風險評估總覽和使用者介面

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

總覽

Advanced API Security 風險評估會持續評估 API Proxy 設定,並計算安全分數,協助您找出及解決 API 中的安全漏洞。

風險評估可協助您:

  • 在所有 API 中強制執行一致的安全標準。
  • 偵測 API 設定中的錯誤設定。
  • 採取建議行動,提高整體安全分數。
  • 透過集中式資訊主頁,快速調查及解決安全性問題。

除了評估每個 Proxy 目前的風險,風險評估還可用於監控 API 的安全防護機制隨時間的變化。如果評估分數有變動,可能表示 API 行為經常變更,包括部署 Proxy 時未採用必要的安全政策、透過流程掛鉤部署項目修改共用流程,以及新增 FlowCallout 政策,還有環境或 Proxy 部署項目中的目標伺服器變更。

您可以透過 Apigee 使用者介面存取風險評估 (如本頁所述),也可以透過 Security scores and profiles API 存取。

如要瞭解執行風險評估工作所需的角色,請參閱「 風險評估的必要角色」。

如要使用這項功能,請啟用外掛程式。如果您是訂閱方案客戶,可以為機構啟用外掛程式。詳情請參閱「 管理訂閱機構的進階 API 安全性」。如果您是隨用隨付方案客戶,可以在符合資格的環境中啟用外掛程式。詳情請參閱「 管理進階 API 安全性外掛程式」。

風險評估第 1 版和第 2 版

風險評估有兩個版本:風險評估第 1 版 (正式發布) 和風險評估第 2 版 (預先發布)。如要使用任一版本,都必須加購 Advanced API Security 外掛程式。

v1 和 v2 的主要功能差異如下:

  • v2 包含:
    • 提升可靠性,包括使用近期代理伺服器資料更快計算分數
    • 不必先將安全性設定檔附加至環境,即可計算分數
    • 簡化分數呈現方式,以 0% 到 100% 的比例顯示
    • 評估檢查權重概念,第 1 版不支援這項概念。請參閱「風險評估概念和評分」。
    • 相較於第 1 版,第 2 版會進行額外評估,在計算分數時檢查更多政策。 舉例來說,第 1 版支援五項授權和驗證相關政策,第 2 版則支援八項。此外,第 2 版還包含「流量管理」類別和相關政策,並在政策中執行額外檢查,包括 continueOnError 屬性。
    • 檢查巢狀共用流程和流程掛鉤,最多可檢查五層巢狀結構。v1 不會評估透過共用流程鏈結納入的政策。
    • 以 Proxy 評估和建議取代目標分數 (目標伺服器分數)。如果 Proxy 中使用目標,該 Proxy 的安全性分數也會包含目標伺服器的分數。
    • 使用新版 v2 評估檢查的自訂設定檔,以及google-default系統設定檔。
    • 使用 Cloud Monitoring 監控安全性分數和指標的變化,並使用 Cloud Monitoring 快訊設定快訊。
  • 第 2 版不支援根據濫用流量進行來源評估。

風險評估 v2

本節說明風險評估第 2 版,也就是新版風險評估。第 1 版和第 2 版的風險評估概念和行為有所不同。如要搭配風險評估第 1 版使用,請參閱風險評估第 1 版

風險評估第 2 版概念和評分方法

風險評估安全分數會根據安全設定檔中的安全評估分數和權重,評估 API 的安全風險。

風險評估分數的依據如下:

  • 評估和評估檢查:針對 Proxy 執行的個別檢查,以及 Proxy 的評分依據。每項檢查也有權重,可讓檢查在評估代理程式時更重要或不重要。每項檢查的權重可設為次要、中等或主要。每個權重都有一個分數值,用於計算分數:
    • 次要:1
    • 中:5
    • Major:15
  • 安全性設定檔:一組評估檢查,用於評估環境中部署的 Proxy。
  • 安全性分數:根據安全性設定檔評估代理程式後得出的分數。

    分數是介於 0% 到 100% 的值。100% 表示 Proxy 完全符合評估標準,且評估檢查未發現任何風險。

    安全分數基本上就是通過評估檢查所獲得的總分,除以設定檔中的潛在總分。安全防護分數是加權平均值,因此安全防護設定檔的政策越多,每次評估檢查對安全防護分數的影響就越小。

    評估檢查權重也會影響安全防護分數。權重越高,對計算結果的影響越大;權重越低,影響越小,每個權重都使用點數值。如果安全設定檔中所有評估檢查的權重都相同 (例如所有評估檢查的權重都是中等),系統會將安全分數計算為一般平均值。

  • 嚴重程度:根據安全分數,為每個評估的 Proxy 指派嚴重程度值。 潛在嚴重程度值包括高 (0% 至 50%)、中 (51% 至 90%)、低 (91% 至 99%) 和最低 (100%/根據指派的安全設定檔評估結果,未發現任何風險)。

