Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da Apigee Edge.
Teste da Apigee solicitado pelo cliente
A Apigee permite e incentiva os clientes a verificar ou testar os próprios endpoints na Apigee. Solicitamos uma notificação apenas para que possamos verificar caso haja um problema nos seus serviços. Para notificar a Apigee sobre o teste planejado, abra um tíquete de suporte pelo menos um dia útil antes do início do teste e forneça os seguintes detalhes:
- Data dos testes (data de início e data de término projetada, incluindo fuso horário)
- Nome da pessoa/empresa que fará o teste
- Dados de contato da pessoa que fará o teste
- Endereços IP de origem do teste
- IPs de destino/alvo e nomes dos sistemas que estão sendo testados (nomes de endpoint da API)
Os testes não são proibidos em contratos com clientes. Os e-mails de aprovação não serão enviados, nem as cartas de autorização serão assinadas, porque clientes não são proibidos de testarem os próprios endpoints e configurações na Apigee.
Se os clientes encontrarem vulnerabilidades durante os testes que acreditam ser devido à própria plataforma Apigee, pedimos a eles que enviem essas informações à Apigee usando um tíquete de suporte padrão. Ao abrir um tíquete de suporte, é possível rastrear e encaminhar o problema e resolvê-lo conforme apropriado.
Depois que os clientes enviam um relatório de vulnerabilidade pelo processo de suporte padrão da Apigee, a equipe de suporte analisa o tíquete e encaminha o problema às equipes de segurança e engenharia, conforme apropriado. Os clientes receberão uma resposta no tíquete, mas o acompanhamento pode vir diretamente da segurança ou da engenharia do Google, se forem necessárias mais informações sobre essa vulnerabilidade.
Digitalização da Apigee pelo Google
A Apigee verifica a Apigee semanalmente. No entanto, as verificações são para fins internos e não são compartilhadas com os clientes. As verificações do Google analisam os endpoints expostos publicamente e a infraestrutura interna. Essas verificações procuram patches ausentes, vulnerabilidades, hosts mal configurados, configurações TLS ruins, entre outros. Elas fazem parte do compromisso do Google com a "proteção da plataforma".
Se algo fosse diretamente relacionado a um cliente e, obviamente, estivesse configurado incorretamente, isso seria notificado. No entanto, como alguns clientes usam configurações de texto simples e TLS, alguns clientes usam a Apigee para dados públicos e outros usam Apigee para PCI, saúde ou outros tipos de dados PII, não podemos determinar o que é apropriado para cada um de nossos clientes.
Essas verificações do Google não podem ser usadas por clientes que tenham as próprias verificações necessárias para testar os endpoints e verificar configurações seguras, como exigidas pelo PCI e por outros padrões do setor ou regulatórios.
Recomendamos que os clientes realizem os próprios testes de endpoints na Apigee para fins de segurança ou conformidade. Consulte a seção Teste solicitado pelo cliente da Apigee deste documento para instruções.
Testes de cliente da Apigee híbrida
Como clientes da Apigee híbrida têm o software Apigee dentro das próprias redes, é possível testar o software por conta própria. Não há limitações para testes de sistemas ou serviços gerenciados diretamente pelo cliente.
Como resultado, no entanto, a Apigee não fornece relatórios de teste para clientes da Apigee híbrida. A Apigee faz a verificação de malware do código da Apigee antes de ser lançada para os clientes.
Para clientes híbridos, os serviços de processamento de APIs estão na rede do cliente, enquanto a interface de gerenciamento está na Apigee Cloud. Consulte a seção Teste solicitado pelo cliente da Apigee Cloud deste documento para ver detalhes sobre as restrições de teste da interface de gerenciamento.
Teste de cliente dos portais para desenvolvedores patrocinados pela Apigee, hospedados no Pantheon ou na Acquia
Os clientes podem fazer testes de infiltração nos portais hospedados pelo Pantheon ou Acquia. A Apigee e o Pantheon (ou Acquia) precisam ser notificados primeiro, e os clientes podem fazer isso abrindo um tíquete de suporte com a Apigee.
Os clientes precisam fornecer à equipe de suporte os seguintes detalhes do teste planejado:
- Data dos testes (data de início e data de término projetada, incluindo fuso horário)
- Nome da pessoa/empresa que fará o teste
- Dados de contato da pessoa que fará o teste
- Endereços IP de origem do teste
- Nomes de sites e URLs do Pantheon que serão testados