Esta página aplica-se ao Apigee e ao Apigee Hybrid.
Veja a documentação do
Apigee Edge.
Testes do Apigee pedidos pelos clientes
O Apigee permite e até incentiva os nossos clientes a analisarem ou testarem os seus próprios pontos finais no Apigee. Pedimos a notificação da análise apenas para estarmos cientes da análise no caso de esta causar um problema nos seus serviços. Para notificar o Apigee dos seus testes planeados, abra um pedido de apoio técnico, pelo menos, um dia útil antes do início dos testes e faculte os seguintes detalhes:
- Data dos testes (data de início e data de conclusão prevista, incluindo o fuso horário)
- Nome da pessoa/empresa que realiza os testes
- Informações de contacto da pessoa que realiza o teste
- Endereços IP de origem dos testes
- IPs/nomes de destino dos sistemas que estão a ser testados (nomes dos pontos finais da API)
Os testes não são especificamente proibidos nos contratos de clientes. Não são enviados emails de aprovação nem são assinadas cartas de autorização porque não existe nenhuma proibição de o cliente testar os seus próprios pontos finais e configurações no Apigee.
Se os clientes encontrarem vulnerabilidades durante os testes que consideram ser devido à própria plataforma Apigee, pedimos-lhes que enviem estas informações ao Apigee através de um pedido de apoio técnico padrão. Ao abrir um registo de apoio técnico, o problema pode ser monitorizado, encaminhado e resolvido conforme adequado.
Assim que os clientes enviam um relatório de vulnerabilidade através do processo de apoio técnico padrão do Apigee, a equipa de apoio técnico revê o pedido e encaminha-o para as equipas de segurança e engenharia, conforme adequado. Os clientes devem esperar uma resposta no pedido, embora o seguimento possa ser feito diretamente pela engenharia ou segurança da Google se forem necessárias mais informações sobre a vulnerabilidade comunicada.
Análise do Google do Apigee
O Apigee analisa o Apigee semanalmente. No entanto, estas análises destinam-se a fins internos e não são partilhadas com os clientes. As análises da Google analisam os pontos finais expostos publicamente e a infraestrutura interna. Estas análises procuram patches em falta, vulnerabilidades, hosts configurados incorretamente, configurações de TLS deficientes, etc. Fazem parte do compromisso da Google de "proteger a plataforma".
Se for identificado algo que esteja diretamente relacionado com um cliente e que esteja obviamente configurado de forma incorreta, notificamos o cliente. No entanto, uma vez que os clientes usam configurações de texto não cifrado e TLS, e uma vez que alguns clientes usam o Apigee para dados públicos, enquanto outros usam o Apigee para PCI, cuidados de saúde ou outros tipos de dados PII, não estamos em condições de determinar o que é sempre adequado para todos os nossos clientes.
Estas análises da Google não podem ser usadas pelos clientes como cumprimento da sua própria diligência devida na testagem dos respetivos pontos finais e validação de configurações seguras, como as exigidas pela PCI e outras normas regulamentares ou da indústria.
Recomendamos que os clientes façam os seus próprios testes de pontos finais no Apigee para satisfazerem as necessidades de segurança ou conformidade. Consulte a secção Testes do Apigee pedidos pelo cliente deste documento para ver instruções.
Testes de clientes do Apigee Hybrid
Uma vez que os clientes do Apigee Hybrid têm o software Apigee nas suas próprias redes, os clientes têm autorização para testar o software. Não existem limitações nos testes de sistemas ou serviços geridos diretamente pelo cliente.
No entanto, o Apigee não fornece relatórios de testes aos clientes do Apigee hybrid. O Apigee realiza a análise de software malicioso do código do Apigee antes de ser lançado para os clientes.
Para os clientes híbridos, os serviços de processamento de APIs estão na rede do cliente, enquanto a interface de gestão está no Apigee Cloud. Reveja a secção Testes pedidos pelo cliente do Apigee Cloud deste documento para ver detalhes sobre as restrições de testes da interface de gestão.
Testes de clientes de portais de programadores patrocinados pela Apigee alojados no Pantheon ou no Acquia
Os clientes podem realizar testes de penetração nos respetivos portais alojados pela Pantheon ou pela Acquia. O Apigee e o Pantheon (ou o Acquia) têm de ser notificados primeiro, e os clientes podem fazê-lo abrindo um pedido de apoio técnico junto do Apigee.
Os clientes têm de fornecer à equipa de apoio técnico os seguintes detalhes dos testes planeados:
- Data dos testes (data de início e data de conclusão prevista, incluindo o fuso horário)
- Nome da pessoa/empresa que realiza os testes
- Informações de contacto da pessoa que realiza o teste
- Endereços IP de origem dos testes
- Nomes e URLs de sites do Panteão que estão a ser testados