評估類別和檢查

下表列出評估類別和個別檢查項目,這些項目可納入安全設定檔。此外,系統也會針對每個評估提供建議,協助您解決評估失敗的問題。

評估類別 說明
驗證 在此情況下,「Auth」是指授權和驗證。授權評估會檢查您是否已制定授權和驗證政策,以及授權政策的 continueOnError 屬性是否設為 false
評估檢查 / 名稱 說明 建議
驗證政策檢查 / auth-policies-check 檢查是否已啟用下列任何驗證政策: AccessControlBasicAuthenticationHMACOAuthValidateSAMLAssertionVerifyAPIKeyVerifyJWSVerifyJWT 政策。 至少一項代理伺服器必要政策
auth 政策中的 continueOnError 檢查 / continue-on-error-auth-policies-check 檢查 Proxy 中所有驗證政策是否已啟用 continueOnError 欄位。這包括檢查是否正在使用驗證政策,如果 Proxy 中沒有驗證政策,這項檢查就不會造成任何影響。 將 Proxy 中包含的所有驗證政策的 continueOnError 設為 false。
AccessControl 政策檢查 / access-control-policy-check 是否使用 AccessControl 政策。 將 AccessControl 政策新增至 Proxy。
BasicAuthentication 政策檢查 / basic-auth-policy-check 是否使用 BasicAuthentication 政策。 將 BasicAuthentication 政策新增至 Proxy。
HMAC 政策檢查 / hmac-policy-check 是否使用 HMAC 政策。 將 HMAC 政策新增至 Proxy。
OAuthV2 政策檢查 / oauthv2-policy-check 是否使用 OAuth 政策。 將 OAuthV2 政策新增至 Proxy。
ValidateSAMLAssertion 政策檢查 / validate-saml-assertion-policy-check 是否使用 ValidateSAMLAssertion 政策。 將 ValidateSAMLAssertion 政策新增至 Proxy。
VerifyAPIKey 政策 / verify-api-key-policy-check 是否使用 VerifyAPIKey 政策。 將 VerifyAPIKey 政策新增至 Proxy。
VerifyJWS 政策 / verify-jws-policy-check 是否使用 VerifyJWS 政策。 將 VerifyJWS 政策新增至 Proxy。
VerifyJWT 政策 / verify-jwt-policy-check 是否使用 VerifyJWT 政策。 將 VerifyJWT 政策新增至 Proxy。
CORS 檢查 AssignMessage 政策中是否有 CORS 政策或 CORS 標頭。
評估檢查 / 名稱 說明 建議
CORS 政策檢查 / cors-policies-check 檢查 CORS 政策 AssignMessage 政策中是否有 CORS 標頭。 將 CORS 政策或 AssignMessage 政策連同 CORS 標頭新增至 Proxy。
CORS 政策檢查 / cors-policy-check 確認是否使用 CORS 政策。 將 CORS 政策新增至 Proxy。
CORS AssignMessage 政策檢查 / cors-assignmessage-policy-check 檢查是否在 AssignMessage 政策中新增 CORS 標頭。 將含有 CORS 標頭的 AssignMessage 政策新增至 Proxy。
中介服務 檢查中介服務政策是否已啟用。
評估檢查 / 名稱 說明 建議
中介服務政策檢查 / mediation-policies-check 檢查是否已啟用下列任一中介服務政策: SOAPMessageValidationOASValidation 在 Proxy 中新增下列其中一項中介服務政策:SOAPMessageValidation 或 OASValidation。
SOAPMessageValidation 政策檢查 / soap-validation-policy-check 檢查是否正在使用 SOAPMessageValidation 政策。 將 SOAPMessageValidation 政策新增至 Proxy。
OASValidation 政策檢查 / oas-validation-policy-check 檢查是否使用 OASValidation 政策。 將 OASValidationCheck 政策新增至 Proxy。
目標 檢查是否使用目標伺服器保護措施。如要瞭解目標伺服器設定,請參閱「跨後端伺服器負載平衡」。
評估檢查 / 名稱 說明 建議
目標伺服器 TLS 檢查 / tls-target-server-check 檢查目標伺服器中的 TLS/SSL。 在 Proxy 中設定的所有目標伺服器中設定 TLS/SSL,確保通訊安全。
目標伺服器 mTLS 檢查 / mtls-target-server-check 檢查目標伺服器中的 mTLS。 在 Proxy 中設定的所有目標伺服器中設定 mTLS,以確保最高安全性。
目標伺服器強制執行欄位檢查 / target-enforce-field-check 檢查目標伺服器設定中是否已啟用 Enforce 欄位。 設定「Enforce」欄位,在 Apigee Proxy 與目標之間強制執行嚴格的 SSL。
威脅 檢查是否使用威脅防護政策。
評估檢查 / 名稱 說明 建議
威脅政策檢查 / threat-policies-check 檢查是否已啟用下列任何威脅政策: JSONThreatProtectionRegularExpressionProtection、 或 XMLThreatProtection 在 Proxy 中新增其中一項必要威脅政策。
威脅政策中的 continueOnError 檢查 / continue-on-error-threat-policies 檢查 Proxy 中使用的所有威脅政策是否已啟用「continueOnError」欄位。這包括檢查是否正在使用威脅政策,如果 Proxy 中沒有威脅政策,這項檢查就不會有任何影響。 將 Proxy 中使用的所有威脅政策的 continueOnError 設為 false
JSONThreatProtection 政策檢查 / json-threat-protection-policy-check 檢查是否使用 JSONThreatProtection 政策。 將 JSONThreatProtection 政策新增至 Proxy。
RegularExpressionProtection 政策檢查 / regex-protection-policy-check 檢查是否使用 RegularExpressionProtection 政策。 將 RegularExpressionProtection 政策新增至 Proxy。
XMLThreatProtection 政策檢查 / xml-threat-protection-policy-check 檢查是否使用 XMLThreatProtection 政策。 將 XMLThreatProtection 政策新增至 Proxy。
流量 檢查是否已設定流量管理政策。
評估檢查 / 名稱 說明 建議
檢查流量管理政策 / traffic-management-policies-check 檢查是否已啟用下列任何流量管理政策: LookupCacheQuotaResponseCacheSpikeArrest 將其中一項流量管理政策新增至 Proxy。
LookupCache 政策檢查 / lookup-cache-policy-check 檢查是否已啟用 LookupCache 政策。 將 LookupCache 政策新增至 Proxy。
配額政策檢查 / quota-policy-check 檢查是否使用配額政策。 將配額政策新增至 Proxy。
ResponseCache 政策檢查 / response-cache-policy-check 檢查是否使用 ResponseCache 政策。 將 ResponseCache 政策新增至 Proxy。
檢查 SpikeArrest 政策 / spike-arrest-policy-check 檢查是否使用 SpikeArrest 政策。 將 SpikeArrest 政策新增至 Proxy。

