Questa pagina si applica a Apigee e Apigee ibrido.
Visualizza la documentazione di
Apigee Edge.
Test di Apigee richiesti dal cliente
Apigee consente e incoraggia persino i nostri clienti a scansionare o testare i propri endpoint in Apigee. Chiediamo la notifica dell'analisi solo per consentirci di essere a conoscenza dell'analisi nel caso in cui causi un problema per i tuoi servizi. Per informare Apigee dei tuoi test pianificati, apri un ticket di assistenza almeno un giorno lavorativo prima dell'inizio dei test e fornisci i seguenti dettagli:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue il test
- Dati di contatto della persona che esegue il test
- Indirizzi IP di origine del test
- IP di destinazione/destinazione e nomi dei sistemi sottoposti a test (nomi di endpoint API)
I test non sono espressamente vietati nei contratti con i clienti. Non verranno inviate email di approvazione e non verranno firmate lettere di autorizzazione, perché non esiste alcun divieto per il cliente di testare i propri endpoint e le proprie configurazioni in Apigee.
Se durante i test i clienti rilevano vulnerabilità che ritengono imputabili alla piattaforma Apigee, chiediamo loro di inviare queste informazioni ad Apigee utilizzando un ticket di assistenza standard. L'apertura di un ticket di assistenza consente di monitorare, riassegnare e risolvere il problema in base alle esigenze.
Una volta che i clienti inviano una segnalazione di vulnerabilità tramite il processo di assistenza standard di Apigee, il team di assistenza esaminerà il ticket e la riassegnerà ai team di sicurezza e tecnici, a seconda dei casi. I clienti devono aspettarsi una risposta nel ticket, anche se il follow-up potrebbe provenire direttamente dalla sicurezza o dal team tecnico di Google qualora siano necessarie ulteriori informazioni sulla vulnerabilità segnalata.
Scansione Google di Apigee
Apigee scansiona Apigee ogni settimana. Tuttavia, queste analisi sono per scopi interni e non condivise con i clienti. Le scansioni di Google esaminano gli endpoint esposti pubblicamente e l'infrastruttura interna. Queste analisi cercano la presenza di patch mancanti, vulnerabilità, host configurati in modo errato, configurazioni TLS scadenti e così via. Fanno parte dell'impegno di Google per "proteggere la piattaforma".
Se venisse identificato qualcosa di direttamente correlato a un cliente e che fosse palesemente configurato in modo errato, provvederemo a informare il cliente. Tuttavia, poiché i clienti utilizzano sia configurazioni di testo in chiaro che TLS e poiché alcuni clienti utilizzano Apigee per i dati pubblici, mentre altri utilizzano Apigee per PCI, il settore sanitario o altri tipi di dati PII, non siamo nella posizione di determinare cosa sia sempre appropriato per tutti i nostri clienti.
Queste analisi di Google non possono essere utilizzate dai clienti per garantire la propria due diligence nel test degli endpoint e nella verifica delle configurazioni sicure, come richiesto dallo standard PCI e da altri standard normativi o del settore.
Consigliamo ai clienti di eseguire i propri test degli endpoint in Apigee per soddisfare esigenze di sicurezza o conformità. Per istruzioni, consulta la sezione Test di Apigee richiesti dal cliente di questo documento.
Test di Apigee hybrid da parte dei clienti
Poiché i clienti ibridi di Apigee dispongono del software Apigee all'interno delle proprie reti, i clienti sono autorizzati a testarlo. Non ci sono limitazioni ai test di sistemi o servizi gestiti direttamente dal cliente.
Di conseguenza, tuttavia, Apigee non fornisce report di test ai clienti ibridi di Apigee. Apigee esegue la scansione di malware del codice Apigee prima che venga rilasciato ai clienti.
Per i clienti ibridi, i servizi di elaborazione API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione è in Apigee Cloud. Consulta la sezione Test di Apigee Cloud richiesti dal cliente di questo documento per i dettagli sulle limitazioni relative ai test dell'interfaccia di gestione.
Test dei clienti dei portali per sviluppatori sponsorizzati da Apigee ospitati presso Pantheon o Acquia
I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Apigee e Pantheon (o Acquia) devono prima ricevere una notifica. I clienti possono farlo aprendo un ticket di assistenza con Apigee.
I Clienti devono fornire al team di assistenza i seguenti dettagli dei test pianificati:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue il test
- Dati di contatto della persona che esegue il test
- Indirizzi IP di origine del test
- Nomi di siti e URL Pantheon in fase di test