고객 보안 테스트 요청

이 페이지는 ApigeeApigee Hybrid에 적용됩니다.

Apigee Edge 문서 보기

고객 요청 Apigee 테스트

Apigee에서는 고객이 자신의 엔드포인트를 Apigee에서 스캔하고 테스트하는 것이 허용되며, 심지어 권장됩니다. 스캔으로 인해 서비스 문제가 발생할 경우 스캔을 인지할 수 있도록 스캔에 대한 알림만 요구됩니다. 계획된 테스트를 Apigee에 알리기 위해서는 테스트 시작 최소 1일 전(업무일 기준) 지원 티켓을 열고 다음 세부정보를 제공합니다.

  • 테스트 날짜(시간대를 포함한 시작 날짜 및 예상 종료 날짜)
  • 테스트를 수행하는 사람/회사 이름
  • 테스트를 수행하는 사람의 연락처 정보
  • 테스트의 소스 IP 주소
  • 타겟/대상 IP 및 테스트 대상 시스템의 이름(API 엔드포인트 이름)

고객 계약에는 테스트가 특별히 금지되지 않습니다. Apigee에서 고객의 자체 엔드포인트 테스트 및 구성에 대한 금지 사항이 없기 때문에 승인 이메일 전송 또는 승인 문서 서명이 수행되지 않습니다.

고객 테스트 중 Apigee 플랫폼 자체 문제로 여겨지는 취약점이 발견된 경우 표준 지원 티켓을 사용해서 이 정보를 Apigee에 제출하도록 요구됩니다. 지원 티켓을 열고 문제를 적절하게 추적, 에스컬레이션, 해결할 수 있습니다.

고객이 표준 Apigee 지원 프로세스를 통해 취약점 보고를 제출하는 경우 지원 팀이 해당 티켓을 검토하고 필요에 따라 이를 보안팀 및 엔지니어링팀으로 에스컬레이션합니다. 보고된 취약점에 대해 추가 정보가 필요한 경우 Google 보안팀 또는 엔지니어링팀에서 직접 후속 조치가 취해질 수 있지만 일반적으로 고객에게는 해당 티켓으로 응답이 제공됩니다.

Apigee의 Google 스캔

Apigee는 Apigee를 매주 스캔합니다. 하지만 이러한 스캔은 내부 목적으로 사용되며 고객들에게 공유되지 않습니다. Google 스캔은 공개적으로 노출된 엔드포인트 및 내부 인프라를 조사합니다. 이러한 스캔은 누락된 패치, 취약점, 잘못 구성된 호스트, 잘못된 TLS 구성 등을 찾습니다. 이러한 작업은 '플랫폼 보안'을 위한 Google 약정에 해당합니다.

고객과 직접 관련된 문제가 식별되었고 명백하게 잘못 구성된 경우에는 이를 해당 고객에게 알립니다. 하지만 고객에서 일반 텍스트 및 TLS 구성이 모두 사용되고, 일부 고객은 공개 데이터에 대해 Apigee를 사용하고 다른 일부 고객은 PCI 또는 의료 또는 기타 PII 유형 데이터에 대해 Apigee를 사용하기 때문에 모든 고객들에게 항상 적합한 대상을 확정할 수는 없습니다.

이러한 Google 스캔은 PCI 및 기타 산업 또는 규정 표준에 요구되는 대로 고객 측에서 엔드포인트 테스트 및 보안 구성 확인에 대한 책임을 성실하게 이행함으로써 고객에 사용되지 않을 수 있습니다.

고객은 Apigee에서 보안 또는 규정 준수 요구에 맞게 엔드포인트에 대해 자체 테스트를 수행하는 것이 좋습니다. 자세한 내용은 이 문서의 고객 요청 Apigee 테스트를 참조하세요.

고객 Apigee Hybrid 테스트

Apigee Hybrid 고객은 자신의 네트워크에 Apigee 소프트웨어가 있기 때문에 고객이 소프트웨어를 테스트하도록 허용됩니다. 고객이 직접 관리하는 시스템 또는 서비스의 테스트에는 제한사항이 없습니다.

하지만 따라서 Apigee는 Apigee Hybrid 고객에게 테스트 보고서를 제공하지 않습니다. Apigee는 고객에게 출시되기 전 Apigee 코드에서 멀웨어 스캔을 수행합니다.

하이브리드 고객의 경우 API 처리 서비스가 고객 네트워크 내에 있고 관리 인터페이스는 Apigee Cloud에 있습니다. 관리 인터페이스 테스트 제한사항에 대한 자세한 내용은 이 문서의 고객 요청 Apigee Cloud 테스트 섹션을 참조하세요.

Pantheon 또는 Acquia에서 호스팅되는 Apigee 지원 개발자 포털에 대한 고객 테스트

고객은 Pantheon 또는 Acquia에서 호스팅되는 자신의 포털에서 침투 테스트를 수행할 수 있습니다. Apigee 및 Pantheon(또는 Acquia)에 먼저 알림을 제공해야 하며, 고객이 Apigee에 지원 티켓을 개설하여 이를 수행할 수 있습니다.

고객은 지원팀에 계획된 테스트에 대한 다음 세부정보를 제공해야 합니다.

  • 테스트 날짜(시간대를 포함한 시작 날짜 및 예상 종료 날짜)
  • 테스트를 수행하는 사람/회사 이름
  • 테스트를 수행하는 사람의 연락처 정보
  • 테스트의 소스 IP 주소
  • 테스트 중인 Pantheon 사이트 이름 및 URL