Anfragen für Kundensicherheitstests

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

Vom Kunden angefordertes Testen von Edge Cloud

Apigee ermöglicht und ermutigt seine Kunden sogar dazu, ihre eigenen Endpunkte in Apigee Edge Cloud zu scannen oder zu testen. Wir bitten nur um eine Benachrichtigung über den Scan, damit wir Bescheid wissen, falls der Scan ein Problem für Ihre Dienste verursacht. Öffnen Sie mindestens einen Arbeitstag vor Beginn des Tests ein Support-Ticket und geben Sie die folgenden Details an, um Apigee über Ihre geplanten Tests zu informieren:

  • Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
  • Name der Person bzw. des Unternehmens, das den Test durchführt
  • Kontaktdaten für die Person, die den Test durchführt
  • Quell-IP-Adressen des Tests
  • Ziel-IP-Adressen und Namen der zu testenden Systeme (API-Endpunktnamen)

Tests sind in Kundenvereinbarungen ausdrücklich nicht verboten. Es werden weder Genehmigungs-E-Mails noch Autorisierungsschreiben gesendet, da es dem Kunden nicht untersagt ist, seine eigenen Endpunkte und Konfigurationen in Edge Cloud zu testen.

Wenn Kunden während ihrer Tests Sicherheitslücken feststellen, die ihrer Meinung nach auf die Apigee Edge-Plattform selbst zurückzuführen sind, bitten wir sie, diese Informationen mithilfe des Prozesses Sicherheitslücken in Edge melden an Apigee zu senden.

Google Scanning von Edge Public Cloud

Apigee scannt die öffentliche Apigee Edge-Cloud wöchentlich. Diese Scans sind jedoch nur für interne Zwecke vorgesehen. Kunden werden nicht darüber informiert. Die Google-Scans betrachten öffentlich zugängliche Endpunkte und die interne Infrastruktur. Bei diesen Scans wird nach fehlenden Patches, Sicherheitslücken, falsch konfigurierten Hosts, fehlerhaften TLS-Konfigurationen usw. gesucht. Sie sind Teil der Maßnahmen von Google zum Schutz der Plattform.

Wenn etwas festgestellt wird, das direkt mit einem Kunden zusammenhängt und offensichtlich falsch konfiguriert war, benachrichtigen wir den Kunden. Da Kunden jedoch sowohl Klartext- als auch TLS-Konfigurationen verwenden und einige Kunden Edge für öffentliche Daten verwenden, während andere Edge für PCI- oder Gesundheitsdaten oder andere personenidentifizierbare Informationen verwenden, können wir nicht bestimmen, was immer für alle unsere Kunden geeignet ist.

Diese Google-Scans entheben Kunden nicht ihrer eigenen Verantwortung für das Testen ihrer Endpunkte und das Gewährleisten sicherer Konfigurationen, wenn es von PCI und anderen Branchen- oder regulatorischen Standards gefordert wird.

Kunden wird empfohlen, Endpunkte in Edge für Sicherheits- oder Complianceanforderungen selbst zu testen. Eine Anleitung finden Sie im Abschnitt Vom Kunden angefordertes Testen von Edge Cloud in diesem Dokument.

Kundentests von Edge für Private Cloud oder Edge-Hybrid

Da Kunden von Edge for Private Cloud und Edge Hybrid Apigee-Software in ihren eigenen Netzwerken haben, dürfen Kunden die Software testen. Beim Testen von Systemen oder Diensten, die vom Kunden direkt verwaltet werden, gibt es keine Einschränkungen.

Daher stellt Apigee jedoch keine Testberichte an Edge für Private Cloud-Kunden zur Verfügung. Die Berichte von Apigee Public Cloud gelten nicht für Private Cloud-Bereitstellungen. Apigee nimmt einen Malware-Scan von Private Cloud-Code durch, bevor er für Kunden veröffentlicht wird.

Für Hybrid-Kunden befinden sich die API-Verarbeitungsdienste im Netzwerk des Kunden, während sich die Verwaltungsoberfläche in Apigee Cloud befindet. Weitere Informationen zu Einschränkungen für Tests von Verwaltungsschnittstellen finden Sie im Abschnitt Vom Kunden angefordertes Testen von Edge Cloud in diesem Dokument.

Kundentests für von Apigee gesponserte Entwicklerportale, die bei Pantheon oder Acquia gehostet werden

Dieser Abschnitt gilt nur für von Apigee gesponserte Portale, die auf Drupal 7 gehostet werden. Das von Apigee gesponserte Hosting von Drupal-Portalen endet Anfang 2020. Weitere Informationen finden Sie unter FAQs zum Drupal 7-Entwicklerportal – End of Hosting.

Kunden können Penetrationstests für ihre von Pantheon oder Acquia gehosteten Portale durchführen. Apigee und Pantheon (oder Acquia) müssen zuerst benachrichtigt werden. Kunden können dies tun, indem sie ein Support-Ticket bei Apigee eröffnen.

Kunden müssen dem Supportteam folgende Details zu den geplanten Tests geben:

  • Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
  • Name der Person bzw. des Unternehmens, das den Test durchführt
  • Kontaktdaten für die Person, die den Test durchführt
  • Quell-IP-Adressen des Tests
  • Namen und URLs von Pantheon-Websites, die getestet werden