Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Test di Apigee richiesti dal cliente
Apigee consente e incoraggia i nostri clienti a eseguire la scansione o il test dei propri endpoint in Apigee. Ti chiediamo di inviarci una notifica della scansione solo per essere a conoscenza della scansione nel caso in cui causi un problema per i tuoi servizi. Per comunicare ad Apigee il test pianificato, apri una ticket di assistenza almeno un giorno lavorativo prima dell'inizio del test e fornisci i seguenti dettagli:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/azienda che esegue il test
- Dati di contatto della persona che esegue il test
- Indirizzi IP di origine del test
- IP e nomi di destinazione/target dei sistemi in fase di test (nomi degli endpoint API)
I test non sono specificamente vietati negli accordi con i clienti. Le email di approvazione non verranno inviate e le lettere di autorizzazione non verranno firmate perché non è vietato al cliente testare i propri endpoint e configurazioni in Apigee.
Se i clienti rilevano vulnerabilità durante i test che ritengono siano dovute alla piattaforma Apigee stessa, chiediamo loro di inviare queste informazioni ad Apigee utilizzando un ticket di assistenza standard. L'apertura di un ticket di assistenza consente di monitorare, riassegnare e risolvere il problema in modo appropriato.
Una volta che i clienti inviano una segnalazione di vulnerabilità tramite la procedura di assistenza Apigee standard, il team di assistenza esamina il ticket e lo riassegna ai team di sicurezza e ingegneria in base alle esigenze. I clienti devono aspettarsi una risposta nel ticket, anche se il follow-up potrebbe provenire direttamente dal team di ingegneria o sicurezza di Google se sono necessarie ulteriori informazioni sulla vulnerabilità segnalata.
Scansione di Apigee da parte di Google
Apigee esegue scansioni settimanali. Tuttavia, queste scansioni sono a uso interno e non vengono condivise con i clienti. Le scansioni di Google esaminano gli endpoint esposti pubblicamente e l'infrastruttura interna. Queste scansioni cercano patch mancanti, vulnerabilità, host configurati in modo errato, configurazioni TLS scadenti e così via. Fanno parte dell'impegno di Google a "proteggere la piattaforma".
Se viene identificato qualcosa che riguarda direttamente un cliente ed è ovviamente configurato in modo errato, lo notificheremo al cliente. Tuttavia, poiché i clienti utilizzano configurazioni sia di testo non crittografato sia TLS e poiché alcuni clienti utilizzano Apigee per dati pubblici, mentre altri lo utilizzano per dati PCI, sanitari o altri tipi di PII, non siamo in grado di determinare cosa sia sempre appropriato per tutti i nostri clienti.
Queste scansioni di Google non possono essere utilizzate dai clienti per soddisfare la propria due diligence nel testare i propri endpoint e verificare configurazioni sicure come quelle richieste da PCI e altri standard di settore o normativi.
I clienti sono invitati a eseguire i propri test degli endpoint in Apigee per esigenze di sicurezza o conformità. Per istruzioni, consulta la sezione Test di Apigee richiesti dal cliente di questo documento.
Test di Apigee hybrid da parte del cliente
Poiché i clienti di Apigee ibrido dispongono del software Apigee all'interno delle proprie reti, possono testarlo. Non sono previste limitazioni per i test di sistemi o servizi gestiti direttamente dal cliente.
Di conseguenza, Apigee non fornisce report di test ai clienti di Apigee Hybrid. Apigee esegue la scansione antimalware del codice Apigee prima che venga rilasciato ai clienti.
Per i clienti ibridi, i servizi di elaborazione API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione si trova in Apigee Cloud. Per informazioni dettagliate sulle limitazioni dei test dell'interfaccia di gestione, consulta la sezione Test di Apigee Cloud richiesti dal cliente di questo documento.
Test del cliente di portali per gli sviluppatori sponsorizzati da Apigee ospitati su Pantheon o Acquia
I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Apigee e Pantheon (o Acquia) devono essere avvisati per primi e i clienti possono farlo aprendo un ticket di assistenza con Apigee.
I clienti devono fornire al team di assistenza i seguenti dettagli del test pianificato:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/azienda che esegue il test
- Dati di contatto della persona che esegue il test
- Indirizzi IP di origine del test
- Nomi e URL dei siti Pantheon in fase di test