Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info
Tests Edge Cloud demandés par les clients
Apigee permet, et même encourage, nos clients d'analyser ou de tester leurs propres points de terminaison dans Apigee Edge Cloud. Nous vous demandons de recevoir une notification d'analyse uniquement afin de connaître l'analyse dans le cas où l'analyse entraîne un problème pour vos services. Pour notifier Apigee de vos tests planifiés, ouvrez une demande d'assistance au moins un jour ouvré avant le début des tests et fournissez les informations suivantes:
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Adresses IP cibles/de destination et noms des systèmes testés (noms des points de terminaison de l'API)
Les tests ne sont pas interdits dans les contrats clients. Les e-mails d'approbation ne seront pas envoyés, et les lettres d'autorisation ne seront pas signées, car il n'existe aucune interdiction pour le client de tester ses propres points de terminaison et configurations dans Edge Cloud.
Si les clients identifient des failles pendant leurs tests qui, selon eux, sont dues à la plate-forme Apigee Edge, nous leur demandons de les envoyer à Apigee à l'aide de la procédure de signalement des failles dans Edge.
Analyse Google de Cloud public Edge
Apigee analyse le cloud public Apigee Edge chaque semaine. Toutefois, ces analyses sont destinées à un usage interne et ne sont pas partagées avec les clients. Les analyses Google examinent les points de terminaison exposés publiquement et l'infrastructure interne. Ces analyses recherchent les correctifs manquants, les failles, les hôtes mal configurés, les mauvaises configurations TLS, etc. Elles font partie de l'engagement de Google à "sécuriser la plate-forme".
Si nous constatons qu'un élément lié directement à un client est mal configuré, nous vous en informons. Étant donné que les clients utilisent à la fois du texte clair et des configurations TLS, et que certains clients utilisent Edge pour les données publiques, tandis que d'autres utilisent Edge pour la norme PCI, les soins de santé ou d'autres types d'informations personnelles, nous ne sommes pas en mesure de déterminer ce qui convient toujours à tous nos clients.
Ces analyses Google peuvent ne pas être utilisées par les clients pour remplir leurs propres obligations de diligence lors du test de leurs points de terminaison et de la vérification de configurations sécurisées requises par la norme PCI ou d'autres normes industrielles ou réglementaires.
Les clients sont invités à effectuer leurs propres tests de points de terminaison dans Edge à des fins de sécurité ou de conformité. Pour obtenir des instructions, consultez la section Tests d'Edge Cloud demandés par le client de ce document.
Tests client d'Edge pour le cloud privé ou d'Edge Hybrid
Étant donné que les clients Edge for Private Cloud et Edge Hybrid disposent d'un logiciel Apigee au sein de leurs propres réseaux, ils sont autorisés à tester le logiciel. Les tests de systèmes ou de services gérés directement par le client ne sont soumis à aucune limite.
Toutefois, Apigee ne fournit pas de rapports de test aux clients Edge pour Private Cloud. Les rapports du cloud public Apigee ne s'appliquent pas aux déploiements dans le cloud privé. Apigee analyse le code Private Cloud par des logiciels malveillants avant sa publication auprès des clients.
Pour les clients hybrides, les services de traitement des API font partie du réseau du client, tandis que l'interface de gestion se trouve dans Apigee Cloud. Veuillez consulter la section Tests d'Edge Cloud demandés par le client de ce document pour en savoir plus sur les restrictions des tests de l'interface de gestion.
Tests par les clients des portails de développeurs sponsorisés par Apigee et hébergés par Pantheon ou Acquia
Cette section ne s'applique qu'aux portails sponsorisés par Apigee hébergés sur Drupal 7. L'hébergement sponsorisé par Apigee des portails Drupal prendra fin début 2020. Pour en savoir plus, consultez les questions fréquentes sur le portail des développeurs Drupal 7 concernant la fin de l'hébergement.
Les clients peuvent effectuer des tests d'intrusion sur leurs portails hébergés par Pantheon ou Acquia. Apigee et Pantheon (ou Acquia) doivent être notifiés en premier. Les clients peuvent le faire en ouvrant une demande d'assistance avec Apigee.
Les clients doivent fournir à l'équipe d'assistance les détails suivants des tests prévus :
- Date des tests (date de début et date de fin prévues, fuseau horaire compris)
- Nom de la personne ou de l'entreprise effectuant le test
- Coordonnées de la personne effectuant le test
- Adresses IP sources des tests
- Noms de site Pantheon et URL en cours de test