お客様のリクエストによる Edge Cloud のテスト
Apigee では、お客様による Apigee Edge Cloud での自社のエンドポイントのスキャンやテストが可能であり、これらの実施を推奨しています。スキャンによってお客様のサービスに問題が発生した場合に Apigee がそのスキャンを認識できるように、スキャンのみ通知をお願いしています。予定しているテストを Apigee に通知するには、テスト開始の 1 営業日以上前にサポート チケットを開き、以下の詳細を記入してください。
- テスト日(タイムゾーンを含む開始日と予定終了日)
- テストを実施する担当者 / 会社の名前
- テストの実施担当者の連絡先情報
- テストのソース IP アドレス
- テスト対象のシステムのターゲット / 送信先 IP と名前(API エンドポイント名)
テストは、顧客契約では特に禁止されていません。お客様は Edge Cloud で自社のエンドポイントと構成をテストすることを禁止されていないため、承認メールは送信されず、承認書も署名されません。
テスト中に Apigee Edge プラットフォーム自体が原因であると思われる脆弱性を見つけたお客様には、Edge での脆弱性の報告プロセスを使用して Apigee にこの情報を提出するようお願いしています。
Edge Public Cloud の Google スキャン
Apigee は毎週、Apigee Edge Public Cloud をスキャンします。ただし、こうしたスキャンは内部目的のために行うものであり、お客様と結果を共有しません。Google は、公開されているエンドポイントと内部インフラストラクチャをスキャンします。このスキャンでは、不足しているパッチ、脆弱性、誤った構成のホスト、不十分な TLS 設定などを探します。これらは、「プラットフォームを保護する」という Google の取り組みの一環です。
お客様と直接関係があり、明らかに正しく構成されていない点があった場合は、お客様に通知します。ただし、お客様はクリアテキストと TLS の両方の構成を使用しており、しかも Edge を一般公開データに使用するお客様もいれば、PCI やヘルスケアなど、個人を特定できるタイプのデータに使用するお客様もいるため、すべての方に常に適切に通知できるわけではありません。
PCI などの業界標準や規制基準で義務付けられている、エンドポイントのテストやセキュアな構成の検証などにおける自らのデュー デリジェンスを行う際に、お客様が Google スキャンを使用することはできません。
お客様には、セキュリティやコンプライアンス上のニーズを考慮して、Edge のエンドポイントを自社でテストすることが推奨されます。手順については、このドキュメントのお客様のリクエストによる Edge Cloud のテスト セクションをご覧ください。
Edge for Private Cloud または Edge Hybrid のお客様のテスト
Edge for Private Cloud と Edge Hybrid のお客様は、ご自分のネットワーク内に Apigee ソフトウェアがあるため、ソフトウェアのテストを行うことができます。お客様が直接管理するシステムやサービスのテストには、制限がありません。
ただし、そのため、Apigee は Edge for Private Cloud のお客様にテストレポートを提供しておりません。Apigee Public Cloud からのレポートは、Private Cloud のデプロイには適用されません。Apigee では、お客様にリリースする前に Private Cloud コードのマルウェア スキャンを実施しています。
Hybrid のお客様の場合、API 処理サービスはお客様のネットワーク内にあり、管理インターフェースは Apigee Cloud にあります。管理インターフェースのテスト制限の詳細については、このドキュメントのお客様のリクエストによる Edge Cloud のテスト セクションをご覧ください。
Pantheon または Acquia でホストされる Apigee 提供のデベロッパー ポータルのお客様のテスト
このセクションは、Drupal 7 でホストされる Apigee 提供のポータルにのみ適用されます。Apigee 提供の Drupal ポータルのホスティングは、2020 年の初めに終了します。詳細については、Drupal 7 デベロッパー ポータル FAQ - ホスティングの終了をご覧ください。
お客様は、Pantheon または Acquia でホストされているポータルで侵入テストを実施できます。まず Apigee と Pantheon(または Acquia)に通知が届いてから、お客様が Apigee でサポート チケットを開くことでテストを行うことができます。
お客様は、サポートチームに、計画したテストに関する以下の詳細を提供する必要があります。
- テスト日(タイムゾーンを含む開始日と予定終了日)
- テストを実施する担当者 / 会社の名前
- テストの実施担当者の連絡先情報
- テストのソース IP アドレス
- テスト対象の Pantheon のサイト名と URL