Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Test di Apigee richiesti dal cliente
Apigee consente e incoraggia persino i propri clienti a eseguire la scansione o il test dei propri endpoint in Apigee. Chiediamo la notifica della scansione solo per essere a conoscenza della scansione nel caso in cui causi un problema per i tuoi servizi. Per informare Apigee dei test pianificati, apri un ticket di assistenza almeno un giorno lavorativo prima dell'inizio dei test e fornisci i seguenti dettagli:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue i test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine dei test
- Indirizzi IP di destinazione/target e nomi dei sistemi sottoposti a test (nomi degli endpoint API)
I test non sono espressamente vietati nei contratti con i clienti. Le email di approvazione non verranno inviate né verranno firmate lettere di autorizzazione, perché non è vietato al cliente testare i propri endpoint e le proprie configurazioni in Apigee.
Se durante i test i clienti rilevano vulnerabilità che ritengono dovute alla stessa piattaforma Apigee, chiediamo loro di inviare queste informazioni ad Apigee utilizzando un ticket di assistenza standard. Aprendo un ticket di assistenza, il problema può essere monitorato, riassegnato e risolto in base alle necessità.
Una volta che i clienti inviano una segnalazione di vulnerabilità tramite la procedura di assistenza standard di Apigee, il team di assistenza esaminerà il ticket e lo inoltrerà ai team di sicurezza e di ingegneria, se opportuno. I clienti dovrebbero aspettarsi una risposta nel ticket, anche se il follow-up potrebbe provenire direttamente dal team di sicurezza o di ingegneria di Google se sono necessarie ulteriori informazioni sulla vulnerabilità segnalata.
Scansione di Apigee da parte di Google
Apigee esegue scansioni settimanali. Tuttavia, queste scansioni sono per uso interno e non vengono condivise con i clienti. Le analisi di Google esaminano gli endpoint esposti pubblicamente e l'infrastruttura interna. Queste scansioni cercano patch mancanti, vulnerabilità, host configurati in modo errato, configurazioni TLS scadenti e così via. Fanno parte dell'impegno di Google a "proteggere la piattaforma".
Se viene identificato un problema direttamente correlato a un cliente e chiaramente configurato in modo errato, lo informeremo. Tuttavia, poiché i clienti utilizzano sia configurazioni in testo normale sia TLS, e poiché alcuni clienti utilizzano Apigee per i dati pubblici, mentre altri utilizzano Apigee per dati PCI, sanitari o di altro tipo PII, non siamo in grado di determinare cosa sia sempre appropriato per tutti i nostri clienti.
Queste analisi di Google non possono essere utilizzate dai clienti per adempiere alla propria due diligence nel testare i propri endpoint e verificare configurazioni sicure, come quelle richieste da PCI e altri standard di settore o normativi.
I clienti sono invitati a eseguire i propri test degli endpoint in Apigee per esigenze di sicurezza o conformità. Per le istruzioni, consulta la sezione Test di Apigee richiesti dal cliente di questo documento.
Test di Apigee hybrid da parte del cliente
Poiché i clienti di Apigee hybrid hanno il software Apigee all'interno delle proprie reti, possono testarlo. Non ci sono limitazioni per i test di sistemi o servizi gestiti direttamente dal cliente.
Di conseguenza, però, Apigee non fornisce report di test ai clienti Apigee hybrid. Apigee esegue la scansione del codice Apigee per rilevare malware prima che venga rilasciato ai clienti.
Per i clienti ibridi, i servizi di elaborazione delle API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione si trova in Apigee Cloud. Consulta la sezione Test di Apigee Cloud richiesti dal cliente di questo documento per informazioni dettagliate sulle limitazioni dei test dell'interfaccia di gestione.
Test dei clienti su portali per sviluppatori sponsorizzati da Apigee ospitati su Pantheon o Acquia
I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Apigee e Pantheon (o Acquia) devono prima essere avvisati e i clienti possono farlo aprendo un ticket di assistenza con Apigee.
I clienti devono fornire al team di assistenza i seguenti dettagli dei test pianificati:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue i test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine dei test
- Nomi e URL dei siti Pantheon sottoposti a test