このページの内容は Apigee と Apigee ハイブリッドに該当します。
Apigee Edge のドキュメントを表示する。
お客様からリクエストされた Apigee のテスト
Apigee では、Apigee におけるお客様独自のエンドポイントを、お客様自身がスキャンまたはテストできるようにしており、その実施を推奨しています。スキャンによってお客様のサービスに問題が発生した場合に Apigee がそのスキャンを認識できるように、スキャンのみ通知をお願いしています。予定しているテストを Apigee に通知するには、テスト開始の 1 営業日以上前にサポート チケットを開き、以下の詳細を提供してください。
- テスト日(タイムゾーンを含む開始日と予定終了日)
- テストを行う個人 / 会社の名前
- テストの実施者の連絡先情報
- テストの送信元 IP アドレス
- ターゲット / 宛先の IP とテスト対象のシステムの名前(API エンドポイント名)
テストは、顧客契約では特に禁止されていません。お客様は Apigee で独自のエンドポイントと構成をテストすることを禁止されていないため、承認メールは送信されず、承認書も署名されません。
テスト中に Apigee プラットフォーム自体が原因であると考えられる脆弱性をお客様が見つけた場合、標準のサポート チケットを使用して、この情報の Apigee への提出をお客様にお願いしています。サポート チケットを開くことで、問題が適切に追跡、エスカレーション、解決されるようになります。
お客様が標準の Apigee サポート プロセスを通じて脆弱性の報告を送信すると、サポートチームがチケットを確認し、状況に応じてセキュリティ チームとエンジニアリング チームにエスカレーションします。お客様はチケットへの回答をお待ちください。ただし、報告された脆弱性に関して、より詳細な情報が必要な場合は、Google のセキュリティ チームかエンジニアリング チームからフォローアップのご連絡を直接させていただくことがあります。
Google による Apigee のスキャン
Apigee は毎週 Apigee をスキャンします。ただし、こうしたスキャンは内部用に行うものであり、お客様と結果を共有しません。Google は、一般公開されているエンドポイントと内部インフラストラクチャをスキャンします。このスキャンでは、不足しているパッチ、脆弱性、ホストの構成ミス、不適切な TLS 構成などを検出します。これらは「プラットフォームの保護」に対する Google の取り組みの一環です。
お客様と直接関係があり、明らかに正しく構成されていない点があった場合は、お客様に通知します。ただし、お客様はクリアテキストと TLS の両方の構成を使用しており、しかも Apigee を一般公開データに使用するお客様もいれば、PCI やヘルスケアなど、個人を特定できるタイプのデータに使用するお客様もいるため、すべての方に常に適切に通知できるわけではありません。
PCI などの業界標準や規制基準で義務付けられている、エンドポイントのテストやセキュアな構成の検証などにおける自らのデュー デリジェンスを行う際に、お客様が Google スキャンを使用することはできません。
お客様は、セキュリティやコンプライアンス上のニーズを考慮して、Apigee のエンドポイントを独自にテストすることが推奨されます。手順については、このドキュメントのお客様のリクエストによる Apigee のテストをご覧ください。
Apigee ハイブリッドのお客様のテスト
Apigee ハイブリッドのお客様は、ご自身のネットワーク内に Apigee ソフトウェアがあるため、お客様自身でソフトウェアをテストできます。お客様が直接管理するシステムやサービスのテストには、制限がありません。
ただし、この理由により、Apigee ハイブリッドのお客様には、Apigee によるテストレポートは提供されません。Apigee は、Apigee コードをお客様にリリースする前に、マルウェア スキャンを実施します。
Hybrid のお客様の場合、API 処理サービスはお客様のネットワーク内にあり、管理インターフェースは Apigee Cloud にあります。管理インターフェースのテスト制限の詳細については、このドキュメントのお客様のリクエストによる Apigee Cloud のテストのセクションをご覧ください。
Pantheon または Acquia でホストされる Apigee 提供のデベロッパー ポータルのお客様のテスト
お客様は、Pantheon または Acquia でホストされているポータルで侵入テストを実施できます。まず Apigee と Pantheon(または Acquia)に通知する必要があります。お客様は Apigee でサポート チケットを作成して、これを行うことができます。
お客様は、計画しているテストに関する以下の詳細をサポートチームに提出する必要があります。
- テスト日(タイムゾーンを含む開始日と予定終了日)
- テストを行う個人 / 会社の名前
- テストの実施者の連絡先情報
- テストの送信元 IP アドレス
- テスト対象の Pantheon のサイト名と URL