政策附件和 Proxy 安全性分數

如果是代理評估,安全分數會依據您使用的政策計算。 評估這些政策的方式取決於政策是否附加至流程,以及附加方式:

  • 只有附加至流程 (前置流程、條件流程、Proxy 中的後置流程或共用流程) 的政策會影響分數。如果政策未附加至任何流程,則不會影響分數。
  • Proxy 分數會將 Proxy 透過流程掛鉤和 FlowCallout 政策呼叫的共用流程納入考量,前提是 FlowCallout 政策已附加至流程。不過,如果 FlowCallout 未附加至流程,連結共用流程的政策就不會影響安全分數。
  • 系統最多會評估五層的鏈結共用流程。直接納入 Proxy 和前五個層級共用流程的任何政策,都會計入安全性分數。
  • 如果是附加至條件流程的政策,安全性分數只會考量政策是否存在,不會考量政策在執行階段是否或如何強制執行。

安全性設定檔 v2

安全性設定檔是一組安全性評估和權重,可用來評估 API Proxy。您可以使用 Apigee 的預設安全性設定檔 (稱為 google-default),也可以建立自訂安全性設定檔,其中只包含您要評估的安全性類別和權重。

使用或建立自訂安全設定檔時,請注意,系統會個別評估類別中的多項評估檢查。

舉例來說,如果安全性設定檔中有三項驗證政策檢查,而評估的 Proxy 包含其中一項,則評估分數會包含該項政策的滿分,以及其他兩項不存在政策的零分。在本例中,即使受評估的 Proxy 包含驗證政策,仍無法在驗證政策檢查中獲得滿分。請注意,由於這項行為,解讀安全分數和設計安全設定檔時請務必謹慎。

預設安全性設定檔

Advanced API Security 提供預設安全設定檔,其中包含所有評估。使用預設設定檔時,安全分數會根據所有類別計算。

預設安全性設定檔 google-default 無法編輯或刪除。

自訂安全性設定檔

您可以建立自訂安全設定檔,只納入所選的評估檢查和權重,用來評估 Proxy。如需透過 Apigee UI 建立及使用自訂安全性設定檔的操作說明,請參閱「在 Apigee UI 中管理自訂設定檔」。

自訂安全性設定檔:

  • 設定檔名稱 (又稱設定檔 ID) 為必填欄位,列出設定檔時會顯示在摘要表格中。名稱長度必須介於 1 到 63 個字元之間,且只能使用小寫字母、數字 0 到 9 或連字號。開頭須為小寫英文字母,最後一個字元須為小寫英文字母或數字。自訂安全性設定檔的名稱不得重複,且不能與現有設定檔名稱相同。
  • 個人資料說明為選填項目,長度不得超過 1,000 個字元。

監控條件和快訊

進階 API 安全性可讓您在風險評估中新增監控條件。建立監控條件後,風險評估會將安全分數指標發布至 Cloud Monitoring。Cloud Monitoring 可追蹤根據安全性設定檔評估的 Proxy 安全性分數。

如要使用監控條件,請按照下列步驟操作:

  1. 熟悉 Cloud Monitoring 功能。
  2. 請確認您具備管理監控條件所需的角色或權限。請參閱風險評估的必要角色
  3. 使用 Apigee UI 或 API 建立及管理監控條件。請參閱「在 Apigee UI 中管理監控條件和快訊」和「在 API 中管理監控條件」。

建立監控條件後,您可以使用 Cloud Monitoring 快訊,針對條件指標設定監控快訊。

如要透過 Apigee UI 建立監控快訊,請參閱「在 Apigee UI 中管理監控條件和快訊」。如要瞭解進階 API 安全防護的快訊,以及如何管理監控快訊,請參閱「安全性快訊」。

風險評估第 2 版的限制和已知問題

安全分數有下列限制和已知問題:

  • 只有在環境部署 Proxy 時,系統才會產生安全分數。
  • 新部署的 Proxy,以及新啟用的機構和環境,不會立即顯示分數。詳情請參閱「資料延遲」一文。
  • 自訂設定檔:每個機構最多可建立 100 個自訂設定檔。
  • 目前不支援新評估計算和分數的通知。
  • 一個範圍和安全性設定檔組合只能有一個監控條件。如果設定檔已是所選範圍現有監控條件的一部分,系統會顯示警告訊息,並禁止建立新條件。
  • 系統只會監控已部署的 Proxy。如果監控條件中包含的 Proxy 已解除部署,系統就不會監控該 Proxy,且監控條件詳細資料中也不會顯示該 Proxy 受到監控。重新部署時,系統會自動監控 Proxy,並在監控條件詳細資料中顯示為已監控。
  • 每個機構最多可建立 1,000 個安全監控條件。
  • 安全監控條件追蹤的新分數最多可能需要 5 分鐘,才會顯示在 Cloud Monitoring 中。
  • Cloud Monitoring 最多會保留 6 週的安全性分數。請參閱「資料保留」一文。

資料延遲

進階 API 安全性安全分數的資料處理時間如下,處理完畢後即可查看結果:

  • 首次在機構中啟用 Advanced API Security 時,現有 Proxy 和目標的分數需要一段時間,才會反映在環境中。一般來說,訂閱機構需要 30 到 90 分鐘,即付即用機構則需要較少時間。
  • 環境中與 Proxy (部署和取消部署) 和目標 (建立、更新、刪除) 相關的新事件,至少需要 60 秒,最多 5 分鐘 (適用於非常大的環境),才會反映在環境的分數中。

