Solicitudes de prueba de seguridad del cliente

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Pruebas de Edge Cloud solicitadas por el cliente

Apigee permite y hasta alienta a nuestros clientes a analizar o probar sus propios extremos en Apigee Edge Cloud. Solicitamos una notificación del análisis solo para estar al tanto en caso de que el análisis genere un problema en tus servicios. Para notificar a Apigee sobre tus pruebas planificadas, abre un ticket de asistencia al menos 1 día hábil antes del inicio de la prueba y proporciona los siguientes detalles:

  • Fecha de las pruebas (fecha de inicio y de finalización proyectada, incluida la zona horaria)
  • Nombre de la persona o empresa que realizará las pruebas
  • Información de contacto de la persona que realizará las pruebas
  • Direcciones IP de origen de las pruebas
  • IP de destino y nombres de los sistemas que se probarán (nombres de los extremos de la API)

Las pruebas no están prohibidas en los acuerdos con los clientes. No se enviarán correos electrónicos de aprobación ni se firmarán las cartas de autorización, ya que no hay prohibición para que el cliente pruebe sus propios extremos y configuraciones en Edge Cloud.

Si, durante las pruebas, los clientes encuentran vulnerabilidades que creen que se deben a la plataforma Apigee Edge, les pedimos que envíen esta información a Apigee mediante el proceso Informa vulnerabilidades en Edge.

Análisis de Google de la nube pública perimetral

Apigee analiza la nube pública de Apigee Edge semanalmente. Sin embargo, estos análisis son para uso interno y no se comparten con los clientes. Los análisis de Google evalúan los extremos expuestos públicamente y la infraestructura interna. Estos análisis buscan parches faltantes, vulnerabilidades, hosts mal configurados, configuraciones de TLS deficientes, etcétera. Son parte del compromiso de Google de “proteger la plataforma”.

Si se identifica algo que se relaciona directamente con un cliente y está configurado de manera incorrecta, se lo notificaremos. Sin embargo, dado que los clientes usan parámetros de configuración de TLS y texto claro, y algunos usan Edge para datos públicos y otros usan Edge para datos de PCI o de atención médica o PII, no podemos determinar lo que siempre resulta apropiado para todos nuestros clientes.

Los clientes no pueden usar estos análisis de Google para cumplir con sus propios procesos de diligencia debida de evaluación de sus extremos y verificación de las configuraciones seguras, como lo requieren el PCI y otros estándares normativos o del sector.

Se recomienda a los clientes que realicen sus propias pruebas de los extremos en Edge para satisfacer las necesidades de seguridad o cumplimiento. Consulta la sección Pruebas de Edge Cloud solicitadas por el cliente de este documento para obtener instrucciones.

Pruebas de Edge para nube privada o híbrida perimetral por parte del cliente

Debido a que los clientes de Edge para la nube privada y Edge Hybrid tienen software de Apigee en sus propias redes, se permite que lo prueben. No existen limitaciones para las pruebas de los sistemas o servicios que administra el cliente directamente.

Sin embargo, como resultado, Apigee no proporciona informes de prueba a los clientes de Edge para la nube privada. Los informes de la nube pública de Apigee no se aplican a las implementaciones de nube privada. Apigee realiza un análisis de software malicioso del código de la nube privada antes de su lanzamiento para los clientes.

En el caso de los clientes híbridos, los servicios de procesamiento de API se encuentran dentro de la red del cliente, mientras que la interfaz de administración está en Apigee Cloud. Consulta la sección Pruebas de Edge Cloud solicitadas por el cliente de este documento para obtener detalles sobre las restricciones de las pruebas de la interfaz de administración.

Pruebas de clientes de portales para desarrolladores patrocinados por Apigee alojados en Pantheon o Acquia

Esta sección se aplica solo a los portales patrocinados por Apigee alojados en Drupal 7. El hosting de portales de Drupal que patrocina Apigee finaliza a principios de 2020. Para obtener más información, consulta las Preguntas frecuentes sobre el portal para desarrolladores de Drupal 7: fin del hosting.

Los clientes pueden realizar pruebas de penetración en sus portales alojados en Pantheon o Acquia. Primero, se debe notificar a Apigee y Pantheon (o Acquia). Para hacerlo, los clientes pueden abrir un ticket de asistencia de Apigee.

Los clientes deben proporcionarle al equipo de asistencia los detalles de las pruebas planificadas:

  • Fecha de las pruebas (fecha de inicio y de finalización proyectada, incluida la zona horaria)
  • Nombre de la persona o empresa que realizará las pruebas
  • Información de contacto de la persona que realizará las pruebas
  • Direcciones IP de origen de las pruebas
  • Nombres de sitios y URL de Pantheon que se probarán