Prośby o testowanie zabezpieczeń klienta

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X.
Informacje

Testowanie Edge Cloud na prośbę klienta

Apigee umożliwia klientom skanowanie lub testowanie własnych punktów końcowych w Apigee Edge Cloud, a nawet zachęca ich do tego. Prosimy o powiadomienie o skanowaniu tylko wtedy, gdy wykryjemy, że w przypadku, gdy skanowanie spowoduje problem z Twoimi usługami. Aby powiadomić Apigee o planowanym testowaniu, prześlij zgłoszenie do zespołu pomocy co najmniej 1 dzień roboczy przed rozpoczęciem testowania i podaj te informacje:

  • data testów (data rozpoczęcia i przewidywana data zakończenia oraz strefa czasowa).
  • Imię i nazwisko osoby lub nazwa firmy przeprowadzającej test
  • Dane kontaktowe osoby wykonującej test
  • Źródłowe adresy IP testu
  • Docelowe/docelowe adresy IP i nazwy testowanych systemów (nazwy punktów końcowych API)

Testowanie nie jest zabronione w umowach z klientami. E-maile dotyczące zatwierdzenia nie będą wysyłane ani podpisywane listy autoryzacyjne, ponieważ nie ma zakazu testowania przez klienta własnych punktów końcowych i konfiguracji w Edge Cloud.

Jeśli podczas testowania klienci znajdą luki w zabezpieczeniach, które ich zdaniem wynikają z samej platformy Apigee Edge, prosimy ich o przesłanie tych informacji do Apigee za pomocą procesu zgłaszania luk w zabezpieczeniach w Edge.

Skanowanie chmury publicznej Edge przez Google

Apigee co tydzień skanuje chmurę publiczną Apigee Edge. Te skanowania są jednak przeznaczone do celów wewnętrznych i nie są udostępniane klientom. Skanowanie Google analizuje publicznie ujawnione punkty końcowe i infrastrukturę wewnętrzną. Te skanowania mają na celu znalezienie brakujących poprawek, luk w zabezpieczeniach, źle skonfigurowanych hostów, słabych konfiguracji TLS itp. Są one częścią zobowiązania Google związanego z „zabezpieczeniem platformy”.

Jeśli coś będzie powiązane bezpośrednio z klientem i będzie oczywiście nieprawidłowo skonfigurowane, powiadomimy klienta. Ponieważ jednak klienci używają zarówno konfiguracji zwykłego tekstu, jak i konfiguracji TLS, a niektórzy używają Edge do obsługi danych publicznych, a inni do obsługi danych dostępnych w przypadku PCI, opieki zdrowotnej lub innych rodzajów danych umożliwiających identyfikację, nie jesteśmy w stanie określać, co zawsze jest odpowiednie dla wszystkich naszych klientów.

Klienci nie mogą używać tych skanowań Google do zachowania należytej staranności przy testowaniu ich punktów końcowych i weryfikacji bezpiecznych konfiguracji, wymaganych przez PCI oraz inne standardy branżowe lub regulacyjne.

Zachęcamy klientów do samodzielnego testowania punktów końcowych w Edge ze względów bezpieczeństwa i zgodności. Instrukcje znajdziesz w sekcji Testowanie Edge Cloud na prośbę klienta w tym dokumencie.

Testowanie u klienta Edge dla Private Cloud lub Edge Hybrid

Klienci Edge dla chmury prywatnej i Edge Hybrid mają oprogramowanie Apigee w swoich sieciach, więc klienci mogą je testować. Nie ma ograniczeń w zakresie testowania systemów lub usług zarządzanych bezpośrednio przez klienta.

W związku z tym Apigee nie udostępnia jednak raportów z testów usłudze Edge dla klientów Private Cloud. Raporty z Apigee Public Cloud nie mają zastosowania do wdrożeń Private Cloud. Apigee wykonuje skanowanie kodu w chmurze pod kątem złośliwego oprogramowania, zanim zostanie on udostępniony klientom.

W przypadku klientów hybrydowych usługi przetwarzania przez interfejs API są dostępne w sieci klienta, a interfejs zarządzania znajduje się w Apigee Cloud. Więcej informacji o ograniczeniach testowania interfejsu zarządzania znajdziesz w sekcji o testowaniu Edge Cloud na prośbę klienta w tym dokumencie.

Testowanie przez klienta sponsorowanych przez Apigee portali dla deweloperów hostowanych w Panteon lub Acquia

Ta sekcja dotyczy tylko portali sponsorowanych Apigee hostowanych na Drupal 7. Sponsorowana przez Apigee hostowanie portali Drupal zakończy się na początku 2020 roku. Więcej informacji znajdziesz w artykule Najczęstsze pytania na temat portalu dla programistów Drupal 7 – koniec hostingu.

Klienci mogą przeprowadzać testy penetracyjne w swoich portalach hostowanych przez Pantheon lub Acquia. Najpierw należy powiadomić usługę Apigee i Pantheon (lub Acquia), a klienci mogą to zrobić, przesyłając zgłoszenie w Apigee.

Klienci muszą przekazać zespołowi pomocy następujące informacje na temat planowanych testów:

  • data testów (data rozpoczęcia i przewidywana data zakończenia oraz strefa czasowa).
  • Imię i nazwisko osoby lub nazwa firmy przeprowadzającej test
  • Dane kontaktowe osoby wykonującej test
  • Źródłowe adresy IP testu
  • Testowane nazwy i adresy URL witryn Pantheon