在 Apigee UI 中查看風險評估

「風險評估」頁面會顯示分數,用於評估各環境中 API 的安全性。

如要開啟「風險評估」頁面,請按照下列步驟操作:

在 Google Cloud 控制台中,前往「Advanced API Security」(進階 API 安全性) >「Risk assessment」(風險評估) 頁面。

前往風險評估

系統會顯示「風險評估」頁面:

風險評估主頁面。

這個頁面包含下列部分:

  • 環境:選取要查看評估結果的環境。
  • 安全性設定檔:選取預設設定檔 (google-default) 或自訂設定檔 (如有)。如要瞭解安全性設定檔,請參閱安全性設定檔
  • 依嚴重程度部署的 Proxy:設定環境後,頁面會顯示該環境中 Proxy 的嚴重程度摘要。請參閱「風險評估概念和評分」。
  • 評估詳細資料:顯示所選環境的安全設定檔、評估日期和時間、評估的設定總數,以及部署的 Proxy 總數。評估的設定總數反映了執行的「檢查」總數。這個計數可能高於設定檔中的評估次數;部分評估 (例如驗證「continueOnError」屬性是否設為 false) 也會檢查相關政策是否已啟用。
  • 已部署的 Proxy:環境中已部署的 Proxy 摘要,以及風險評估分數:

    • Proxy:Proxy 名稱。
    • 嚴重性:Proxy 的風險評估嚴重性。詳情請參閱「安全分數和嚴重程度」。

    • 分數:Proxy 的風險評估分數。如需相關資訊,請參閱風險評估概念和評分
    • 修訂版本:評估分數時使用的 Proxy 修訂版本。
    • 依權重劃分的評估失敗次數:依評估權重分組的評估失敗次數。
    • 建議:改善 Proxy 分數的具體建議。 按一下數字即可查看建議。

在 Apigee UI 中管理自訂設定檔

本節說明如何使用 Apigee UI 查看、建立、編輯及刪除自訂設定檔。請注意「安全性分數限制」一文列出的自訂設定檔限制。

首先,請在 Apigee 使用者介面中查看風險評估

建立及編輯自訂設定檔

在「風險評估」畫面中,選取「安全性設定檔」分頁標籤。如要編輯現有設定檔,請按一下設定檔名稱查看設定檔詳細資料,然後點選「編輯」。或者,您也可以在該商家檔案的資料列中,選取「動作」選單中的「編輯」

如要建立新的自訂設定檔,請按一下安全設定檔清單中的「+ 建立」

安全性設定檔清單

建立或編輯自訂設定檔時,您可以設定下列值:

  • 名稱:安全性設定檔的名稱。請確認此名稱在專案中不得重複。
  • 說明:(選填)。安全性設定檔的說明。
  • 評估檢查評估權重:一或多項評估檢查,用來評估 Proxy,以及各項檢查的權重。如需可用的評估檢查清單,請參閱「風險評估概念和評分」。如要為設定檔新增其他評估檢查和權重,請按一下「新增」。如要刪除檢查/體重配對,請按一下該配對所在列的垃圾桶圖示。

重複的商家檔案

如要複製現有設定檔 (建立新的自訂設定檔),請從該設定檔列的「動作」選單中選取「複製」,或按一下設定檔清單中的設定檔名稱,查看設定檔中繼資料,然後按一下「複製」

新自訂設定檔的名稱不得與重複的設定檔相同。如需安全性設定檔命名規定,請參閱「自訂安全性設定檔」。

刪除自訂設定檔

如要刪除現有的自訂設定檔,請在該設定檔的列中選取「動作」選單的「刪除」,或按一下設定檔清單中的設定檔名稱來查看設定檔中繼資料,然後按一下「刪除」

請注意,您無法刪除預設系統設定檔 (google-default)。

刪除自訂設定檔後,系統會立即生效,並移除根據該設定檔評估 Proxy 的功能,或查看先前根據該自訂設定檔進行的評估。

透過 Apigee UI 管理監控條件和快訊

本節說明如何使用 Apigee 使用者介面,查看、建立、編輯及刪除監控條件,以及建立監控快訊。如要瞭解這項功能,請參閱「監控條件和快訊」。

首先,請在 Apigee 使用者介面中查看風險評估,然後選取「監控條件」分頁標籤。

查看、建立及編輯監控條件

主要頁面會列出所有現有的監控條件。如要查看現有監控條件的詳細資料,請按一下該監控條件列中的「受監控的 Proxy/已部署的總數」值。如要編輯現有條件,請在該監控條件的資料列中,從「動作」選單選取「編輯」。如要建立新的監控條件,請按一下結果清單上方的「+ 建立監控條件」

安全性設定檔清單

監控條件包括下列設定:

  • 環境:建立監控條件的環境。監控條件建立後即無法編輯。
  • 安全性設定檔/設定檔:評估安全性設定檔。
  • 條件:是否要從環境中Include allInclude指定 Proxy。如果選取 Include,請勾選代理伺服器名稱旁邊的方塊,選取要納入的代理伺服器。

查看監控指標

在 Cloud Monitoring 中查看監控條件的指標。如要查看指標,請按一下監控條件資料列中的「查看」

刪除監控條件

如要刪除現有的監控條件,請在監控條件的資料列中,從「Actions」(動作) 選單選取「Delete」(刪除),然後確認。

Cloud Monitoring 指標停止發布前,會有一小段延遲。

建立監控快訊

如要建立新的監控快訊,請在監控條件的列中,選取「動作」選單中的「建立監控快訊」。這項操作會將您帶往 Google Cloud 控制台的 Cloud Monitoring 快訊頁面,並根據監控條件預先填入部分值。詳情請參閱「安全性快訊」。

風險評估第 1 版

本節說明風險評估第 1 版。如要瞭解風險評估第 2 版,請參閱風險評估第 2 版

安全性分數

安全分數會評估 API 的安全性,以及一段時間內的安全防護機制。 舉例來說,如果分數波動劇烈,可能表示 API 行為經常變更,這可能不是理想情況。環境變更可能導致分數下降,包括:

  • 部署許多 API Proxy,但沒有必要的安全性政策。
  • 惡意來源的濫用流量突然暴增。

觀察安全性分數的變化趨勢,有助於判斷環境中是否有任何不當或可疑活動。

安全分數是根據安全性設定檔計算得出,該設定檔會指定您希望安全分數評估的安全性類別。您可以使用 Apigee 的預設安全性設定檔,也可以建立自訂安全性設定檔,只納入對您而言最重要的安全性類別。

安全性分數評估類型

進階 API 安全性會根據三種評估類型計算整體安全分數:

  • 來源評估:使用 Advanced API Security 偵測規則,評估偵測到的濫用流量。「濫用」是指傳送至 API 的要求並非用於 API 的預期用途。

  • Proxy 評估:評估 Proxy 在下列領域實作各種安全政策的成效:

    詳情請參閱「政策如何影響 Proxy 安全性分數」。

  • 目標評估:檢查環境中的目標伺服器是否已設定雙向傳輸層安全標準 (mTLS)。

每種評估類型都有各自的分數。整體分數是各項評估類型的平均分數。

政策如何影響 Proxy 安全分數

如果是代理評估,安全分數會依據您使用的政策計算。 評估這些政策的方式取決於政策是否附加至流程,以及附加方式:

  • 只有附加至流程 (前置流程、條件流程、Proxy 中的後置流程或共用流程) 的政策會影響分數。如果政策未附加至任何流程,則不會影響分數。
  • Proxy 分數會將 Proxy 透過流程掛鉤和 FlowCallout 政策呼叫的共用流程納入考量,前提是 FlowCallout 政策已附加至流程。不過,如果 FlowCallout 未附加至流程,連結共用流程的政策就不會影響安全分數。
  • 系統不支援共用流程鏈結。計算安全分數時,系統不會評估透過共用流程鏈結納入的政策。
  • 如果是附加至條件流程的政策,安全性分數只會考量政策是否存在,不會考量政策在執行階段是否或如何強制執行。

安全性設定檔

安全性設定檔是一組您希望 API 評估的安全性類別 (如下所述)。設定檔可包含任何安全性類別的子集。 如要查看環境的安全分數,請先將安全性設定檔附加至環境。您可以使用 Apigee 的預設安全設定檔,也可以建立自訂安全設定檔,其中只包含對您而言重要的安全類別。

預設安全性設定檔

Advanced API Security 提供預設安全設定檔,其中包含所有安全類別。如果您使用預設設定檔,安全分數會根據所有類別計算。

自訂安全性設定檔

自訂安全性設定檔可讓您只根據要納入分數的安全性類別,計算安全性分數。如要瞭解如何建立自訂設定檔,請參閱「建立及編輯安全性設定檔」。

安全類別

安全防護分數是根據下列安全防護類別的評估結果計算得出。

類別 說明 建議
濫用行為 檢查濫用情形,包括傳送至 API 的任何要求,但用途並非 API 的預期用途,例如大量要求、資料擷取,以及與授權相關的濫用行為。 請參閱濫用行為建議
授權 檢查您是否已設定授權政策。 在 Proxy 中新增下列其中一項政策:
CORS 檢查您是否已設定 CORS 政策。 在 Proxy 中新增 CORS 政策。
MTLS 檢查您是否已為目標伺服器設定 mTLS (雙向傳輸層安全標準)。 請參閱 目標伺服器 mTLS 設定
中介服務 檢查您是否已設定中介服務政策。 在 Proxy 中新增下列其中一項政策:
威脅 檢查您是否已制定威脅防護政策。 在 Proxy 中新增下列其中一項政策:

安全性分數第 1 版的限制

安全分數有下列限制:

  • 每個機構最多可建立 100 個自訂設定檔。
  • 只有在環境有 Proxy、目標伺服器和流量時,才會產生安全分數。
  • 新部署的 Proxy 不會立即顯示分數。

資料延遲

由於資料處理方式的緣故,進階 API 安全性安全分數所依據的資料會有下列延遲:

  • 在機構中啟用 Advanced API Security 後,現有 Proxy 和目標的分數最多可能需要 6 小時,才會反映在環境中。
  • 環境中與 Proxy (部署和取消部署) 和目標 (建立、更新、刪除) 相關的新事件,最多可能需要 6 小時才會反映在環境分數中。
  • 資料流入 Apigee Analytics 管道時,平均會有 15 到 20 分鐘的延遲。因此,來源分數濫用資料的處理時間會延遲約 15 到 20 分鐘。

開啟「風險評估」頁面

「風險評估」頁面會顯示分數,用於評估各環境中 API 的安全性。

載入「風險評估」頁面可能需要幾分鐘的時間。如果環境流量大,且有大量 Proxy 和目標,網頁載入時間會較長。

Cloud 控制台中的 Apigee

如要開啟「風險評估」頁面,請按照下列步驟操作:

在 Google Cloud 控制台中,前往「Advanced API Security」(進階 API 安全性) >「Risk assessment」(風險評估) 頁面。

前往風險評估

系統隨即會顯示「風險評估」頁面:

風險評估主頁面。

這個頁面有兩個分頁,詳情請見以下章節:

查看安全性分數

如要查看安全性分數,請按一下「安全性分數」分頁標籤。

請注意,您必須先按照「將安全性設定檔附加至環境」一文的說明,附加安全性設定檔,系統才會計算環境的分數。Apigee 提供預設安全性政策,您也可以建立自訂設定檔,詳情請參閱「建立及編輯安全性設定檔」。

「安全分數」表格會顯示下列資料欄:

  • 環境:計算分數的環境。
  • 風險等級:環境的風險等級,可能為低、中或高。
  • 安全性分數:環境的總分,滿分為 1200 分。
  • 建議總數:系統提供的建議數量。
  • 設定檔:附加安全性設定檔的名稱。
  • 上次更新時間:上次更新安全分數的日期。
  • 動作:按一下環境所在列中的三點選單,即可執行下列動作:
    • 附加設定檔:將安全性設定檔附加至環境。
    • 卸離設定檔:從環境中卸離安全性設定檔。

將安全性設定檔附加至環境

如要查看環境的安全分數,請先將安全設定檔附加至環境,方法如下:

  1. 在「動作」下方,按一下環境列中的三點選單。
  2. 按一下「附加商家檔案」
  3. 在「附加設定檔」對話方塊中:
    1. 按一下「設定檔」欄位,然後選取要附加的設定檔。如果您尚未建立自訂安全性設定檔,唯一可用的設定檔就是「預設」
    2. 按一下「指派」

將安全性設定檔附加至環境後,Advanced API Security 會立即開始評估並評分。請注意,分數可能需要幾分鐘才會顯示。

整體分數是根據三種評估類型的個別分數計算而得:

  • 來源評估
  • Proxy 評估
  • 目標評估

請注意,所有分數的範圍都是 200 到 1200 分。評估分數越高,表示安全風險越低。

查看分數

將安全性設定檔附加至環境後,您可以在環境中查看分數和建議。如要查看,請在「安全性分數」主頁面中,按一下環境的資料列。系統會顯示環境的分數,如下所示:

環境中的安全性分數。

這個檢視畫面會顯示四個分頁:

總覽

「總覽」分頁會顯示下列資訊:

  • 各項評估的重點摘要:
    • Proxy:顯示環境中 Proxy 的最佳建議。按一下「Edit Proxy」(編輯 Proxy) 開啟 Apigee Proxy Editor,即可實作建議。
    • 目標:顯示環境中目標的熱門建議。按一下「View Target Servers」(查看目標伺服器),即可在 Apigee UI 的「Management」>「Environments」頁面中,開啟「Target Servers」(目標伺服器) 分頁。
    • 來源:顯示偵測到的濫用流量。按一下「偵測到的流量」,即可在「濫用行為偵測」頁面中查看「偵測到的流量」分頁。
  • 來源評估Proxy 評估目標評估的摘要, 包括:
    • 各項評估的最新分數。
    • 「來源評估」窗格會顯示偵測到的濫用流量和 IP 位址計數。
    • 「Proxy Assessment」(代理評估) 和「Target Assessment」(目標評估) 窗格會顯示這些評估的風險等級。
  • 按一下任一摘要窗格中的「查看評估詳細資料」,即可查看該評估類型的詳細資料:
  • 評估記錄:顯示環境在最近一段時間內的每日總分圖表,您可以選擇 3 天或 7 天。圖表預設會顯示 3 天的資料。 圖表也會顯示同一時期的平均總分。

請注意,只有在有可評估的內容時,系統才會計算評估類型的分數。舉例來說,如果沒有目標伺服器,系統就不會回報「目標」的分數。

來源評估

按一下「來源評估」分頁標籤,查看環境的評估詳細資料。

來源評估窗格。

按一下「評估詳細資料」右側的展開圖示,即可查看近期一段時間的來源評估圖表,您可以選擇 3 天或 7 天。

「來源」窗格會顯示表格,內含下列資訊:

  • 類別:評估的類別
  • 風險等級:類別的風險等級。
  • 安全性分數:濫用類別的安全分數。
  • 建議:該類別的建議數量。
來源詳細資料

「來源詳細資料」窗格會顯示環境中偵測到的濫用流量詳細資料,包括:

  • 流量詳細資料
    • 偵測到的流量:系統偵測到來自濫用來源 IP 位址的 API 呼叫次數。
    • 總流量:發出的 API 呼叫總數。
    • 偵測到的 IP 位址數量:偵測到濫用行為來源的不同 IP 位址數量。
    • 觀察作業開始時間 (世界標準時間):流量監控期間的開始時間 (世界標準時間)。
    • 觀察作業結束時間 (世界標準時間):流量監控期間的結束時間 (世界標準時間)。
  • 評估日期:評估的日期和時間。
  • 改善分數的建議。如需處理濫用流量的進一步建議,請參閱「濫用建議」。

如要建立安全措施來處理來源評估提出的問題,請按一下「建立安全措施」按鈕。

Proxy 評估

API Proxy 評估會計算環境中所有 Proxy 的分數。如要查看 Proxy 評估結果,請按一下「Proxy Assessment」(Proxy 評估) 分頁標籤:

Proxy 評估窗格。

「Proxy」窗格會顯示表格,內含下列資訊:

  • Proxy:正在評估的 Proxy。
  • 風險等級:Proxy 的風險等級。
  • 安全性分數:Proxy 的安全性分數。
  • 「需要處理」:應處理的評估類別,以提高 Proxy 的分數。
  • 建議:Proxy 的建議數量。

按一下表格中的 Proxy 名稱,開啟「Proxy 編輯器」,即可對 Proxy 進行建議的變更。

Proxy 建議

如果 Proxy 的分數偏低,您可以在「建議」窗格中查看改善建議。如要查看 Proxy 的建議,請按一下「Proxy」窗格中 Proxy 的「需要注意」欄。

「建議」窗格會顯示:

