בקשות של לקוחות לבדיקות אבטחה

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

בדיקה של Apigee לפי בקשת לקוח

‫Apigee מאפשרת ללקוחות שלנו לסרוק או לבדוק את נקודות הקצה שלהם ב-Apigee, ואפילו מעודדת אותם לעשות זאת. אנחנו מבקשים לקבל הודעה על הסריקה רק כדי שנדע על הסריקה במקרה שהיא תגרום לבעיה בשירותים שלך. כדי להודיע ל-Apigee על הבדיקה המתוכננת, צריך לפתוח כרטיס תמיכה לפחות יום עסקים לפני תחילת הבדיקה ולספק את הפרטים הבאים:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום משוער כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP של המקור של הבדיקה
  • כתובות ה-IP של היעד או היעדים ושמות המערכות שנבדקות (שמות נקודות קצה ל-API)

הבדיקות לא נאסרות באופן ספציפי בהסכמי לקוחות. לא יישלחו אימיילים לאישור ולא ייחתמו מכתבי הרשאה, כי אין איסור על הלקוח לבדוק את נקודות הקצה וההגדרות שלו ב-Apigee.

אם לקוחות מוצאים במהלך הבדיקות נקודות חולשה שלדעתם נובעות מפלטפורמת Apigee עצמה, אנחנו מבקשים מהם לשלוח את המידע הזה ל-Apigee באמצעות כרטיס תמיכה רגיל. פתיחת כרטיס תמיכה מאפשרת לעקוב אחרי הבעיה, להעביר אותה לטיפול ברמה גבוהה יותר ולפתור אותה בהתאם לצורך.

אחרי שהלקוחות שולחים דוח פגיעות באמצעות תהליך התמיכה הרגיל של Apigee, צוות התמיכה בודק את הכרטיס ומעביר אותו לצוותי האבטחה וההנדסה לפי הצורך. הלקוחות אמורים לקבל תשובה בכרטיס התמיכה, אבל יכול להיות שיישלח המשך טיפול ישירות מאבטחה או מהנדסה של Google אם יידרש מידע נוסף על הפגיעות שדווחה.

סריקה של Apigee על ידי Google

מערכת Apigee סורקת את Apigee מדי שבוע. עם זאת, הסריקות האלה מיועדות לשימוש פנימי ולא משותפות עם הלקוחות. הסריקות של Google בודקות נקודות קצה שחשופות לציבור ואת התשתית הפנימית. בסריקות האלה מחפשים תיקוני אבטחה חסרים, נקודות חולשה, מארחים שההגדרה שלהם שגויה, הגדרות TLS לא טובות וכו'. הם חלק מהמחויבות של Google ל "אבטחת הפלטפורמה".

אם נזהה משהו שקשור ישירות ללקוח וההגדרה שלו שגויה באופן ברור, נודיע על כך ללקוח. אבל מכיוון שהלקוחות משתמשים בהגדרות של טקסט גלוי ו-TLS, וחלק מהלקוחות משתמשים ב-Apigee לנתונים ציבוריים ואחרים משתמשים ב-Apigee לנתוני PCI, נתונים בתחום הבריאות או סוגים אחרים של פרטים אישיים מזהים, אנחנו לא יכולים לקבוע מה מתאים תמיד לכל הלקוחות שלנו.

לקוחות לא יכולים להשתמש בסריקות האלה של Google כדי לעמוד בדרישות של בדיקת נאותות משלהם, לבדוק את נקודות הקצה שלהם ולאמת הגדרות אבטחה כמו אלה שנדרשות על ידי PCI ותקנים אחרים בתעשייה או תקנים רגולטוריים.

מומלץ ללקוחות לבצע בדיקות משלהם של נקודות קצה ב-Apigee כדי לוודא שהן עומדות בדרישות אבטחה או תאימות. הוראות מפורטות מופיעות בקטע בדיקות של Apigee לפי בקשת לקוח במסמך הזה.

בדיקות לקוחות של Apigee Hybrid

מכיוון שללקוחות Apigee hybrid יש תוכנת Apigee ברשתות שלהם, מותר להם לבדוק את התוכנה. אין הגבלות על בדיקה של מערכות או שירותים שמנוהלים ישירות על ידי הלקוח.

עם זאת, כתוצאה מכך, Apigee לא מספקת דוחות בדיקה ללקוחות Apigee hybrid. ‫Apigee כן מבצעת סריקה של קוד Apigee לאיתור תוכנות זדוניות לפני שהיא מפיצה אותו ללקוחות.

ללקוחות היברידיים, שירותי עיבוד ה-API נמצאים ברשת של הלקוח, בעוד שממשק הניהול נמצא ב-Apigee Cloud. פרטים על הגבלות בבדיקות של ממשק הניהול מופיעים בקטע בדיקות של Apigee Cloud לפי בקשת לקוח במסמך הזה.

בדיקות לקוחות של פורטלי מפתחים בחסות Apigee שמתארחים ב-Pantheon או ב-Acquia

לקוחות יכולים לבצע בדיקות חדירה בפורטלים שלהם שמארחים ב-Pantheon או ב-Acquia. צריך להודיע קודם ל-Apigee ול-Pantheon (או ל-Acquia), והלקוחות יכולים לעשות זאת על ידי פתיחת כרטיס תמיכה ב-Apigee.

הלקוחות צריכים לספק לצוות התמיכה את הפרטים הבאים לגבי הבדיקה המתוכננת:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום משוער כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP של המקור של הבדיקה
  • שמות וכתובות URL של אתרים ב-Pantheon שנבדקים