Richieste di test per la sicurezza dei clienti

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

Test di Edge Cloud richiesti dal cliente

Apigee consente e incoraggia i nostri clienti a scansionare o testare i propri endpoint in Apigee Edge Cloud. Chiediamo la notifica della scansione solo per essere a conoscenza dell'analisi nel caso in cui la scansione causi un problema per i tuoi servizi. Per notificare ad Apigee dei test pianificati, apri un ticket di assistenza almeno un giorno lavorativo prima dell'inizio del test e fornisci i seguenti dettagli:

  • Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
  • Nome della persona/azienda che esegue il test
  • Dati di contatto della persona che esegue il test
  • Indirizzi IP di origine del test
  • IP di destinazione/destinazione e nomi dei sistemi in fase di test (nomi di endpoint API)

I test non sono specificamente vietati nei contratti con i clienti. Le email di approvazione non verranno inviate né verranno firmate le lettere di autorizzazione, in quanto non esiste alcun divieto di test sui propri endpoint e configurazioni in Edge Cloud da parte del cliente.

Se durante i test i clienti trovano vulnerabilità che ritengono essere dovute alla piattaforma Apigee Edge stessa, chiediamo loro di inviare queste informazioni ad Apigee utilizzando il processo Segnalazione delle vulnerabilità in Edge.

Google scansione del cloud pubblico perimetrale

Apigee esegue la scansione settimanale del cloud pubblico Apigee Edge. Tuttavia, queste analisi sono per scopi interni e non vengono condivise con i clienti. Le analisi di Google esaminano gli endpoint esposti pubblicamente e l'infrastruttura interna. Queste analisi cercano patch mancanti, vulnerabilità, host configurati in modo errato, configurazioni TLS scadenti e così via. Fanno parte dell'impegno di Google di "proteggere la piattaforma".

Se venissero identificati dei contenuti direttamente correlati a un cliente ed è stato ovviamente configurato in modo errato, il cliente riceveva una notifica. Tuttavia, poiché i clienti utilizzano sia il testo in chiaro sia le configurazioni TLS, e poiché alcuni utilizzano Edge per i dati pubblici e altri per la PCI, l'assistenza sanitaria o altri tipi di dati che consentono l'identificazione personale, non siamo nella posizione di determinare ciò che è sempre appropriato per tutti i nostri clienti.

Queste analisi di Google non possono essere utilizzate dai clienti per soddisfare la propria due diligence nel testare gli endpoint e nella verifica delle configurazioni sicure, come richieste da PCI e altri standard normativi o di settore.

I clienti sono incoraggiati a eseguire i propri test sugli endpoint in Edge per esigenze di sicurezza o conformità. Consulta la sezione Test di Edge Cloud richiesto dal cliente di questo documento per le istruzioni.

Test dei clienti di Edge per Cloud privato o Edge Hybrid

Poiché i clienti Edge per Cloud privato ed Edge Hybrid dispongono di software Apigee all'interno delle proprie reti, i clienti possono testarlo. Non sono previste limitazioni per i test dei sistemi o dei servizi gestiti direttamente dal cliente.

Di conseguenza, tuttavia, Apigee non fornisce report di test ai clienti Edge per il cloud privato. I report di Apigee Public Cloud non sono applicabili ai deployment nel cloud privato. Apigee esegue la scansione antimalware del codice del cloud privato prima che venga rilasciato ai clienti.

Per i clienti ibridi, i servizi di elaborazione delle API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione è in Apigee Cloud. Consulta la sezione Test di Edge Cloud richiesto dal cliente di questo documento per i dettagli sulle limitazioni dei test dell'interfaccia di gestione.

Test dei clienti di portali per sviluppatori sponsorizzati da Apigee ospitati su Pantheon o Acquia

Questa sezione si applica solo ai portali sponsorizzati da Apigee ospitati su Drupal 7. L'hosting dei portali Drupal sponsorizzato da Apigee termina all'inizio del 2020. Per maggiori informazioni, consulta le Domande frequenti sul portale per sviluppatori Drupal 7 - End of Hosting.

I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Apigee e Pantheon (o Acquia) devono prima essere avvisati e i clienti possono farlo aprendo un ticket di assistenza con Apigee.

I clienti devono fornire al team di assistenza i seguenti dettagli dei test pianificati:

  • Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
  • Nome della persona/azienda che esegue il test
  • Dati di contatto della persona che esegue il test
  • Indirizzi IP di origine del test
  • Nomi di siti e URL Pantheon in fase di test