Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Tests d'Edge Cloud demandés par le client
Apigee permet et même encourage nos clients à analyser ou à tester leurs propres points de terminaison dans Apigee Edge Cloud. Nous vous demandons de recevoir une notification d'analyse uniquement afin de connaître l'analyse dans le cas où l'analyse entraîne un problème pour vos services. Pour informer Apigee de vos tests planifiés, ouvrez une demande d'assistance au moins un jour ouvré avant le début des tests et fournissez les informations suivantes:
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Adresses IP cibles/de destination et noms des systèmes testés (noms des points de terminaison de l'API)
Les tests ne sont pas interdits dans les contrats clients. Aucun e-mail d'approbation ne sera envoyé, et aucune lettre d'autorisation ne sera signée, car il n'y a aucune interdiction pour le client de tester ses propres points de terminaison et ses propres configurations dans Edge Cloud.
Si les clients découvrent, lors de leurs tests, des failles qui, selon eux, sont dues à la plate-forme Apigee Edge, nous leur demandons de transmettre ces informations à Apigee à l'aide du processus Reporting failles in Edge (Signaler des failles dans Edge).
Analyse Google du cloud public en périphérie
Apigee analyse le cloud public Apigee Edge chaque semaine. Toutefois, ces analyses sont destinées à un usage interne et ne sont pas partagées avec les clients. Les analyses Google examinent les points de terminaison exposés publiquement et l'infrastructure interne. Ces analyses recherchent les correctifs manquants, les failles, les hôtes mal configurés, les mauvaises configurations TLS, etc. Elles font partie de l'engagement de Google à "sécuriser la plate-forme".
Si nous constatons qu'un élément lié directement à un client est mal configuré, nous vous en informons. Toutefois, étant donné que les clients utilisent à la fois des configurations en texte clair et TLS, et que certains clients utilisent Edge pour les données publiques tandis que d'autres utilisent Edge pour la norme PCI, la santé ou d'autres types de données permettant d'identifier personnellement l'utilisateur, nous ne sommes pas en mesure de déterminer ce qui est toujours approprié pour tous nos clients.
Ces analyses Google peuvent ne pas être utilisées par les clients pour remplir leurs propres obligations de diligence lors du test de leurs points de terminaison et de la vérification de configurations sécurisées requises par la norme PCI ou d'autres normes industrielles ou réglementaires.
Les clients sont encouragés à effectuer leurs propres tests de points de terminaison dans Edge pour des raisons de sécurité ou de conformité. Consultez la section Tests de Edge Cloud demandés par le client de ce document pour obtenir des instructions.
Tests client de Edge pour cloud privé ou Edge Hybrid
Étant donné que les clients Edge for Private Cloud et Edge Hybrid disposent de logiciels Apigee dans leurs propres réseaux, ils sont autorisés à le tester. Les tests de systèmes ou de services gérés directement par le client ne sont soumis à aucune limite.
Par conséquent, Apigee ne fournit pas de rapports de test aux clients Edge for Private Cloud. Les rapports d'Apigee Public Cloud ne sont pas applicables aux déploiements de cloud privé. Apigee effectue une analyse du code du cloud privé avant qu'il ne soit mis à la disposition des clients.
Pour les clients hybrides, les services de traitement des API font partie du réseau du client, tandis que l'interface de gestion se trouve dans Apigee Cloud. Veuillez consulter la section Tests de Edge Cloud demandés par le client de ce document pour en savoir plus sur les restrictions liées aux tests des interfaces de gestion.
Tests par les clients des portails de développeurs sponsorisés par Apigee et hébergés par Pantheon ou Acquia
Cette section ne concerne que les portails sponsorisés par Apigee hébergés sur Drupal 7. L'hébergement de portails Drupal parrainé par Apigee se termine début 2020. Pour en savoir plus, consultez les questions fréquentes sur le portail des développeurs Drupal 7 - Fin de l'hébergement.
Les clients peuvent effectuer des tests d'intrusion sur leurs portails hébergés par Pantheon ou Acquia. Apigee et Pantheon (ou Acquia) doivent être notifiés en premier. Les clients peuvent le faire en ouvrant une demande d'assistance avec Apigee.
Les clients doivent fournir à l'équipe d'assistance les détails suivants des tests prévus :
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Noms de site Pantheon et URL en cours de test