Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
Pruebas de Apigee solicitadas por el cliente
Apigee permite e incluso anima a nuestros clientes a analizar o probar sus propios endpoints en Apigee. Solo pedimos que se nos notifique la exploración para que sepamos que se está realizando por si causa algún problema en sus servicios. Para notificar a Apigee las pruebas que tienes previsto realizar, abre una incidencia de asistencia al menos un día hábil antes de que empiecen las pruebas y proporciona los siguientes detalles:
- Fecha de las pruebas (fecha de inicio y fecha de finalización prevista, incluida la zona horaria)
- Nombre de la persona o la empresa que realiza las pruebas
- Información de contacto de la persona que realiza las pruebas
- Direcciones IP de origen de las pruebas
- IPs y nombres de destino de los sistemas que se están probando (nombres de los endpoints de la API)
Las pruebas no están prohibidas específicamente en los contratos con los clientes. No se enviarán correos de aprobación ni se firmarán cartas de autorización, ya que no hay ninguna prohibición para que el cliente pruebe sus propios endpoints y configuraciones en Apigee.
Si los clientes detectan vulnerabilidades durante sus pruebas que creen que se deben a la propia plataforma Apigee, les pedimos que envíen esta información a Apigee mediante una incidencia de asistencia estándar. Al abrir un ticket de asistencia, el problema se puede monitorizar, derivar y resolver según sea necesario.
Una vez que los clientes envíen un informe de vulnerabilidad a través del proceso de asistencia estándar de Apigee, el equipo de Asistencia revisará la incidencia y la derivará a los equipos de Seguridad y de Ingeniería según corresponda. Los clientes deben esperar una respuesta en la incidencia, aunque el seguimiento podría proceder directamente del equipo de Seguridad o Ingeniería de Google si se necesita más información sobre la vulnerabilidad notificada.
Análisis de Apigee por parte de Google
Apigee analiza Apigee semanalmente. Sin embargo, estas comprobaciones son para uso interno y no se comparten con los clientes. Los análisis de Google examinan los endpoints expuestos públicamente y la infraestructura interna. Estos análisis buscan parches que faltan, vulnerabilidades, hosts mal configurados, configuraciones TLS deficientes, etc. Forman parte del compromiso de Google de "proteger la plataforma".
Si se detecta algo que está directamente relacionado con un cliente y que obviamente se ha configurado de forma incorrecta, se lo notificaremos. Sin embargo, como los clientes usan configuraciones de texto sin cifrar y TLS, y algunos usan Apigee para datos públicos, mientras que otros lo usan para datos de PCI, sanitarios u otros tipos de información personal, no podemos determinar qué es lo más adecuado para todos nuestros clientes.
Los clientes no pueden usar estos análisis de Google para cumplir sus propias obligaciones de diligencia debida en las pruebas de sus endpoints y la verificación de configuraciones seguras, tal como exigen el estándar PCI y otros estándares del sector o normativos.
Recomendamos a los clientes que realicen sus propias pruebas de los endpoints en Apigee para comprobar si cumplen los requisitos de seguridad o de cumplimiento. Consulta las instrucciones en la sección Pruebas de Apigee solicitadas por el cliente de este documento.
Pruebas de clientes de Apigee Hybrid
Como los clientes de Apigee hybrid tienen el software de Apigee en sus propias redes, pueden probarlo. No hay limitaciones en las pruebas de sistemas o servicios gestionados directamente por el cliente.
Sin embargo, Apigee no proporciona informes de pruebas a los clientes de Apigee Hybrid. Apigee sí analiza el código de Apigee en busca de malware antes de publicarlo para los clientes.
En el caso de los clientes de Hybrid, los servicios de procesamiento de APIs se encuentran en la red del cliente, mientras que la interfaz de gestión está en Apigee Cloud. Consulta la sección Pruebas de Apigee Cloud solicitadas por el cliente de este documento para obtener información sobre las restricciones de las pruebas de la interfaz de gestión.
Pruebas de clientes de portales para desarrolladores patrocinados por Apigee alojados en Pantheon o Acquia
Los clientes pueden realizar pruebas de penetración en sus portales alojados en Pantheon o Acquia. Primero se debe notificar a Apigee y a Pantheon (o Acquia), y los clientes pueden hacerlo abriendo una solicitud de asistencia con Apigee.
Los clientes deben proporcionar al equipo de Asistencia los siguientes detalles de las pruebas planificadas:
- Fecha de las pruebas (fecha de inicio y fecha de finalización prevista, incluida la zona horaria)
- Nombre de la persona o la empresa que realiza las pruebas
- Información de contacto de la persona que realiza las pruebas
- Direcciones IP de origen de las pruebas
- Nombres y URLs de sitios de Pantheon que se están probando