Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza la documentazione di
Apigee Edge.
Test di Apigee richiesti dal cliente
Apigee consente e incoraggia persino i clienti a scansionare o testare i propri endpoint Apigee. Chiediamo la notifica della scansione solo per essere a conoscenza della scansione nel caso in cui causi un problema per i tuoi servizi. Per notificare ad Apigee i test pianificati, aprire un ticket di assistenza almeno un giorno lavorativo prima dell'inizio del test e fornire seguenti dettagli:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue il test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine del test
- IP di destinazione/destinazione e nomi dei sistemi sottoposti a test (nomi di endpoint API)
I test non sono espressamente vietati nei contratti con i clienti. Le email di approvazione non verranno inviate né verranno firmate lettere di autorizzazione, perché non è vietato al cliente testare i propri endpoint e le proprie configurazioni in Apigee.
Se durante i test i clienti rilevano delle vulnerabilità che ritengono imputabili al piattaforma Apigee, chiediamo loro di inviare queste informazioni ad Apigee utilizzando una ticket di assistenza. Aprendo un ticket di assistenza, il problema può essere monitorato, riassegnato e risolto in base alle necessità.
Una volta che i clienti inviano una segnalazione di vulnerabilità tramite il processo di assistenza standard Apigee, Il team di assistenza esaminerà la richiesta e la riassegnerà ai team tecnici e di sicurezza appropriato. I clienti dovrebbero aspettarsi una risposta nel ticket, anche se il follow-up potrebbe provenire direttamente dal team di sicurezza o di ingegneria di Google se sono necessarie ulteriori informazioni sulla vulnerabilità segnalata.
Scansione di Apigee da parte di Google
Apigee scansiona Apigee ogni settimana. Tuttavia, queste scansioni sono per uso interno e non vengono condivise con i clienti. Le scansioni di Google esaminano gli endpoint esposti pubblicamente per l'infrastruttura interna. Queste analisi cercano la presenza di patch mancanti, vulnerabilità non configurati correttamente, configurazioni TLS non adeguate e così via. Fanno parte dell'impegno di Google per "proteggere la piattaforma".
Se viene identificato un problema direttamente correlato a un cliente e chiaramente configurato in modo errato, lo informeremo. Tuttavia, poiché i clienti utilizzano sia configurazioni in testo normale sia TLS, e poiché alcuni clienti utilizzano Apigee per i dati pubblici, mentre altri utilizzano Apigee per dati PCI, sanitari o di altro tipo PII, non siamo in grado di determinare cosa sia sempre appropriato per tutti i nostri clienti.
Queste analisi di Google non possono essere utilizzate dai clienti per adempiere alla propria due diligence nel testare i propri endpoint e verificare configurazioni sicure, come quelle richieste da PCI e altri standard di settore o normativi.
Consigliamo ai clienti di eseguire i propri test degli endpoint in Apigee per la sicurezza o le esigenze di conformità. Consulta la pagina Test di Apigee richiesto dal cliente di questo documento per istruzioni.
Test di Apigee hybrid da parte del cliente
Poiché i clienti di Apigee hybrid hanno il software Apigee all'interno delle proprie reti, possono testarlo. Non ci sono limitazioni per i test di sistemi o servizi gestiti direttamente dal cliente.
Di conseguenza, però, Apigee non fornisce report di test ai clienti Apigee hybrid. Apigee esegue la scansione del malware per il codice Apigee prima del rilascio clienti.
Per i clienti ibridi, i servizi di elaborazione delle API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione si trova in Apigee Cloud. Consulta le richieste dal cliente test di Apigee Cloud di questo documento per maggiori dettagli sui test dell'interfaccia di gestione limitazioni.
Test del cliente Portali per sviluppatori sponsorizzati da Apigee ospitati presso Pantheon o Acquia
I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Per Apigee e Pantheon (o Acquia) è necessario prima ricevere una notifica e i clienti possono aprire un ticket di assistenza con Apigee.
I clienti devono fornire al team di assistenza i seguenti dettagli dei test pianificati:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue il test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine del test
- Nomi e URL dei siti Pantheon sottoposti a test