בקשות של בדיקות אבטחה ללקוחות

אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info

בדיקה של Edge Cloud לבקשת הלקוח

ב-Apigee אנחנו מאפשרים ללקוחות שלנו לסרוק או לבדוק את נקודות הקצה שלהם ב-Apigee Edge Cloud, ואפילו מעודדים אותם לעשות זאת. אנחנו מבקשים לקבל הודעה על הסריקה רק כדי שנדע עליה במקרה שהיא גורמת לבעיה בשירותים שלך. כדי להודיע ל-Apigee על הבדיקה המתוכננת, עליכם לפתוח כרטיס תמיכה לפחות יום עסקים אחד לפני תחילת הבדיקה ולציין את הפרטים הבאים:

  • תאריך הבדיקות (תאריך ההתחלה ותאריך הסיום המשוער, כולל אזור הזמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם מי שמבצע את הבדיקה
  • כתובות ה-IP של המקור לבדיקה
  • כתובות ה-IP של היעד/היעדים ושמות המערכות שנבדקות (שמות של נקודות קצה ל-API)

בדיקה לא אסורה במפורש בהסכמי הלקוחות. לא נשלחים אימיילים לאישור ולא חותמים על מכתבי הרשאה, כי אין איסור על הלקוח לבדוק את נקודות הקצה וההגדרות שלו ב-Edge Cloud.

אם לקוחות מוצאים נקודות חולשה במהלך הבדיקה שלהם, שלדעתם נובעות מפלטפורמת Apigee Edge עצמה, אנחנו מבקשים מהם לשלוח את המידע הזה אל Apigee באמצעות התהליך של דיווח על נקודות חולשה ב-Edge.

סריקת Google של Edge Public Cloud

מערכת Apigee סורקת את הענן הציבורי של Apigee Edge מדי שבוע. עם זאת, הסריקה הזו נועדה למטרות פנימיות בלבד ולא משותפת עם לקוחות. במסגרת הסריקה של Google נבדקים נקודות קצה חשופות לציבור והתשתית הפנימית. במסגרת הסריקה הזו מתבצעים חיפושים של תיקונים חסרים, נקודות חולשה, מארחים שהוגדרו באופן שגוי, הגדרות TLS לא טובות וכו'. הם חלק מהמחויבות של Google "לאבטח את הפלטפורמה".

אם נזהה משהו שקשור ישירות ללקוח והוגדר באופן שגוי באופן מובהק, נודיע ללקוח. עם זאת, מכיוון שהלקוחות משתמשים גם בטקסט ללא הצפנה וגם בהגדרות TLS, וחלק מהלקוחות משתמשים ב-Edge לנתונים ציבוריים ואחרים משתמשים ב-Edge לנתוני PCI, נתוני בריאות או סוגים אחרים של פרטים אישיים מזהים, אנחנו לא יכולים לקבוע מה תמיד מתאים לכל הלקוחות שלנו.

לקוחות לא יכולים להשתמש בסריקות של Google כחלק מהבדיקה של נקודות הקצה שלהם ומהאימות של הגדרות מאובטחות, כפי שנדרש על ידי PCI ועל ידי תקנים רגולטוריים או תקנים אחרים בתחום.

מומלץ ללקוחות לבצע בדיקות משלהם של נקודות קצה ב-Edge לצורכי אבטחה או תאימות. בקטע בדיקה של Edge Cloud לבקשת הלקוח במסמך הזה מפורטות הוראות.

בדיקות של לקוחות ב-Edge for Private Cloud או ב-Edge Hybrid

לקוחות Edge for Private Cloud ו-Edge Hybrid יכולים לבדוק את התוכנה כי תוכנת Apigee נמצאת ברשתות שלהם. אין הגבלות על בדיקה של מערכות או שירותים שמנוהלים ישירות על ידי הלקוח.

עם זאת, כתוצאה מכך, Apigee לא מספקת דוחות בדיקה ללקוחות Edge for Private Cloud. הדוחות מ-Apigee Public Cloud לא רלוונטיים לפריסות בענן פרטי. ב-Apigee כן מבצעים סריקת תוכנות זדוניות בקוד של ענן פרטי לפני שהוא משוחרר ללקוחות.

אצל לקוחות היברידיים, שירותי עיבוד ה-API נמצאים ברשת של הלקוח, וממשק הניהול נמצא ב-Apigee Cloud. בקטע בדיקת Edge Cloud לבקשת הלקוח במסמך הזה מפורטות ההגבלות על בדיקת ממשק הניהול.

בדיקות של לקוחות בפורטלים למפתחים שממומנים על ידי Apigee ומתארחים ב-Pantheon או ב-Acquia

הקטע הזה רלוונטי רק לפורטלים ממומנים על ידי Apigee שמתארחים ב-Drupal 7. אירוח פורטלים של Drupal במימון Apigee יסתיים בתחילת 2020. מידע נוסף זמין במאמר שאלות נפוצות בנושא פורטל המפתחים של Drupal 7 – סיום האירוח.

לקוחות יכולים לבצע בדיקות חדירה בפורטלים שלהם שמתארחים ב-Pantheon או ב-Acquia. קודם צריך להודיע ל-Apigee ול-Pantheon (או Acquia), והלקוחות יכולים לעשות זאת על ידי פתיחת כרטיס תמיכה ב-Apigee.

הלקוחות צריכים לספק לצוות התמיכה את הפרטים הבאים לגבי הבדיקה המתוכננת:

  • תאריך הבדיקות (תאריך ההתחלה ותאריך הסיום המשוער, כולל אזור הזמן)
  • שם האדם או החברה שמבצעים את הבדיקה
  • פרטים ליצירת קשר עם מי שמבצע את הבדיקה
  • כתובות ה-IP של המקור לבדיקה
  • שמות האתרים וכתובות ה-URL של Pantheon שנבדקים