Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Vom Kunden angeforderte Tests von Apigee
Apigee ermöglicht unsere Kunden und ermutigt sie dazu, ihre eigenen Endpunkte in Apigee zu scannen oder zu testen. Wir bitten nur um eine Benachrichtigung über den Scan, damit wir Bescheid wissen, falls der Scan ein Problem für Ihre Dienste verursacht. Um Apigee über Ihre geplanten Tests zu informieren, erstellen Sie mindestens ein Arbeitstag vor Testbeginn ein Support-Ticket und geben Sie die folgenden Details an:
- Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
- Name der Person bzw. des Unternehmens, das den Test durchführt
- Kontaktdaten für die Person, die den Test durchführt
- Quell-IP-Adressen des Tests
- Ziel-IP-Adressen und Namen der zu testenden Systeme (API-Endpunktnamen)
Tests sind in Kundenvereinbarungen ausdrücklich nicht verboten. Es werden keine Genehmigungs-E-Mails gesendet und keine Autorisierungsschreiben unterschrieben, da es nicht verboten ist, dass der Kunde seine eigenen Endpunkte und Konfigurationen in Apigee testet.
Wenn Kunden während ihrer Tests Sicherheitslücken finden, die ihrer Meinung nach auf die Apigee-Plattform selbst zurückzuführen sind, bitten wir sie, diese Informationen über ein Standard-Support-Ticket an Apigee zu senden. Durch das Eröffnen eines Support-Tickets kann das Problem verfolgt, eskaliert und behoben werden.
Sobald Kunden einen Bericht über Sicherheitslücken über den standardmäßigen Apigee-Supportprozess einreichen, prüft das Supportteam das Ticket und eskaliert das Problem nach Bedarf an die Sicherheits- und Entwicklerteams. Kunden sollten eine Antwort im Ticket erwarten. Diese kann direkt vom Google-Sicherheits- oder Entwicklerteam stammen, wenn weitere Informationen zur gemeldeten Sicherheitslücke benötigt werden.
Google-Scans von Apigee
Apigee scannt Apigee wöchentlich. Diese Scans sind jedoch nur für interne Zwecke vorgesehen. Kunden werden nicht darüber informiert. Die Google-Scans betrachten öffentlich zugängliche Endpunkte und die interne Infrastruktur. Bei diesen Scans wird nach fehlenden Patches, Sicherheitslücken, falsch konfigurierten Hosts, fehlerhaften TLS-Konfigurationen usw. gesucht. Sie sind Teil der Maßnahmen von Google zum Schutz der Plattform.
Wenn etwas festgestellt wird, das direkt mit einem Kunden zusammenhängt und offensichtlich falsch konfiguriert war, benachrichtigen wir den Kunden. Da Kunden aber sowohl Klartext- als auch TLS-Konfigurationen verwenden und einige Kunden Apigee für öffentliche Daten und andere Kunden Apigee für PCI- oder Gesundheits- oder andere personenidentifizierbare Daten verwenden, sind wir nicht immer in der Lage, für alle unsere Kunden festzustellen, was angemessen ist.
Diese Google-Scans entheben Kunden nicht ihrer eigenen Verantwortung für das Testen ihrer Endpunkte und das Gewährleisten sicherer Konfigurationen, wenn es von PCI und anderen Branchen- oder regulatorischen Standards gefordert wird.
Kunden sollten zur Erfüllung von Sicherheits- oder Compliance-Anforderungen ihre Endpunkte selbst in Apigee testen. Eine Anleitung dazu finden Sie im Abschnitt Vom Kunden angeforderte Tests von Apigee dieses Dokuments.
Kundentests von Apigee Hybrid
Da Apigee Hybrid-Kunden Apigee-Software in ihren eigenen Netzwerken haben, dürfen sie die Software testen. Beim Testen von Systemen oder Diensten, die vom Kunden direkt verwaltet werden, gibt es keine Einschränkungen.
Daher stellt Apigee für Kunden von Apigee Hybrid jedoch keine Testberichte zur Verfügung. Apigee führt einen Malware-Scan von Apigee-Code durch, bevor es für Kunden freigegeben wird.
Für Hybrid-Kunden befinden sich die API-Verarbeitungsdienste im Netzwerk des Kunden, während sich die Verwaltungsoberfläche in Apigee Cloud befindet. Weitere Informationen zu Testeinschränkungen für Verwaltungsschnittstellen finden Sie im Abschnitt Vom Kunden angeforderte Tests von Apigee Cloud dieses Dokuments.
Kundentests für von Apigee gesponserte Entwicklerportale, die bei Pantheon oder Acquia gehostet werden
Kunden können Penetrationstests für ihre von Pantheon oder Acquia gehosteten Portale durchführen. Apigee und Pantheon (oder Acquia) müssen zuerst benachrichtigt werden. Kunden können dies tun, indem sie ein Support-Ticket bei Apigee eröffnen.
Kunden müssen dem Supportteam folgende Details zu den geplanten Tests geben:
- Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
- Name der Person bzw. des Unternehmens, das den Test durchführt
- Kontaktdaten für die Person, die den Test durchführt
- Quell-IP-Adressen des Tests
- Namen und URLs von Pantheon-Websites, die getestet werden