Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. info
Test di Edge Cloud richiesti dal cliente
Apigee consente e incoraggia persino i propri clienti a eseguire la scansione o il test dei propri endpoint in Apigee Edge Cloud. Chiediamo la notifica della scansione solo per essere a conoscenza della scansione nel caso in cui causi un problema per i tuoi servizi. Per informare Apigee dei test pianificati, apri un ticket di assistenza almeno un giorno lavorativo prima dell'inizio dei test e fornisci i seguenti dettagli:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue i test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine dei test
- Indirizzi IP di destinazione/target e nomi dei sistemi sottoposti a test (nomi degli endpoint API)
I test non sono espressamente vietati nei contratti con i clienti. Non verranno inviate email di approvazione né verranno firmate lettere di autorizzazione, perché non è vietato al cliente testare i propri endpoint e le proprie configurazioni in Edge Cloud.
Se durante i test i clienti rilevano vulnerabilità che ritengono dovute alla piattaforma Apigee Edge stessa, chiediamo loro di inviare queste informazioni ad Apigee utilizzando la procedura di segnalazione delle vulnerabilità in Edge.
Scansione di Google di Edge Public Cloud
Apigee esegue la scansione del cloud pubblico Apigee Edge settimanalmente. Tuttavia, queste scansioni sono per uso interno e non vengono condivise con i clienti. Le analisi di Google esaminano gli endpoint esposti pubblicamente e l'infrastruttura interna. Queste scansioni cercano patch mancanti, vulnerabilità, host configurati in modo errato, configurazioni TLS scadenti e così via. Fanno parte dell'impegno di Google a "proteggere la piattaforma".
Se viene rilevato un problema direttamente correlato a un cliente e chiaramente configurato in modo errato, lo informeremo. Tuttavia, poiché i clienti utilizzano sia configurazioni in testo normale sia TLS, e poiché alcuni clienti utilizzano Edge per i dati pubblici, mentre altri lo utilizzano per dati PCI, sanitari o di altro tipo contenenti PII, non siamo in grado di determinare cosa sia sempre appropriato per tutti i nostri clienti.
Queste analisi di Google non possono essere utilizzate dai clienti per adempiere alla propria due diligence nel testare i propri endpoint e verificare configurazioni sicure, come quelle richieste da PCI e altri standard di settore o normativi.
I clienti sono invitati a eseguire i propri test degli endpoint in Edge per esigenze di sicurezza o conformità. Per le istruzioni, consulta la sezione Test di Edge Cloud richiesti dal cliente di questo documento.
Test del cliente di Edge per Private Cloud o Edge Hybrid
Poiché i clienti di Edge for Private Cloud e Edge Hybrid hanno il software Apigee all'interno delle proprie reti, possono testarlo. Non ci sono limitazioni per i test di sistemi o servizi gestiti direttamente dal cliente.
Di conseguenza, però, Apigee non fornisce report di test ai clienti di Edge for Private Cloud. I report di Apigee Public Cloud non sono applicabili ai deployment di Private Cloud. Apigee esegue la scansione del codice del cloud privato per rilevare malware prima che venga rilasciato ai clienti.
Per i clienti ibridi, i servizi di elaborazione delle API si trovano all'interno della rete del cliente, mentre l'interfaccia di gestione si trova in Apigee Cloud. Consulta la sezione Test di Edge Cloud richiesti dal cliente di questo documento per informazioni dettagliate sulle limitazioni dei test dell'interfaccia di gestione.
Test dei clienti su portali per sviluppatori sponsorizzati da Apigee ospitati su Pantheon o Acquia
Questa sezione si applica solo ai portali sponsorizzati da Apigee ospitati su Drupal 7. L'hosting sponsorizzato da Apigee dei portali Drupal termina all'inizio del 2020. Per ulteriori informazioni, consulta Domande frequenti del portale per sviluppatori di Drupal 7 - Fine dell'hosting.
I clienti possono eseguire test di penetrazione sui propri portali ospitati da Pantheon o Acquia. Apigee e Pantheon (o Acquia) devono prima essere avvisati e i clienti possono farlo aprendo un ticket di assistenza con Apigee.
I clienti devono fornire al team di assistenza i seguenti dettagli dei test pianificati:
- Data dei test (data di inizio e data di fine prevista, incluso il fuso orario)
- Nome della persona/dell'azienda che esegue i test
- Dati di contatto della persona che esegue i test
- Indirizzi IP di origine dei test
- Nomi e URL dei siti Pantheon sottoposti a test