Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de Apigee Edge.
Prueba de Apigee solicitada por el cliente
Apigee permite y, de hecho, alienta a sus clientes a analizar o probar sus propios extremos en Apigee. Solicitamos una notificación del análisis solo para estar al tanto en caso de que el análisis genere un problema en tus servicios. Para notificar a Apigee sobre las pruebas planificadas, abre un ticket de asistencia al menos un día hábil antes del inicio de las pruebas y proporciona los siguientes detalles:
- Fecha de las pruebas (fecha de inicio y de finalización proyectada, incluida la zona horaria)
- Nombre de la persona o empresa que realizará las pruebas
- Información de contacto de la persona que realizará las pruebas
- Direcciones IP de origen de las pruebas
- IP de destino y nombres de los sistemas que se probarán (nombres de los extremos de la API)
Las pruebas no están prohibidas en los acuerdos con los clientes. No se enviarán correos electrónicos de aprobación ni se firmarán cartas de autorización, ya que no hay ninguna prohibición en contra de que el cliente pruebe sus propios extremos y configuraciones en Apigee.
Si los clientes encuentran vulnerabilidades durante las pruebas que consideran que se deben a la plataforma Apigee, les pedimos que envíen esta información a Apigee mediante un ticket de asistencia estándar. Cuando se abre un ticket de asistencia, se puede hacer un seguimiento del problema, derivarlo y resolverlo según corresponda.
Una vez que los clientes envíen un informe de vulnerabilidad a través del proceso estándar de asistencia de Apigee, el equipo de asistencia revisará el ticket y lo derivará a los equipos de ingeniería y seguridad según corresponda. Los clientes deberían esperar una respuesta en el ticket, aunque el seguimiento podría provenir directamente de los equipos de seguridad o ingeniería de Google si se necesitan más datos sobre la vulnerabilidad informada.
Análisis de Google de Apigee
Apigee analiza Apigee semanalmente. Sin embargo, estos análisis son para uso interno y no se comparten con los clientes. Los análisis de Google evalúan los extremos expuestos públicamente y la infraestructura interna. Estos análisis buscan parches faltantes, vulnerabilidades, hosts mal configurados, configuraciones de TLS deficientes, etcétera. Son parte del compromiso de Google de “proteger la plataforma”.
Si se identifica algo que se relaciona directamente con un cliente y está configurado de manera incorrecta, se lo notificaremos. Sin embargo, dado que los clientes usan configuraciones de texto simple y TLS, y debido a que algunos clientes usan Apigee para datos públicos, mientras que otros usan Apigee para datos de PII de PCI, salud, o de otros tipos, no estamos en posición de determinar lo que es apropiado para todos nuestros clientes.
Los clientes no pueden usar estos análisis de Google para cumplir con sus propios procesos de diligencia debida de evaluación de sus extremos y verificación de las configuraciones seguras, como lo requieren el PCI y otros estándares normativos o del sector.
Se recomienda a los clientes que realicen sus propias pruebas de extremos en Apigee para satisfacer las necesidades de seguridad o cumplimiento. Consulta la sección de Pruebas de Apigee solicitadas por el cliente de este documento para obtener instrucciones.
Pruebas de clientes de Apigee Hybrid
Debido a que los clientes híbridos de Apigee tienen software de Apigee dentro de sus propias redes, pueden probar el software. No existen limitaciones para las pruebas de los sistemas o servicios que administra el cliente directamente.
Sin embargo, Apigee no proporciona informes de las pruebas a los clientes híbridos de Apigee. Apigee sí realiza un análisis de software malicioso del código de Apigee antes de que se lance a los clientes.
En el caso de los clientes híbridos, los servicios de procesamiento de API se encuentran dentro de la red del cliente, mientras que la interfaz de administración está en Apigee Cloud. Revisa la sección Pruebas de Apigee Cloud solicitadas por el cliente de este documento para obtener detalles sobre las restricciones de prueba de la interfaz de administración.
Pruebas de clientes de portales para desarrolladores patrocinados por Apigee alojados en Pantheon o Acquia
Los clientes pueden realizar pruebas de penetración en sus portales alojados en Pantheon o Acquia. Primero, se debe notificar a Apigee y Pantheon (o Acquia). Para hacerlo, los clientes pueden abrir un ticket de asistencia de Apigee.
Los clientes deben proporcionarle al equipo de asistencia los detalles de las pruebas planificadas:
- Fecha de las pruebas (fecha de inicio y de finalización proyectada, incluida la zona horaria)
- Nombre de la persona o empresa que realizará las pruebas
- Información de contacto de la persona que realizará las pruebas
- Direcciones IP de origen de las pruebas
- Nombres de sitios y URL de Pantheon que se probarán