בקשות לבדיקות אבטחה של לקוחות

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

בדיקה של Apigee לפי בקשת לקוח

‫Apigee מאפשרת ללקוחות שלנו לסרוק או לבדוק את נקודות הקצה שלהם ב-Apigee, ואפילו מעודדת אותם לעשות זאת. אנחנו מבקשים לקבל הודעה על הסריקה רק כדי שנדע על הסריקה במקרה שהיא תגרום לבעיה בשירותים שלך. כדי להודיע ל-Apigee על הבדיקות המתוכננות, צריך לפתוח כרטיס תמיכה לפחות יום עסקים לפני תחילת הבדיקות ולספק את הפרטים הבאים:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום משוער, כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP של המקור של הבדיקה
  • כתובות ה-IP של היעד או של המערכות שנבדקות (שמות של נקודות קצה ב-API)

הבדיקות לא אסורות באופן ספציפי בהסכמי לקוחות. לא יישלחו אימיילים לאישור ולא ייחתמו מכתבי הרשאה, כי אין איסור על הלקוח לבדוק את נקודות הקצה וההגדרות שלו ב-Apigee.

אם לקוחות מוצאים במהלך הבדיקות נקודות חולשה שלדעתם נובעות מפלטפורמת Apigee עצמה, אנחנו מבקשים מהם לשלוח את המידע הזה ל-Apigee באמצעות כרטיס תמיכה רגיל. פתיחת כרטיס תמיכה מאפשרת לעקוב אחרי הבעיה, להעביר אותה לטיפול ברמה גבוהה יותר ולפתור אותה בהתאם לצורך.

אחרי שהלקוחות שולחים דוח על פגיעות בתהליך התמיכה הרגיל של Apigee, צוות התמיכה בודק את הכרטיס ומעביר אותו לצוותי האבטחה וההנדסה לפי הצורך. הלקוחות צריכים לצפות לתשובה בכרטיס, אבל יכול להיות שיהיה צורך בפרטים נוספים לגבי הפגיעות שדווחה, ולכן ייתכן שיהיה מעקב ישירות מצוות האבטחה או מצוות ההנדסה של Google.

סריקה של Apigee על ידי Google

מערכת Apigee סורקת את Apigee מדי שבוע. עם זאת, הסריקות האלה מיועדות לשימוש פנימי ולא משותפות עם הלקוחות. הסריקות של Google בודקות נקודות קצה שחשופות לציבור ואת התשתית הפנימית. בסריקות האלה מחפשים תיקוני אבטחה חסרים, נקודות חולשה, מארחים שההגדרה שלהם שגויה, הגדרות TLS לא טובות וכו'. הם חלק מהמחויבות של Google לאבטחת הפלטפורמה.

אם נזהה משהו שקשור ישירות ללקוח וברור שההגדרה שלו שגויה, נודיע על כך ללקוח. אבל מכיוון שלקוחות משתמשים בהגדרות של טקסט גלוי ו-TLS, וחלק מהלקוחות משתמשים ב-Apigee לנתונים ציבוריים ואחרים משתמשים ב-Apigee לנתוני PCI, לנתוני בריאות או לסוגים אחרים של PII, אנחנו לא יכולים לקבוע מה מתאים תמיד לכל הלקוחות שלנו.

לקוחות לא יכולים להשתמש בסריקות האלה של Google כדי לעמוד בדרישות של בדיקת נאותות משלהם, כמו בדיקת נקודות הקצה ואימות הגדרות אבטחה, כפי שנדרש על ידי PCI ותקנים אחרים בתעשייה או תקנים רגולטוריים.

מומלץ ללקוחות לבצע בדיקות משלהם של נקודות קצה ב-Apigee כדי לוודא שהן עומדות בדרישות אבטחה או בדרישות תאימות. הוראות מפורטות מופיעות בקטע בדיקות של Apigee לפי בקשת לקוח במסמך הזה.

בדיקות של לקוחות ב-Apigee Hybrid

לקוחות Apigee hybrid יכולים לבדוק את התוכנה של Apigee כי היא נמצאת ברשתות שלהם. אין הגבלות על בדיקות של מערכות או שירותים שמנוהלים ישירות על ידי הלקוח.

עם זאת, כתוצאה מכך, לקוחות Apigee hybrid לא מקבלים דוחות בדיקה מ-Apigee. ‫Apigee כן מבצעת סריקה של קוד Apigee לאיתור תוכנות זדוניות לפני שהיא מפרסמת אותו ללקוחות.

ללקוחות היברידיים, שירותי עיבוד ה-API נמצאים ברשת של הלקוח, בעוד שממשק הניהול נמצא ב-Apigee Cloud. בקטע בדיקות של Apigee Cloud לפי בקשת לקוח במסמך הזה מפורטות ההגבלות על בדיקות של ממשק הניהול.

בדיקות של לקוחות בפורטלי מפתחים בחסות Apigee, שמארחים ב-Pantheon או ב-Acquia

לקוחות יכולים לבצע בדיקות חדירה בפורטלים שלהם שמארחים Pantheon או Acquia. קודם צריך להודיע ל-Apigee ול-Pantheon (או ל-Acquia). כדי לעשות זאת, הלקוחות יכולים לפתוח כרטיס תמיכה ב-Apigee.

הלקוחות צריכים לספק לצוות התמיכה את הפרטים הבאים לגבי הבדיקה המתוכננת:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום משוער, כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP של המקור של הבדיקה
  • שמות וכתובות URL של אתרים ב-Pantheon שנבדקים