Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an. info
Vom Kunden angeforderte Tests von Edge Cloud
Apigee ermöglicht unseren Kunden und ermutigt sie dazu, ihre eigenen Endpunkte in Apigee Edge Cloud zu scannen oder zu testen. Wir bitten nur um eine Benachrichtigung über den Scan, damit wir Bescheid wissen, falls der Scan ein Problem für Ihre Dienste verursacht. Um Apigee über Ihre geplanten Tests zu informieren, erstellen Sie mindestens einen Arbeitstag vor Testbeginn ein Support-Ticket und geben Sie die folgenden Details an:
- Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
- Name der Person bzw. des Unternehmens, das den Test durchführt
- Kontaktdaten für die Person, die den Test durchführt
- Quell-IP-Adressen des Tests
- Ziel-IP-Adressen und Namen der zu testenden Systeme (API-Endpunktnamen)
Tests sind in Kundenvereinbarungen ausdrücklich nicht verboten. Es werden keine Genehmigungs-E-Mails gesendet und keine Autorisierungsschreiben unterzeichnet, da es nicht verboten ist, dass der Kunde seine eigenen Endpunkte und Konfigurationen in Edge Cloud testet.
Wenn Kunden während ihrer Tests Sicherheitslücken finden, die ihrer Meinung nach auf die Apigee Edge-Plattform selbst zurückzuführen sind, bitten wir sie, diese Informationen über den Prozess Sicherheitslücken in Edge melden an Apigee zu senden.
Google-Scans von Edge Public Cloud
Apigee scannt die Apigee Edge Public Cloud wöchentlich. Diese Scans sind jedoch nur für interne Zwecke vorgesehen. Kunden werden nicht darüber informiert. Die Google-Scans betrachten öffentlich zugängliche Endpunkte und die interne Infrastruktur. Bei diesen Scans wird nach fehlenden Patches, Sicherheitslücken, falsch konfigurierten Hosts, fehlerhaften TLS-Konfigurationen usw. gesucht. Sie sind Teil der Maßnahmen von Google zum Schutz der Plattform.
Wenn etwas festgestellt wird, das direkt mit einem Kunden zusammenhängt und offensichtlich falsch konfiguriert war, benachrichtigen wir den Kunden. Da Kunden aber sowohl Klartext- als auch TLS-Konfigurationen verwenden und einige Kunden Edge für öffentliche Daten und andere Kunden Edge für PCI- oder Gesundheits- oder andere personenidentifizierbare Daten verwenden, sind wir nicht immer in der Lage, für alle unsere Kunden festzustellen, was angemessen ist.
Diese Google-Scans entheben Kunden nicht ihrer eigenen Verantwortung für das Testen ihrer Endpunkte und das Gewährleisten sicherer Konfigurationen, wenn es von PCI und anderen Branchen- oder regulatorischen Standards gefordert wird.
Kunden sollten zur Erfüllung von Sicherheits- oder Compliance-Anforderungen ihre Endpunkte selbst in Edge testen. Eine Anleitung dazu finden Sie im Abschnitt Vom Kunden angeforderte Tests von Edge Cloud dieses Dokuments.
Kundentests von Edge for Private Cloud oder Edge Hybrid
Da Edge for Private Cloud- und Edge Hybrid-Kunden Apigee-Software in ihren eigenen Netzwerken haben, dürfen sie die Software testen. Beim Testen von Systemen oder Diensten, die vom Kunden direkt verwaltet werden, gibt es keine Einschränkungen.
Daher stellt Apigee für Kunden von Edge for Private Cloud jedoch keine Testberichte zur Verfügung. Die Berichte aus Apigee Public Cloud gelten nicht für Private Cloud-Bereitstellungen. Apigee führt einen Malware-Scan von Private Cloud-Code durch, bevor es für Kunden freigegeben wird.
Für Hybrid-Kunden befinden sich die API-Verarbeitungsdienste im Netzwerk des Kunden, während sich die Verwaltungsoberfläche in Apigee Cloud befindet. Weitere Informationen zu Testeinschränkungen für Verwaltungsschnittstellen finden Sie im Abschnitt Vom Kunden angeforderte Tests von Edge Cloud dieses Dokuments.
Kundentests für von Apigee gesponserte Entwicklerportale, die bei Pantheon oder Acquia gehostet werden
Dieser Abschnitt gilt nur für von Apigee gesponserte Portale, die auf Drupal 7 gehostet werden. Das von Apigee gesponserte Hosting von Drupal-Portalen endet Anfang 2020. Weitere Informationen finden Sie in den FAQ zum Entwicklerportal von Drupal 7 – Ende des Hostings.
Kunden können Penetrationstests für ihre von Pantheon oder Acquia gehosteten Portale durchführen. Apigee und Pantheon (oder Acquia) müssen zuerst benachrichtigt werden. Kunden können dies tun, indem sie ein Support-Ticket bei Apigee eröffnen.
Kunden müssen dem Supportteam folgende Details zu den geplanten Tests geben:
- Datum der Tests (Startdatum und voraussichtliches Enddatum, einschließlich Zeitzone)
- Name der Person bzw. des Unternehmens, das den Test durchführt
- Kontaktdaten für die Person, die den Test durchführt
- Quell-IP-Adressen des Tests
- Namen und URLs von Pantheon-Websites, die getestet werden