panel Proxy untuk membuka tampilan Penilaian Proxy API:

Panel penilaian proxy.

Histori Skor Proxy menampilkan skor selama 5 hari terakhir, beserta skor rata-rata dan skor terbaru. Tabel Detail penilaian menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi proxy

Jika proxy memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Misalnya, untuk melihat rekomendasi untuk proxy hellooauth2, klik barisnya di tabel Detail penilaian. Tindakan ini akan menampilkan rekomendasi di panel Recommendations. Dua di antaranya ditampilkan di bawah.

Rekomendasi proxy.

Penilaian target

Penilaian target menghitung skor mTLS untuk setiap server target di lingkungan. Skor target ditetapkan sebagai berikut:

  • Tidak ada TLS: 200
  • TLS satu arah ada: 900
  • Hadirnya mTLS atau autentikasi dua arah: 1200

Untuk melihat penilaian target, klik Lihat di panel Target untuk membuka tampilan Penilaian Target API:

Panel penilaian target.

Histori Skor Target menampilkan skor selama 5 hari terakhir, beserta rata-rata dan skor terbaru. Tabel Detail penilaian menampilkan skor individu terbaru untuk kategori penilaian.

Rekomendasi target

Jika server target memiliki skor rendah, Anda dapat melihat rekomendasi untuk meningkatkannya. Untuk melihat penilaian server target, klik barisnya. Tindakan ini akan menampilkan rekomendasi di panel Recommendations.

Rekomendasi proxy.

Rekomendasi penyalahgunaan

Jika skor sumber rendah, Apigee merekomendasikan agar Anda meninjau IP yang terdeteksi melakukan penyalahgunaan. Kemudian, jika Anda setuju bahwa traffic dari IP tersebut bersifat tidak sah, gunakan halaman Tindakan keamanan untuk memblokir permintaan dari alamat IP yang merupakan sumber traffic tidak sah.

Untuk mendapatkan informasi selengkapnya tentang penyalahgunaan, Anda dapat menggunakan salah satu referensi berikut: