Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica e UI della valutazione del rischio

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Panoramica

La valutazione del rischio di Advanced API Security valuta continuamente le configurazioni dei proxy API e calcola i punteggi di sicurezza per aiutarti a identificare e risolvere le vulnerabilità nelle tue API.

L'analisi del rischio ti aiuta a:

Applica standard di sicurezza coerenti a tutte le API.
Rileva configurazioni errate nelle configurazioni delle API.
Migliora il tuo punteggio di sicurezza complessivo con le azioni consigliate.
Esamina e risolvi rapidamente i problemi di sicurezza tramite una dashboard centralizzata.

Oltre a valutare il rischio attuale di ogni proxy, la valutazione del rischio può essere utilizzata per monitorare la postura di sicurezza delle tue API nel tempo. Un punteggio di valutazione che fluttua potrebbe indicare che il comportamento dell'API cambia frequentemente, inclusi i proxy di cui è stato eseguito il deployment senza i criteri di sicurezza necessari, le modifiche al flusso condiviso tramite i deployment degli hook di flusso e le aggiunte di criteri FlowCallout e le modifiche al server di destinazione nei deployment di ambiente o proxy.

Puoi accedere alla valutazione del rischio tramite la UI di Apigee, come descritto in questa pagina, oppure tramite l'API per profili e punteggi di sicurezza.

Consulta Ruoli richiesti per la valutazione del rischio per i ruoli necessari per eseguire le attività di valutazione del rischio.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo negli ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Advanced API Security.

Valutazione dei rischi v1 e v2

La valutazione del rischio è disponibile in due versioni: Valutazione del rischio v1, che è disponibile a livello generale, e Valutazione del rischio v2, che è in anteprima. L'utilizzo di una delle due versioni richiede il componente aggiuntivo Advanced API Security.

Le principali differenze tra le funzionalità della v1 e della v2 sono:

La versione 2 include:
- Affidabilità migliorata, inclusi calcoli del punteggio più rapidi con dati proxy recenti
- Calcolo del punteggio senza la necessità di collegare prima un profilo di sicurezza a un ambiente
- Presentazione semplificata del punteggio, basata su una scala da 0% a 100%
- Il concetto di pesi di controllo della valutazione, che la versione 1 non supporta. Consulta Concetti e punteggio della valutazione del rischio.
- Valutazioni aggiuntive rispetto alla versione 1, che controllano più norme durante il calcolo dei punteggi. Ad esempio, la versione 1 supporta cinque policy relative all'autorizzazione e all'autenticazione, mentre la versione 2 ne supporta otto. Inoltre, la versione 2 include una categoria di gestione del traffico con norme associate ed esegue controlli aggiuntivi nelle norme, anche per l'attributo continueOnError.
- Controlli dei flussi condivisi nidificati e degli hook di flusso fino a cinque livelli di nidificazione. La v1 non valuta le norme incluse tramite il concatenamento dei flussi condivisi.
- Sostituzione dei punteggi target (punteggi del server di destinazione) con valutazioni e consigli basati su proxy. Se un target viene utilizzato in un proxy, i punteggi di sicurezza per quel proxy includono anche il punteggio per il server di destinazione.
- Profili personalizzati che utilizzano i nuovi controlli di valutazione v2 e il profilo di sistema google-default.
- Monitoraggio dei punteggi e delle metriche di sicurezza nel tempo utilizzando Cloud Monitoring e configurazione degli avvisi utilizzando gli avvisi di Cloud Monitoring.
La versione 2 non supporta la valutazione delle origini in base al traffico illecito.

Risk Assessment v2

Questa sezione descrive la valutazione del rischio v2, la nuova versione della valutazione del rischio. Alcuni concetti e comportamenti della valutazione del rischio differiscono tra la v1 e la v2. Per l'utilizzo con la versione 1 di Risk Assessment, consulta Risk Assessment v1.

Concetti e metodologia di assegnazione del punteggio della valutazione del rischio v2

I punteggi di sicurezza della valutazione del rischio valutano il rischio di sicurezza delle tue API in base al punteggio delle valutazioni della sicurezza e ai pesi in un profilo di sicurezza.

Il punteggio di valutazione del rischio si basa su:

Valutazioni e controlli delle valutazioni:i singoli controlli eseguiti sui proxy e su quali proxy vengono valutati. Ogni controllo ha anche un peso, che conferisce a un controllo maggiore o minore importanza quando viene valutato rispetto a un proxy. I pesi sono impostati su minore, moderato o maggiore per ogni controllo. Ogni peso ha un valore in punti che viene utilizzato per calcolare un punteggio:
- Minore: 1
- Moderata: 5
- Major: 15
Profilo di sicurezza: una raccolta di controlli di valutazione rispetto ai quali vengono valutati i proxy di cui è stato eseguito il deployment in un ambiente.
Punteggio di sicurezza:il punteggio di un proxy dopo la valutazione in base a un profilo di sicurezza.

Il punteggio è un valore compreso tra 0% e 100%. 100% indica che il proxy è pienamente conforme alla valutazione e non sono stati rilevati rischi in base ai controlli della valutazione.

Il punteggio di sicurezza è essenzialmente il totale di tutti i punti assegnati per i controlli del test superati diviso per il totale dei punti potenziali nel profilo. Il punteggio è una media ponderata, quindi più criteri ha il profilo di sicurezza, minore è l'impatto di ogni controllo di valutazione sul punteggio di sicurezza.

Anche il peso del controllo di valutazione influisce sul punteggio di sicurezza. I pesi più elevati hanno un impatto maggiore sul calcolo, mentre quelli più bassi hanno un impatto minore, utilizzando il valore in punti per ciascun peso. Se i pesi sono uguali per tutti i controlli di valutazione nel profilo di sicurezza (ad esempio quando tutti i controlli di valutazione hanno un peso medio), il punteggio di sicurezza viene calcolato come una media normale.
Gravità:un valore di gravità per ogni proxy valutato, in base al punteggio di sicurezza. I valori potenziali di gravità sono elevati (0-50%), medi (51-90%), bassi (91-99%) e minimi (100%/nessun rischio rilevato in base alle valutazioni nel profilo di sicurezza assegnato).

Categorie e controlli della valutazione

Questa tabella mostra le categorie di valutazione e i singoli controlli che possono far parte dei profili di sicurezza. Mostra anche consigli su come risolvere i problemi relativi ai test non superati per ciascuno.

Categoria di valutazione Descrizione

Auth

In questo caso, "Auth" si riferisce sia all'autorizzazione che all'autenticazione. Le valutazioni dell'autenticazione controllano se sono presenti criteri di autorizzazione e autenticazione e se l'attributo continueOnError per i criteri di autenticazione è impostato su false.

Controllo / nome del test	Descrizione	Consiglio
Controllo delle policy di autenticazione / `auth-policies-check`	Controlla se sono attivate le seguenti norme di autenticazione: AccessControl, BasicAuthentication, HMAC, OAuth, ValidateSAMLAssertion, VerifyAPIKey, VerifyJWS o VerifyJWT policy.	Almeno una delle policy richieste al proxy
continueOnError check in auth policies / `continue-on-error-auth-policies-check`	Controlla se il campo `continueOnError` è abilitato in tutti i criteri di autenticazione nel proxy. Ciò comporta il controllo dell'utilizzo di una policy di autenticazione e questo controllo non ha alcun impatto se non sono presenti policy di autenticazione nel proxy.	Imposta `continueOnError` su false per tutte le policy di autenticazione incluse nel proxy.
Controllo delle norme AccessControl / `access-control-policy-check`	Indica se il criterio AccessControl è in uso.	Aggiungi la policy AccessControl al proxy.
Controllo delle norme BasicAuthentication / `basic-auth-policy-check`	Indica se il criterio BasicAuthentication è in uso.	Aggiungi la policy BasicAuthentication al proxy.
Controllo dei criteri HMAC / `hmac-policy-check`	Se il criterio HMAC è in uso.	Aggiungi la policy HMAC al proxy.
Controllo dei criteri OAuthV2 / `oauthv2-policy-check`	Indica se è in uso il criterio OAuth.	Aggiungi il criterio OAuthV2 al proxy.
Controllo dei criteri ValidateSAMLAssertion / `validate-saml-assertion-policy-check`	Indica se è in uso il criterio ValidateSAMLAssertion.	Aggiungi il criterio ValidateSAMLAssertion al proxy.
Policy VerifyAPIKey / `verify-api-key-policy-check`	Se il criterio VerifyAPIKey è in uso.	Aggiungi il criterio VerifyAPIKey al proxy.
VerifyJWS policy / `verify-jws-policy-check`	Se viene utilizzato il criterio VerifyJWS.	Aggiungi il criterio VerifyJWS al proxy.
Policy VerifyJWT / `verify-jwt-policy-check`	Se viene utilizzato il criterio VerifyJWT.	Aggiungi la policy VerifyJWT al proxy.

CORS

Controlla se sono presenti un criterio CORS o un'intestazione CORS nel criterio AssignMessage.

Controllo / nome del test	Descrizione	Consiglio
Controllo delle policy CORS / `cors-policies-check`	Controlla se sono presenti un criterio CORS o un'intestazione CORS nel criterio AssignMessage.	Aggiungi la policy CORS o AssignMessage con le intestazioni CORS al proxy.
Controllo della policy CORS / `cors-policy-check`	Controlla se è in uso un criterio CORS.	Aggiungi la policy CORS al proxy.
Controllo della policy AssignMessage di CORS / `cors-assignmessage-policy-check`	Controlla se le intestazioni CORS sono aggiunte in un criterio AssignMessage.	Aggiungi al proxy la policy AssignMessage con le intestazioni CORS.

Mediazione

Controlla se è attivata una policy di mediazione.

Controllo / nome del test	Descrizione	Consiglio
Controllo delle norme di mediazione / `mediation-policies-check`	Controlla se è attivata una delle seguenti policy di mediazione: SOAPMessageValidation o OASValidation.	Aggiungi uno dei seguenti criteri di mediazione al tuo proxy: SOAPMessageValidation o OASValidation.
Controllo dei criteri SOAPMessageValidation / `soap-validation-policy-check`	Controlla se è in uso il criterio SOAPMessageValidation.	Aggiungi il criterio SOAPMessageValidation al proxy.
Controllo dei criteri OASValidation / `oas-validation-policy-check`	Controlla se viene utilizzata la norma OASValidation.	Aggiungi la policy OASValidationCheck al proxy.

Target

Controlla se vengono utilizzate le protezioni del server di destinazione. Per informazioni sulla configurazione del server di destinazione, vedi Bilanciamento del carico tra server di backend.

Controllo / nome del test	Descrizione	Consiglio
Controllo TLS del server di destinazione / `tls-target-server-check`	Controlla la presenza di TLS/SSL nei server di destinazione.	Configura TLS/SSL in tutti i server di destinazione configurati nel proxy per comunicazioni sicure.
Controllo mTLS del server di destinazione / `mtls-target-server-check`	Controlla la presenza di mTLS nei server di destinazione.	Configura mTLS in tutti i server di destinazione configurati nel proxy per la massima sicurezza.
Target Server enforce field check / `target-enforce-field-check`	Controlla se il campo `Enforce` è abilitato nella configurazione del server di destinazione.	Configura il campo Enforce per applicare SSL rigoroso tra il proxy Apigee e la destinazione.

Minaccia

Controlla se vengono utilizzate le norme di prevenzione delle minacce.

Controllo / nome del test	Descrizione	Consiglio
Controllo delle policy relative alle minacce / `threat-policies-check`	Controlla se sono abilitati i seguenti criteri di protezione dalle minacce: JSONThreatProtection, RegularExpressionProtection, o XMLThreatProtection.	Aggiungi uno dei criteri per le minacce richiesti al tuo proxy.
continueOnError check in threat policies / `continue-on-error-threat-policies`	Verifica se il campo `continueOnError` è abilitato in tutte le policy di protezione dalle minacce utilizzate nel proxy. Ciò comporta il controllo dell'utilizzo di una policy per le minacce e questo controllo non ha alcun impatto se non sono presenti policy per le minacce nel proxy.	Imposta `continueOnError` su `false` per tutte le policy di protezione dalle minacce in uso nel proxy.
Controllo delle policy JSONThreatProtection / `json-threat-protection-policy-check`	Controlla se viene utilizzato il criterio JSONThreatProtection.	Aggiungi la norma JSONThreatProtection al proxy.
Controllo del criterio RegularExpressionProtection / `regex-protection-policy-check`	Controlla se viene utilizzato il criterio RegularExpressionProtection.	Aggiungi il criterio RegularExpressionProtection al proxy.
Controllo dei criteri XMLThreatProtection / `xml-threat-protection-policy-check`	Controlla se è in uso il criterio XMLThreatProtection.	Aggiungi il criterio XMLThreatProtection al proxy.

Traffico

Controlla se sono in vigore norme di gestione del traffico.

Controllo / nome del test	Descrizione	Consiglio
Controllo dei criteri di gestione del traffico / `traffic-management-policies-check`	Controlla se sono attivate una delle seguenti norme di gestione del traffico: LookupCache, Quota, ResponseCache, o SpikeArrest.	Aggiungi una delle policy di gestione del traffico al tuo proxy.
Controllo delle norme LookupCache / `lookup-cache-policy-check`	Controlla se il criterio LookupCache è attivato.	Aggiungi il criterio LookupCache al proxy.
Controllo dei criteri per le quote / `quota-policy-check`	Controlla se vengono utilizzate le norme relative alle quote.	Aggiungi la norma Quota al proxy.
Controllo delle norme ResponseCache / `response-cache-policy-check`	Controlla se è in uso il criterio ResponseCache.	Aggiungi il criterio ResponseCache al proxy.
Controllo delle norme SpikeArrest / `spike-arrest-policy-check`	Controlla se viene utilizzata la norma SpikeArrest.	Aggiungi il criterio SpikeArrest al proxy.

Punteggi di sicurezza del proxy e degli allegati dei criteri

Per le valutazioni proxy, i punteggi di sicurezza si basano sui criteri che utilizzi. La modalità di valutazione di queste norme dipende dal fatto che siano associate o meno ai flussi e dalla modalità di associazione:

Solo le norme associate a un flusso (pre-flusso, flusso condizionale, post-flusso nei proxy o flusso condiviso) influiscono sui punteggi. I criteri non collegati ad alcun flusso non influenzano i punteggi.
I punteggi proxy tengono conto dei flussi condivisi chiamati da un proxy tramite hook di flusso e criteri FlowCallout nel proxy, a condizione che il criterio FlowCallout sia collegato a un flusso. Tuttavia, se FlowCallout non è collegato a un flusso, i criteri del flusso condiviso collegato non influiscono sui punteggi di sicurezza.
I flussi condivisi concatenati vengono valutati fino a cinque livelli di profondità. Tutte le policy incluse direttamente nel proxy e nei primi cinque livelli di flussi condivisi vengono conteggiate ai fini del punteggio di sicurezza.
Per le policy associate ai flussi condizionali, i punteggi di sicurezza tengono conto solo della presenza delle policy, non della loro applicazione o modalità di applicazione in fase di runtime.

Profili di sicurezza v2

Un profilo di sicurezza è un insieme di valutazioni e ponderazioni di sicurezza in base alle quali valutare i proxy API. Puoi utilizzare il profilo di sicurezza predefinito di Apigee, chiamato google-default, oppure puoi creare un profilo di sicurezza personalizzato che contenga solo le categorie di sicurezza e i pesi che vuoi valutare.

Quando lavori con i profili di sicurezza o crei profili di sicurezza personalizzati, tieni presente che più controlli di valutazione all'interno di una categoria vengono valutati singolarmente.

Ad esempio, se in un profilo di sicurezza sono presenti tre controlli delle norme di autenticazione e il proxy valutato ne include uno, il punteggio di valutazione includerà i punti completi per la norma trovata e zero punti per le altre due norme non presenti. In questo esempio, il proxy valutato non riceverebbe il punteggio pieno per i controlli dei criteri di autenticazione anche se include un criterio di autenticazione. Fai attenzione all'interpretazione del punteggio di sicurezza e alla progettazione del profilo di sicurezza dato questo comportamento.

Profilo di sicurezza predefinito

Advanced API Security fornisce un profilo di sicurezza predefinito che contiene tutte le valutazioni. Quando utilizzi il profilo predefinito, i punteggi di sicurezza si basano su tutte le categorie.

Il profilo di sicurezza predefinito, google-default, non può essere modificato o eliminato.

Profilo di sicurezza personalizzato

Puoi creare profili di sicurezza personalizzati che includono solo i controlli e i pesi di valutazione che hai scelto per valutare i proxy. Per istruzioni sulla creazione e l'utilizzo di profili di sicurezza personalizzati dall'interfaccia utente di Apigee, vedi Gestire profili personalizzati nell'interfaccia utente di Apigee.

Per i profili di sicurezza personalizzati:

Il nome del profilo (chiamato anche ID profilo) è obbligatorio e viene visualizzato nella tabella riepilogativa quando vengono elencati i profili. Il nome deve contenere da 1 a 63 caratteri, che possono essere lettere minuscole, numeri da 0 a 9 o trattini. Il primo carattere deve essere una lettera minuscola. L'ultimo carattere deve essere una lettera minuscola o un numero. I profili di sicurezza personalizzati devono avere nomi univoci e non possono duplicare i nomi dei profili esistenti.
La descrizione del profilo è facoltativa e non può superare i 1000 caratteri.

Condizioni di monitoraggio e avvisi

Advanced API Security ti consente di aggiungere condizioni di monitoraggio alla valutazione del rischio. Una volta creata una condizione di monitoraggio, la valutazione del rischio pubblica le metriche del punteggio di sicurezza in Cloud Monitoring. Cloud Monitoring può monitorare i punteggi di sicurezza nel tempo per i proxy valutati in base ai profili di sicurezza.

Per utilizzare le condizioni di monitoraggio:

Acquisisci familiarità con la funzionalità Cloud Monitoring.
Assicurati di disporre dei ruoli o delle autorizzazioni necessari per gestire le condizioni di monitoraggio. Consulta Ruoli richiesti per la valutazione del rischio.
Utilizza la UI o l'API Apigee per creare e gestire le condizioni di monitoraggio. Consulta Gestire le condizioni di monitoraggio e gli avvisi nell'interfaccia utente Apigee e Gestire le condizioni di monitoraggio nell'API.
Nota: quando viene creata una nuova condizione di monitoraggio o viene modificata una condizione di monitoraggio esistente, sono necessari fino a 5 minuti prima che le modifiche vengano riflesse nelle metriche di Cloud Monitoring.

Dopo aver creato una condizione di monitoraggio, puoi configurare avvisi di monitoraggio sulle metriche della condizione, utilizzando gli avvisi di Cloud Monitoring.

Per creare avvisi di monitoraggio dall'interfaccia utente Apigee, vedi Gestire condizioni di monitoraggio e avvisi nell'interfaccia utente Apigee. Per informazioni sugli avvisi in Advanced API Security e su come gestirli, vedi Avvisi di sicurezza.

Limitazioni e problemi noti nella valutazione del rischio v2

I punteggi di sicurezza presentano le seguenti limitazioni e problemi noti:

I punteggi di sicurezza vengono generati solo se in un ambiente sono stati implementati proxy.
I proxy appena implementati e le organizzazioni e gli ambienti appena attivati non mostrano immediatamente i punteggi. Per informazioni, consulta Ritardi nei dati.
Per i profili personalizzati, puoi creare un massimo di 100 profili personalizzati per organizzazione.
Al momento non è supportata la notifica di nuovi calcoli e punteggi dei test.
Può esistere una sola condizione di monitoraggio per una combinazione di ambito e profilo di sicurezza. Se un profilo fa già parte di una condizione di monitoraggio esistente per l'ambito selezionato, viene visualizzato un messaggio di avviso che impedisce la creazione della nuova condizione.
Vengono monitorati solo i proxy di cui è stato eseguito il deployment. Se un proxy incluso in una condizione di monitoraggio viene ritirato, non viene monitorato e non viene visualizzato come monitorato nei dettagli della condizione di monitoraggio. Al momento del nuovo deployment, il proxy viene monitorato automaticamente e viene visualizzato come monitorato nei dettagli della condizione di monitoraggio.
Puoi creare un massimo di 1000 condizioni di monitoraggio della sicurezza per organizzazione.
I nuovi punteggi monitorati da una condizione di monitoraggio della sicurezza potrebbero richiedere fino a 5 minuti per essere visualizzati in Cloud Monitoring.
I punteggi di sicurezza sono disponibili in Cloud Monitoring per un massimo di 6 settimane. Vedi Conservazione dei dati.

Ritardi nei dati

I dati per cui sono disponibili i punteggi di sicurezza di Advanced API Security hanno le seguenti finestre di elaborazione prima che i risultati siano disponibili:

Quando attivi Advanced API Security in un'organizzazione per la prima volta, occorre del tempo prima che i punteggi dei proxy e dei target esistenti vengano riflessi in un ambiente. Come linea guida, prevedi da 30 a 90 minuti per le organizzazioni con abbonamento e meno tempo per le organizzazioni con pagamento a consumo.
I nuovi eventi correlati ai proxy (deployment e undeployment) e alle destinazioni (creazione, aggiornamento, eliminazione) in un ambiente richiedono almeno 60 secondi e fino a 5 minuti (per ambienti molto grandi) per essere visualizzati nel punteggio dell'ambiente.

Visualizzare le valutazioni del rischio nella UI di Apigee

La pagina Valutazione del rischio mostra i punteggi che misurano la sicurezza della tua API in ogni ambiente.

Per aprire la pagina Valutazione dei rischi:

Nella console Google Cloud , vai alla pagina Sicurezza API avanzata > Valutazione del rischio.

Vai alla valutazione del rischio

Viene visualizzata la pagina Valutazione del rischio:

Pagina principale della valutazione del rischio.

La pagina è suddivisa nelle seguenti sezioni:

Ambiente: seleziona l'ambiente in cui visualizzare le valutazioni.
Profilo di sicurezza: seleziona il profilo predefinito (google-default) o un profilo personalizzato, se disponibile. Consulta Profili di sicurezza per informazioni sui profili di sicurezza.
Proxy di cui è stato eseguito il deployment per gravità: una volta impostato l'ambiente, la pagina mostra un riepilogo delle gravità nei proxy in quell'ambiente. Consulta Concetti e punteggio della valutazione del rischio.
Dettagli della valutazione: mostra il profilo di sicurezza, la data e l'ora della valutazione, il totale delle configurazioni valutate e il totale dei proxy di cui è stato eseguito il deployment per l'ambiente selezionato. Il conteggio totale delle configurazioni valutate riflette il numero totale di "controlli" eseguiti. Questo conteggio potrebbe essere superiore al numero di valutazioni in un profilo; alcune valutazioni, come la verifica che l'attributo "continueOnError" sia impostato su false, controllano anche se i criteri correlati sono implementati e attivati.
Proxy di cui è stato eseguito il deployment: un riepilogo dei proxy di cui è stato eseguito il deployment nell'ambiente e dei relativi punteggi di valutazione dei rischi:
- Proxy: il nome del proxy.
- Gravità: la gravità della valutazione del rischio per il proxy. Per informazioni, consulta Punteggi e gravità della sicurezza.
- Punteggio: il punteggio di valutazione del rischio per il proxy. Per informazioni, consulta Concetti e punteggio della valutazione del rischio.
  Nota:se non è possibile calcolare un punteggio per l'ambiente a causa delle limitazioni dei punteggi di sicurezza, nel campo del nome proxy viene visualizzata un'icona e un messaggio che indica che i punteggi non sono ancora disponibili.
- Revisione: la revisione del proxy su cui è stato valutato il punteggio.
- Valutazioni non superate per peso: il numero di valutazioni non superate raggruppate in base al peso della valutazione.
- Consigli: consigli specifici per migliorare il punteggio del proxy. Fai clic sul numero per visualizzare i consigli.

Gestire i profili personalizzati nell'interfaccia utente di Apigee

Questa sezione mostra come visualizzare, creare, modificare ed eliminare i profili personalizzati utilizzando la UI di Apigee. Tieni presente le limitazioni dei profili personalizzati elencate in Limitazioni dei punteggi di sicurezza.

Inizia visualizzando le valutazioni dei rischi nella UI di Apigee.

Creare e modificare profili personalizzati

Nella schermata Valutazione del rischio, seleziona la scheda Profili di sicurezza. Per modificare un profilo esistente, fai clic sul nome del profilo per visualizzarne i dettagli, quindi fai clic su Modifica. In alternativa, puoi selezionare Modifica dal menu Azioni nella riga del profilo.

Per creare un nuovo profilo personalizzato, fai clic su + Crea nell'elenco dei profili di sicurezza.

Quando crei o modifichi un profilo personalizzato, puoi impostare questi valori:

Nome: il nome del profilo di sicurezza. Assicurati che sia univoco per il progetto.
(Facoltativo) Descrizione. Una descrizione del profilo di sicurezza.
Controlli della valutazione e Ponderazione della valutazione: uno o più controlli della valutazione da valutare rispetto ai proxy e un peso per ciascuno. Consulta Concetti e punteggio della valutazione del rischio per un elenco dei controlli di valutazione disponibili. Per aggiungere ulteriori controlli e pesi di valutazione al profilo, fai clic su + Aggiungi. Per eliminare una coppia di controlli/peso, fai clic sull'icona del cestino nella riga della coppia.

Profili duplicati

Per duplicare un profilo esistente (per creare un nuovo profilo personalizzato), seleziona Duplica dal menu Azioni nella riga del profilo o fai clic sul nome del profilo nell'elenco dei profili per visualizzare i metadati del profilo, quindi fai clic su Duplica.

Il nome del nuovo profilo personalizzato non può corrispondere a quello del profilo duplicato. Consulta Profilo di sicurezza personalizzato per i requisiti di denominazione dei profili di sicurezza.

Eliminare profili personalizzati

Per eliminare un profilo personalizzato esistente, seleziona Elimina dal menu Azioni nella riga del profilo oppure fai clic sul nome del profilo nell'elenco dei profili per visualizzare i metadati del profilo e poi fai clic su Elimina.

Tieni presente che non puoi eliminare il profilo di sistema predefinito (google-default).

L'eliminazione di un profilo personalizzato è effettiva immediatamente e rimuove la possibilità di valutare i proxy in base a quel profilo o di visualizzare le valutazioni precedenti in base a quel profilo personalizzato.

Gestisci le condizioni di monitoraggio e gli avvisi dall'interfaccia utente Apigee

Questa sezione mostra come visualizzare, creare, modificare ed eliminare le condizioni di monitoraggio e creare avvisi di monitoraggio utilizzando la UI di Apigee. Per informazioni su questa funzionalità, consulta Condizioni e avvisi di monitoraggio.

Inizia visualizzando le valutazioni del rischio nell'interfaccia utente di Apigee e poi selezionando la scheda Condizioni di monitoraggio.

Visualizzare, creare e modificare le condizioni di monitoraggio

La pagina principale elenca le condizioni di monitoraggio esistenti. Per visualizzare i dettagli di una condizione di monitoraggio esistente, fai clic sul valore Proxy monitorati/totale proxy di cui è stato eseguito il deployment nella riga relativa a quella condizione di monitoraggio. Per modificare una condizione esistente, seleziona Modifica dal menu Azioni nella riga della condizione di monitoraggio. Per creare una nuova condizione di monitoraggio, fai clic su + Crea condizione di monitoraggio sopra l'elenco dei risultati.

Le condizioni di monitoraggio includono le seguenti impostazioni:

Ambiente: l'ambiente in cui viene creata la condizione di monitoraggio. Non modificabile dopo la creazione della condizione di monitoraggio.
Profilo di sicurezza/Profilo: il profilo di sicurezza valutato.
Condizione/i: indica se Include all o Include i proxy specificati dall'ambiente. Se è selezionato Include, seleziona ogni proxy da includere selezionando la casella accanto al nome del proxy.

Visualizzazione delle metriche di Monitoring

Visualizza le metriche per una condizione di monitoraggio in Cloud Monitoring. Per visualizzare le metriche, fai clic su Visualizza nella riga della condizione di monitoraggio.

Elimina le condizioni di monitoraggio

Per eliminare una condizione di monitoraggio esistente, seleziona Elimina dal menu Azioni nella riga della condizione di monitoraggio, quindi conferma.

Si verifica un leggero ritardo prima che le metriche di Cloud Monitoring smettano di essere pubblicate.

Creare avvisi di monitoraggio

Per creare un nuovo avviso di monitoraggio, seleziona Crea avviso di monitoraggio dal menu Azioni nella riga della condizione di monitoraggio. Questa azione ti indirizza alla pagina Avvisi di Cloud Monitoring nella console Google Cloud e precompila alcuni valori in base alla condizione di monitoraggio. Per ulteriori informazioni, consulta Avvisi di sicurezza.

Analisi del rischio v1

Questa sezione descrive l'analisi del rischio v1. Per informazioni sulla valutazione del rischio v2, consulta Valutazione del rischio v2.