  • 評估日期:評估的日期和時間。
  • 改善分數的建議。

目標評估

目標評估會計算環境中每個目標伺服器的相互傳輸層安全 (mTLS) 分數。目標分數的指派方式如下:

  • 沒有 TLS:200
  • 存在單向傳輸層安全標準 (TLS):900
  • 雙向或 mTLS 存在:1200

如要查看目標評估,請按一下「目標評估」分頁:

目標評估窗格。

「目標」窗格會顯示下列資訊:

  • 目標:目標的名稱。
  • 風險等級:目標的風險等級。
  • 安全性分數:目標的安全性分數。
  • 「需要處理」:應解決的評估類別,以提高目標的分數。
  • 建議:目標的建議數量。

按一下表格中的目標名稱,即可在 Apigee 使用者介面的「管理」>「環境」頁面中,開啟「目標伺服器」分頁,並對目標套用建議動作。

目標建議

如果目標伺服器的分數偏低,您可以在「建議」窗格中查看改善建議。如要查看目標的建議,請在「目標」窗格中,點按目標的「需要處理」欄。

「建議」窗格會顯示:

  • 評估日期:評估的日期和時間。
  • 改善分數的建議。

建立及編輯安全性設定檔

如要建立或編輯 安全性設定檔,請選取「安全性設定檔」分頁標籤。

「安全性設定檔」分頁。

「安全性設定檔」分頁會顯示安全性設定檔清單,包括下列資訊:

  • 名稱:設定檔名稱。
  • 類別:設定檔中包含的安全類別。
  • 說明:設定檔的選填說明。
  • 環境:設定檔連結的環境。如果這個資料欄留空,表示設定檔未附加至任何環境。
  • 上次更新時間 (世界標準時間):上次更新商家檔案的日期和時間。
  • 動作:含有下列項目的選單:
    • 編輯: 編輯個人資料。
    • 刪除: 刪除設定檔。

查看安全性設定檔的詳細資料

如要查看安全性設定檔的詳細資料,請按一下設定檔資料列中的名稱。畫面上會顯示設定檔詳細資料,如下所示。

安全性設定檔詳細資料。

「詳細資料」分頁的第一列會顯示「修訂版本 ID」,也就是設定檔的最新修訂版本號碼。編輯設定檔並變更安全性類別時,修訂版本 ID 會增加 1。不過,單純變更設定檔的說明不會增加修訂版本 ID。

下方的資料列會顯示與「安全性設定檔」分頁中設定檔資料列相同的資訊。

個人資料詳細資料檢視畫面也有兩個按鈕,分別標示為「編輯」和「刪除」,可用於編輯刪除安全性設定檔。

歷史記錄

如要查看設定檔記錄,請按一下「記錄」分頁標籤。此處會顯示設定檔的所有修訂版本清單。清單會顯示每個修訂版本的下列資訊:

  • 修訂版本 ID:修訂版本號碼。
  • 類別:該修訂版設定檔中包含的安全類別。
  • 上次更新時間 (世界標準時間):建立修訂版本的日期和時間 (以世界標準時間為準)。

建立自訂安全性設定檔

如要建立新的自訂安全性設定檔,請按照下列步驟操作:

  1. 按一下頁面頂端的「建立」
  2. 在隨即開啟的對話方塊中,輸入以下資訊:
    • 名稱:設定檔名稱。名稱必須由 1 至 63 個小寫英文字母、數字或連字號組成,且開頭必須為英文字母,結尾則須為英文字母或數字。名稱不得與任何現有設定檔的名稱相同。
    • (選用) 說明:設定檔說明。
    • 在「類別」欄位中,選取要納入簡介的評估類別。

編輯自訂安全性設定檔

如要編輯自訂安全性設定檔,請按照下列步驟操作:

  1. 在安全設定檔的資料列結尾,按一下「動作」選單。
  2. 選取 [編輯]
  3. 在「編輯安全性設定檔」頁面中,您可以變更:
    • 說明:安全設定檔的選填說明。
    • 類別:為設定檔選取的安全性類別。按一下下拉式選單,然後在選單中選取或取消選取類別,即可變更所選類別。
  4. 按一下 [確定]

刪除自訂安全性設定檔

如要刪除安全性設定檔,請按一下設定檔列尾端的「動作」,然後選取「刪除」。請注意,刪除設定檔也會將其從所有環境中分離。

傳統版 Apigee UI

如要開啟「安全性分數」檢視畫面,請按照下列步驟操作:

  1. 開啟傳統版 Apigee UI
  2. 依序選取「Analyze」>「API Security」>「Security Scores」

畫面會顯示「安全性分數」檢視畫面:

安全性分數主畫面。

請注意,您必須將安全性設定檔附加至環境,系統才會計算環境的分數。Apigee 提供預設安全政策,您也可以使用 Apigee API 建立自訂設定檔。詳情請參閱使用自訂安全性設定檔

在上圖中,沒有任何安全性設定檔附加至 integration 環境,因此「設定檔名稱」欄會針對該環境顯示「未設定」

「安全分數」表格會顯示下列資料欄:

  • 環境:計算分數的環境。
  • 最新分數:環境的最新總分,最高為 1200 分。
  • 風險等級:風險等級,可能為低、中或高。
  • 最佳化建議總數:系統提供的最佳化建議數量。每項建議都對應「需要注意」表格中的一列
  • 設定檔名稱:安全性設定檔的名稱。
  • 評估日期:最近一次計算安全分數的日期。

將安全性設定檔附加至環境

如要查看環境的安全分數,請先將安全設定檔附加至環境,方法如下:

  1. 在「動作」下方,按一下環境列中的三點選單。
  2. 按一下「附加商家檔案」
  3. 在「附加設定檔」對話方塊中:
    1. 按一下「設定檔」欄位,然後選取要附加的設定檔。如果您尚未建立自訂安全性設定檔,唯一可用的設定檔就是「預設」
    2. 按一下「指派」

