Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Lihat
Dokumentasi Apigee Edge.
Pengujian Apigee yang diminta pelanggan
Apigee memungkinkan dan bahkan mendorong pelanggan untuk memindai atau menguji endpoint mereka sendiri di Apigee. Kami meminta notifikasi pemindaian hanya agar kami mengetahui pemindaian di jika pemindaian akan menyebabkan masalah pada layanan Anda. Untuk memberi tahu Apigee tentang pengujian yang telah direncanakan, membuka tiket dukungan setidaknya satu hari kerja sebelum pengujian dimulai dan memberikan detail berikut:
- Tanggal pengujian (tanggal mulai dan tanggal akhir yang diproyeksikan, termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak orang yang melakukan pengujian
- Alamat IP sumber pengujian
- IP Target/Tujuan dan nama sistem yang diuji (nama endpoint API)
Pengujian secara khusus tidak dilarang dalam perjanjian pelanggan. Email persetujuan tidak akan dikirimkan, dan surat kuasa tidak akan ditandatangani, karena tidak ada larangan terhadap pelanggan menguji titik akhir dan konfigurasi mereka sendiri di Apigee.
Jika pelanggan menemukan kerentanan selama pengujian yang mereka yakini disebabkan oleh di platform Apigee itu sendiri, kami meminta mereka untuk mengirimkan informasi ini ke Apigee menggunakan tiket dukungan teknis IT. Dengan membuka tiket dukungan, masalah dapat dilacak, dieskalasikan, dan diselesaikan sebagaimana mestinya.
Setelah pelanggan mengirimkan laporan kerentanan melalui proses dukungan Apigee standar, Tim dukungan akan meninjau tiket dan mengeskalasikan ke tim keamanan dan teknik yang sesuai. Pelanggan harus menunggu jawaban dalam tiket, meskipun lebih lanjut dapat dilakukan secara langsung dari tim keamanan atau teknisi Google jika diperlukan informasi lebih lanjut terkait kerentanan.
Pemindaian Google terhadap Apigee
Apigee memindai Apigee setiap minggu. Namun, pemindaian ini hanya untuk tujuan dan tidak dibagikan kepada pelanggan. Pemindaian Google memeriksa endpoint yang terekspos secara publik dan infrastruktur internal. Pemindaian ini mencari {i>patch<i} yang hilang, kerentanan, konfigurasi {i>host<i} yang salah, konfigurasi TLS yang buruk, dan sebagainya. Hal tersebut merupakan bagian dari komitmen Google. untuk "mengamankan platform."
Jika ada sesuatu yang teridentifikasi yang berkaitan langsung dengan pelanggan dan jelas-jelas salah dikonfigurasi, kita akan memberi tahu pelanggan. Namun, karena pelanggan menggunakan teks yang jelas dan TLS khusus, dan karena beberapa pelanggan menggunakan Apigee untuk data publik sementara yang lain menggunakan Apigee untuk PCI perawatan kesehatan atau jenis data PII lainnya, kami tidak berada dalam posisi untuk menentukan apa yang yang sesuai untuk semua pelanggan.
Pemindaian Google ini tidak boleh digunakan oleh pelanggan untuk memenuhi uji tuntas mereka sendiri dalam menguji endpoint mereka dan memverifikasi konfigurasi aman seperti yang diwajibkan oleh PCI dan standar industri atau peraturan.
Pelanggan dianjurkan untuk melakukan pengujian endpoint sendiri di Apigee untuk keamanan atau kepatuhan Anda. Lihat Pengujian Apigee yang diminta pelanggan dalam dokumen ini untuk mendapatkan petunjuk.
Pengujian pelanggan Apigee Hybrid
Karena pelanggan hybrid Apigee memiliki software Apigee dalam jaringan, pelanggan diizinkan untuk menguji perangkat lunak itu. Tidak ada batasan untuk pengujian sistem atau layanan yang dikelola oleh pelanggan secara langsung.
Namun, akibatnya Apigee tidak memberikan laporan pengujian untuk Apigee Hybrid pelanggan. Apigee melakukan pemindaian malware terhadap kode Apigee sebelum dirilis ke pelanggan.
Untuk pelanggan Hybrid, layanan pemrosesan API berada dalam jaringan pelanggan, sedangkan tersedia di Apigee Cloud. Tinjau Permintaan pelanggan pengujian Apigee Cloud dalam dokumen ini untuk mengetahui detail tentang pengujian antarmuka pengelolaan pembatasan.
Pengujian pelanggan Portal developer yang disponsori Apigee yang dihosting di Pantheon atau Acquia
Pelanggan dapat melakukan uji penetrasi di portal mereka yang dihosting oleh Pantheon atau Acquia. Apigee dan Pantheon (atau Acquia) perlu diberi tahu terlebih dahulu, dan pelanggan dapat melakukannya dengan membuka tiket dukungan dengan Apigee.
Pelanggan harus memberikan detail pengujian terencana berikut kepada tim Dukungan:
- Tanggal pengujian (tanggal mulai dan tanggal akhir yang diproyeksikan, termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak orang yang melakukan pengujian
- Alamat IP sumber pengujian
- Nama Situs dan URL Pantheon yang sedang diuji