Punteggi di sicurezza

I punteggi di sicurezza valutano la sicurezza delle tue API, nonché la loro security posture nel tempo. Ad esempio, un punteggio che oscilla molto potrebbe indicare che il comportamento dell'API cambia frequentemente, il che potrebbe non essere auspicabile. Le modifiche in un ambiente che potrebbero causare un calo del punteggio includono:

Deployment di molti proxy API senza i criteri di sicurezza necessari.
Un picco di traffico illecito da sorgenti dannose.

Osservare le modifiche ai punteggi di sicurezza nel tempo fornisce un buon indicatore di qualsiasi attività indesiderata o sospetta nell'ambiente.

I punteggi di sicurezza vengono calcolati in base al tuo profilo di sicurezza, che specifica le categorie di sicurezza che vuoi che i punteggi valutino. Puoi utilizzare il profilo di sicurezza predefinito di Apigee oppure puoi creare un profilo di sicurezza personalizzato che includa solo le categorie di sicurezza più importanti per te.

Tipi di valutazione dei punteggi di sicurezza

Esistono tre tipi di valutazione che contribuiscono al punteggio di sicurezza complessivo calcolato da Advanced API Security:

Valutazione dell'origine: valuta il traffico di abusi rilevato utilizzando le regole di rilevamento di Advanced API Security. Il termine "abuso" si riferisce a richieste inviate all'API per scopi diversi da quelli per cui è stata progettata.

Nota:i punteggi delle fonti vengono calcolati in base a un intervallo di tempo che inizia alle ore 00:00 UTC del giorno corrente e termina all'ora attuale.
Valutazione del proxy: valuta il livello di implementazione dei vari criteri di sicurezza nei seguenti ambiti:
- Mediazione: verifica se una delle seguenti policy di mediazione è configurata per tutti i proxy nell'ambiente: OASValidation o SOAPMessageValidation.
- Sicurezza:
  - Autorizzazione: verifica se uno dei seguenti criteri di autorizzazione è configurato per tutti i proxy nell'ambiente:
  - CORS: verifica se CORS è configurato.
  - Threat: verifica se uno dei seguenti criteri è configurato per tutti i proxy nell'ambiente: XMLThreatProtection o JSONThreatProtection.
Per saperne di più, consulta Come le norme influiscono sui punteggi di sicurezza dei proxy.
Valutazione della destinazione: controlla se la sicurezza del livello di trasporto reciproco (mTLS) è configurata con i server di destinazione nell'ambiente.

A ciascuno di questi tipi di valutazione viene assegnato un punteggio proprio. Il punteggio complessivo è la media dei punteggi dei singoli tipi di valutazione.

In che modo i criteri influiscono sui punteggi di sicurezza dei proxy

Solo le norme associate a un flusso (pre-flusso, flusso condizionale, post-flusso nei proxy o flusso condiviso) influiscono sui punteggi. I criteri non collegati ad alcun flusso non influenzano i punteggi.
I punteggi proxy tengono conto dei flussi condivisi chiamati da un proxy tramite hook di flusso e criteri FlowCallout nel proxy, a condizione che il criterio FlowCallout sia collegato a un flusso. Tuttavia, se FlowCallout non è collegato a un flusso, le norme del flusso condiviso collegato non influiscono sui punteggi di sicurezza.
L'incatenamento del flusso condiviso non è supportato. Le norme incluse tramite il concatenamento dei flussi condivisi non vengono valutate durante il calcolo dei punteggi di sicurezza.
Per le policy associate ai flussi condizionali, i punteggi di sicurezza tengono conto solo della presenza delle policy, non della loro applicazione o modalità di applicazione in fase di runtime.

Profili di sicurezza

Un profilo di sicurezza è un insieme di categorie di sicurezza (descritte di seguito) in base alle quali vuoi che le tue API vengano valutate. Un profilo può contenere qualsiasi sottoinsieme delle categorie di sicurezza. Per visualizzare i punteggi di sicurezza di un ambiente, devi prima collegare un profilo di sicurezza all'ambiente. Puoi utilizzare il profilo di sicurezza predefinito di Apigee oppure creare un profilo di sicurezza personalizzato che contenga solo le categorie di sicurezza importanti per te.