將安全性設定檔附加至環境後,Advanced API Security 會立即開始評估並評分。請注意,分數可能需要幾分鐘才會顯示。

下圖顯示「安全分數」檢視畫面,其中環境已附加預設安全設定檔:

安全分數主視窗,附有安全性設定檔。

環境的資料列現在會顯示最新的安全防護分數、風險等級、建議採取的安全防護措施數量,以及分數的評估日期

整體分數是根據三種評估類型的個別分數計算而得:

  • 來源評估
  • Proxy 評估
  • 目標評估

請注意,所有分數的範圍都是 200 到 1200 分。分數越高,代表安全評估越完善。

查看分數

將安全性設定檔附加至環境後,您可以在環境中查看分數和建議。如要查看,請在「安全分數」主畫面中,按一下環境的資料列。系統會顯示環境的分數,如下所示:

環境中的安全性分數。

檢視畫面會顯示:

  • 「來源」、「Proxy」和「目標」的最新分數。 在任一窗格中按一下「查看評估詳細資料」,即可查看該類型的評估結果。
  • 「環境分數記錄」,顯示過去 5 天的環境每日總分圖表,以及這段期間的平均總分。
  • 「需要注意」表格,列出可改善安全性的 API 評估類型。

請注意,只有在有可評估的內容時,系統才會計算評估類型的分數。舉例來說,如果沒有目標伺服器,系統就不會回報「目標」的分數。

以下各節說明如何查看各類評估:

「需要處理」表格

如上所示,「需要處理」表格會列出分數低於 1200 的 API 類別,以及:

  • 該類別的最新分數
  • 類別的風險等級,可能為低、中等或嚴重
  • 評估日期
  • 評估類型

查看建議

針對表格中的每一列,進階 API 安全防護都會提供改善分數的建議。如要查看建議,請前往「評估詳細資料」檢視畫面,然後選取「來源」、「Proxy」或「目標」類型,如以下各節所述:

您可以透過下列任一方式開啟「評估詳細資料」檢視畫面:

  • 在主要「安全分數」檢視畫面中,點選任一窗格的「查看評估詳細資料」
  • 在「需要處理」表格中
    1. 展開表格中的類別群組:

      「需要處理」表格中的授權列。

    2. 按一下要查看建議的類別。系統會開啟與建議相應的評估詳細資料檢視畫面。

來源評估

來源評估會計算環境的濫用分數。「濫用」是指傳送至 API 的要求並非用於 API 的預期用途。

如要查看來源評估結果,請按一下「來源」窗格中的「查看」,開啟「API 來源評估」檢視畫面:

來源評估窗格。

「來源分數記錄」會顯示過去 5 天的分數,以及平均分數和最新分數。「評估詳細資料」表格會顯示評估類別的最新個別分數。

來源建議

如果某個類別的分數偏低,您可以查看改善建議。 如要查看「濫用」類別的建議,請點選「評估詳細資料」表格中的該類別資料列。「建議」窗格隨即會顯示建議。

在「建議」窗格中濫用建議。

如要深入瞭解濫用行為的詳細資料,請按一下「查看詳細資料」。系統隨即會在「濫用行為偵測」頁面中,開啟「偵測到的流量」檢視畫面。「偵測到的流量」檢視畫面會顯示偵測到的濫用行為詳細資訊。

「查看詳細資料」行下方會顯示「建議」窗格:

  • 系統會顯示「封鎖或允許濫用偵測功能識別的流量」建議。
  • 「動作」列會顯示 濫用建議的說明文件連結。

Proxy 評估

API Proxy 評估會計算環境中所有 Proxy 的分數。如要查看 Proxy 評估結果,請按一下「Proxies」(Proxy) 窗格中的「View」(查看),開啟「API Proxy Assessment」(API Proxy 評估) 檢視畫面:

Proxy 評估窗格。

「Proxy Score History」(替代分數記錄) 會顯示過去 5 天的分數,以及平均分數和最新分數。「評估詳細資料」表格會顯示評估類別的最新個別分數。

Proxy 建議

如果 Proxy 的分數偏低,您可以查看改善建議。 舉例來說,如要查看 hellooauth2 Proxy 的建議,請按一下「評估詳細資料」表格中的資料列。「建議」窗格隨即會顯示建議。以下列出其中兩項。

建議使用 Proxy。

目標評估

目標評估會計算環境中每個目標伺服器的 mTLS 分數。目標分數的指派方式如下:

  • 沒有 TLS:200
  • 存在單向傳輸層安全標準 (TLS):900
  • 雙向或 mTLS 存在:1200

如要查看目標評估結果,請按一下「目標」窗格中的「查看」,開啟「API 目標評估」檢視畫面:

目標評估窗格。

「目標分數記錄」會顯示過去 5 天的分數,以及平均分數和最新分數。「評估詳細資料」表格會顯示評估類別的最新個別分數。

目標建議

如果目標伺服器的分數偏低,您可以查看改善建議。 如要查看目標伺服器的評估結果,請按一下該伺服器的資料列。 「建議」窗格隨即會顯示建議。

建議使用 Proxy。

濫用建議

如果來源分數偏低,Apigee 建議您檢查偵測到濫用的 IP。接著,如果您認為來自這些 IP 的流量屬於濫用行為,請前往「安全性動作」頁面,封鎖來自濫用流量來源 IP 位址的要求。

如要進一步瞭解濫用情形,請參閱下列任一資源:

  • 「濫用行為偵測」頁面,顯示涉及濫用流量的安全事件資訊。
  • 「安全性報告」頁面。 舉例來說,您可以建立下列報表: