Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'Apigee Edge.
Tests Apigee demandés par les clients
Apigee permet, et même encourage, nos clients d'analyser ou de tester leurs propres points de terminaison dans Apigee. Nous vous demandons de recevoir une notification d'analyse uniquement afin de connaître l'analyse dans le cas où l'analyse entraîne un problème pour vos services. Pour notifier Apigee de vos tests planifiés, ouvrez une demande d'assistance au moins un jour ouvré avant le début des tests et fournissez les informations suivantes :
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Adresses IP cibles/de destination et noms des systèmes testés (noms des points de terminaison de l'API)
Les tests ne sont pas interdits dans les contrats clients. Les e-mails d'approbation ne seront pas envoyés, et les lettres d'autorisation ne seront pas signées, car il n'existe aucune interdiction pour le client de tester ses propres points de terminaison et configurations dans Apigee.
Si les clients identifient des failles pendant leurs tests qui, selon eux, sont dues à la plate-forme Apigee, nous leur demandons de les envoyer à Apigee à l'aide d'une demande d'assistance standard. En ouvrant une demande d'assistance, vous pouvez suivre, faire remonter et résoudre le problème de manière appropriée.
Une fois que les clients ont envoyé un rapport de faille via le processus d'assistance standard d'Apigee, l'équipe d'assistance examine la demande et la transmet aux équipes de sécurité et d'ingénierie, le cas échéant. Les clients doivent s'attendre à une réponse dans la demande, même si le suivi peut provenir directement de la sécurité ou de l'ingénierie de Google si des informations supplémentaires sont nécessaires concernant la faille signalée.
Analyse Google d'Apigee
Apigee analyse Apigee chaque semaine. Toutefois, ces analyses sont destinées à un usage interne et ne sont pas partagées avec les clients. Les analyses Google examinent les points de terminaison exposés publiquement et l'infrastructure interne. Ces analyses recherchent les correctifs manquants, les failles, les hôtes mal configurés, les mauvaises configurations TLS, etc. Elles font partie de l'engagement de Google à "sécuriser la plate-forme".
Si nous constatons qu'un élément lié directement à un client est mal configuré, nous vous en informons. Étant donné que les clients utilisent à la fois du texte clair et des configurations TLS, et que certains clients utilisent Apigee pour les données publiques, tandis que d'autres utilisent Apigee pour la norme PCI, les soins de santé ou d'autres types d'informations personnelles, nous ne sommes pas en mesure de déterminer ce qui convient toujours à tous nos clients.
Ces analyses Google peuvent ne pas être utilisées par les clients pour remplir leurs propres obligations de diligence lors du test de leurs points de terminaison et de la vérification de configurations sécurisées requises par la norme PCI ou d'autres normes industrielles ou réglementaires.
Les clients sont invités à effectuer leurs propres tests de points de terminaison dans Apigee à des fins de sécurité ou de conformité. Pour obtenir des instructions, consultez la section Tests d'Apigee demandés par le client.
Tests client d'Apigee hybrid
Étant donné que les clients Apigee hybrid disposent d'un logiciel Apigee au sein de leurs propres réseaux, ils sont autorisés à tester le logiciel. Les tests de systèmes ou de services gérés directement par le client ne sont soumis à aucune limite.
Toutefois, Apigee ne fournit pas de rapports de test aux clients Apigee hybrid. Apigee analyse le code Apigee par des logiciels malveillants avant sa publication auprès des clients.
Pour les clients hybrides, les services de traitement des API font partie du réseau du client, tandis que l'interface de gestion se trouve dans Apigee Cloud. Veuillez consulter la section Tests d'Apigee Cloud demandés par le client de ce document pour en savoir plus sur les restrictions des tests de l'interface de gestion.
Tests par les clients des portails de développeurs sponsorisés par Apigee et hébergés par Pantheon ou Acquia
Les clients peuvent effectuer des tests d'intrusion sur leurs portails hébergés par Pantheon ou Acquia. Apigee et Pantheon (ou Acquia) doivent être notifiés en premier. Les clients peuvent le faire en ouvrant une demande d'assistance avec Apigee.
Les clients doivent fournir à l'équipe d'assistance les détails suivants des tests prévus :
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Noms de site Pantheon et URL en cours de test