בקשות של בדיקות אבטחה ללקוחות

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X. מידע

בדיקה לפי בקשת הלקוח של Edge Cloud

Apigee מאפשרת ללקוחות שלנו לסרוק או לבדוק את נקודות הקצה שלהם ב-Apigee Edge Cloud, ואפילו מעודדת אותם. אנחנו מבקשים לשלוח לנו הודעה על הסריקה רק כדי שנדע על הסריקה אם היא גורמת לבעיה בשירותים. כדי להודיע ל-Apigee על הבדיקות המתוכננות שלך, צריך לפתוח כרטיס תמיכה לפחות יום עסקים אחד לפני תחילת הבדיקה ולציין את הפרטים הבאים:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום צפוי, כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP המקוריות של הבדיקה
  • כתובות IP של יעד/יעד ושמות של המערכות שנבדקות (שמות של נקודות קצה ל-API)

באופן ספציפי, אין איסור על ביצוע בדיקות בהסכמים עם לקוחות. לא יישלחו אישורים באימייל וגם לא ייחתמו מכתבי הרשאה, כי אין איסור על הלקוח לבדוק את נקודות הקצה וההגדרות שלו ב-Edge Cloud.

אם לקוחות מוצאים נקודות חולשה במהלך הבדיקה שלהם, שלדעתם הן נובעות מפלטפורמת Apigee Edge עצמה, אנחנו מבקשים מהם לשלוח את המידע הזה ל-Apigee באמצעות התהליך של דיווח על נקודות חולשה ב-Edge.

סריקת Google של Edge הציבורי של Edge

Apigee סורקת את הענן הציבורי של Apigee Edge מדי שבוע. עם זאת, הסריקות האלה הן למטרות פנימיות ולא משותפות עם לקוחות. הסריקה של Google בוחנת את נקודות הקצה (endpoint) שגלויות לכולם ואת התשתית הפנימית. הסריקות האלה מחפשות תיקונים חסרים, נקודות חולשה, מארחים שלא הוגדרו כמו שצריך, תצורות TLS לא תקינות וכו'. הם חלק מהמחויבות של Google "לאבטח את הפלטפורמה".

אם אנחנו מזהים משהו שקשור ישירות ללקוח, והגדרתי אותו בבירור שגויה, נודיע על כך ללקוח. אבל מכיוון שהלקוחות משתמשים גם בתצורת טקסט וגם בתצורת TLS (אבטחת שכבת התעבורה), ומכיוון שחלק מהלקוחות משתמשים ב-Edge לקבלת נתונים ציבוריים ואחרים משתמשים ב-Edge for PCI או בסוגים אחרים של PII או מידע אישי מסוג אחר, אין לנו אפשרות לקבוע מה מתאים תמיד לכל הלקוחות שלנו.

הלקוחות לא רשאים להשתמש בסריקות האלה של Google כדי לבצע בעצמם בדיקת נאותות של נקודות הקצה שלהם ולאמת הגדרות מאובטחות כמו אלו שנדרשים על ידי PCI ותקנים אחרים בתחום או רגולטורים.

אנחנו ממליצים ללקוחות לבצע בדיקה משלהם של נקודות קצה ב-Edge לצורכי אבטחה או תאימות. להוראות, יש לעיין בקטע בדיקה לפי בקשת הלקוח של Edge Cloud במסמך הזה.

בדיקה של הלקוח ל-Edge for Private Cloud או Edge Hybrid

לקוחות Edge for Private Cloud ו-Edge Hybrid כוללים את התוכנה Apigee ברשתות שלהם, ולכן הלקוחות יכולים לבדוק את התוכנה. אין הגבלות על הבדיקה של מערכות או שירותים שמנוהלים ישירות על ידי הלקוח.

לכן, Apigee לא מספקת דוחות בדיקה ללקוחות Edge עבור לקוחות ענן פרטי. הדוחות מ-Apigee Public Cloud לא רלוונטיים לפריסות של ענן פרטי. Apigee מבצעת סריקה לאיתור תוכנות זדוניות בקוד של הענן הפרטי לפני שהוא מופץ ללקוחות.

ללקוחות משולבים, שירותי עיבוד ה-API נמצאים ברשת של הלקוח וממשק הניהול נמצא ב-Apigee Cloud. לפרטים על ההגבלות לבדיקת ממשק הניהול, קראו את הסעיף בדיקה לפי בקשת הלקוח של Edge Cloud במסמך הזה.

בדיקה על ידי לקוחות של פורטלים למפתחים בחסות Apigee שמתארחים ב-Pantheon או ב-Acquia

הקטע הזה רלוונטי רק לפורטלים בחסות Apigee שמתארחים ב-Drupal 7. אירוח פורטלים של Drupal בחסות Apigee יסתיים בתחילת 2020. מידע נוסף זמין במאמר שאלות נפוצות על פורטל המפתחים שלDrupal 7 – סיום האירוח.

הלקוחות יכולים לבצע בדיקות חדירה בפורטלים שמתארחים ב-Pantheon או ב-Acquia. צריך ליידע את Apigee ואת הפנתאון (או Acquia) קודם, והלקוחות יכולים לעשות זאת על ידי פתיחת כרטיס תמיכה ב-Apigee.

הלקוחות צריכים לספק לצוות התמיכה את הפרטים הבאים לגבי הבדיקה המתוכננות:

  • תאריך הבדיקות (תאריך התחלה ותאריך סיום צפוי, כולל אזור זמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם האדם שמבצע את הבדיקה
  • כתובות ה-IP המקוריות של הבדיקה
  • שמות האתרים וכתובות ה-URL של הפנתאון שנבדקו