Halaman ini diterjemahkan oleh Cloud Translation API.

Permintaan pengujian keamanan pelanggan

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Pengujian Apigee yang diminta pelanggan

Apigee memungkinkan dan bahkan mendorong pelanggan kami untuk memindai atau menguji endpoint mereka sendiri di Apigee. Kami hanya meminta notifikasi tentang pemindaian tersebut agar kami mengetahui pemindaian tersebut jika pemindaian tersebut menimbulkan masalah bagi layanan Anda. Untuk memberi tahu Apigee tentang pengujian yang telah Anda rencanakan, buatkan tiket dukungan setidaknya satu hari kerja sebelum pengujian dimulai dan berikan detail berikut:

Tanggal pengujian (tanggal mulai dan proyeksi tanggal akhir termasuk zona waktu)
Nama orang/perusahaan yang melakukan pengujian
Info kontak untuk orang yang melakukan pengujian
Alamat IP sumber pengujian
Target/IP Tujuan dan nama sistem yang sedang diuji (nama endpoint API)

Pengujian secara khusus tidak dilarang dalam perjanjian pelanggan. Email persetujuan tidak akan dikirim dan surat otorisasi juga tidak akan ditandatangani, karena tidak ada larangan bagi pelanggan untuk menguji endpoint dan konfigurasinya sendiri di Apigee.

Jika pelanggan menemukan kerentanan selama pengujian yang mereka yakini disebabkan oleh platform Apigee, kami akan meminta mereka untuk mengirimkan informasi ini ke Apigee menggunakan tiket dukungan standar. Dengan membuka tiket dukungan, masalah dapat dilacak, dieskalasikan, dan diselesaikan sebagaimana mestinya.

Setelah pelanggan mengirimkan laporan kerentanan melalui proses dukungan Apigee standar, tim Dukungan akan meninjau tiket dan mengeskalasikannya kepada tim keamanan dan engineer yang sesuai. Pelanggan akan menerima respons dalam tiket, meskipun tindak lanjut dapat langsung dilakukan dari tim keamanan atau engineering Google jika diperlukan informasi lebih lanjut tentang kerentanan yang dilaporkan.

Pemindaian Apigee oleh Google

Apigee memindai Apigee setiap minggu. Namun, pemindaian ini untuk tujuan internal dan tidak dibagikan kepada pelanggan. Pemindaian Google mengamati endpoint yang terekspos secara publik dan infrastruktur internal. Pemindaian ini mencari patch yang hilang, kerentanan, host yang salah dikonfigurasi, konfigurasi TLS yang buruk, dan sebagainya. Mereka adalah bagian dari komitmen Google untuk "mengamankan platform".

Jika ada sesuatu yang teridentifikasi terkait langsung dengan pelanggan dan jelas-jelas salah dikonfigurasi, kami akan memberi tahu pelanggan tersebut. Namun, karena pelanggan menggunakan teks yang jelas dan konfigurasi TLS, serta karena beberapa pelanggan menggunakan Apigee untuk data publik, sementara pelanggan lain menggunakan Apigee untuk PCI atau layanan kesehatan atau jenis data PII lainnya, kami tidak dapat menentukan apa yang selalu sesuai bagi semua pelanggan kami.

Pemindaian Google ini tidak boleh digunakan oleh pelanggan untuk memenuhi uji tuntas mereka sendiri dalam menguji endpoint mereka dan memverifikasi konfigurasi aman yang diwajibkan oleh PCI dan standar industri atau peraturan lainnya.

Pelanggan didorong untuk melakukan pengujian sendiri terhadap endpoint di Apigee untuk memenuhi kebutuhan keamanan atau kepatuhan. Lihat bagian Pengujian Apigee yang diminta pelanggan dalam dokumen ini untuk mengetahui petunjuknya.

Pengujian pelanggan Apigee Hybrid

Karena pelanggan hybrid Apigee memiliki software Apigee dalam jaringan mereka sendiri, pelanggan diizinkan untuk menguji software tersebut. Tidak ada batasan untuk pengujian sistem atau layanan yang dikelola oleh pelanggan secara langsung.

Namun, akibatnya, Apigee tidak memberikan laporan pengujian kepada pelanggan hybrid Apigee. Apigee melakukan pemindaian malware terhadap kode Apigee sebelum dirilis kepada pelanggan.

Untuk pelanggan Hybrid, layanan pemrosesan API berada dalam jaringan pelanggan, sedangkan antarmuka pengelolaan berada di Apigee Cloud. Tinjau bagian Pengujian yang diminta pelanggan terhadap Apigee Cloud dalam dokumen ini untuk mengetahui detail tentang batasan pengujian antarmuka pengelolaan.

Pengujian pelanggan terhadap portal developer yang disponsori Apigee yang dihosting di Pantheon atau Acquia

Pelanggan dapat melakukan uji penetrasi di portal mereka yang dihosting oleh Pantheon atau Acquia. Apigee dan Pantheon (atau Acquia) harus diberi tahu terlebih dahulu, dan pelanggan dapat melakukannya dengan membuka tiket dukungan di Apigee.

Pelanggan harus memberikan detail pengujian yang direncanakan berikut kepada tim Dukungan:

Tanggal pengujian (tanggal mulai dan proyeksi tanggal akhir termasuk zona waktu)
Nama orang/perusahaan yang melakukan pengujian
Info kontak untuk orang yang melakukan pengujian
Alamat IP sumber pengujian
Nama Situs dan URL Pantheon yang sedang diuji