Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Testowanie Edge Cloud na żądanie klienta
Firma Apigee zezwala i nawet zachęca klientów do skanowania i testowania własnych punktów końcowych w usłudze Apigee Edge Cloud. Prosimy o powiadomienie o skanowaniu tylko po to, abyśmy wiedzieli, że skanowanie jest przeprowadzane, gdyby miało to spowodować problemy w Twoich usługach. Aby powiadomić Apigee o planowanym teście, otwórz zgłoszenie na koncie pomocy co najmniej 1 dzień roboczy przed rozpoczęciem testowania i podaj te informacje:
- Data testów (data rozpoczęcia i przewidywana data zakończenia z uwzględnieniem strefy czasowej)
- Imię i nazwisko lub nazwa osoby/firmy przeprowadzającej testy
- informacje kontaktowe osoby przeprowadzającej testy;
- Źródłowe adresy IP testów
- Docelowe adresy IP i nazwy testowanych systemów (nazwy punktów końcowych interfejsu API)
Testowanie nie jest wyraźnie zabronione w umowach z klientami. Nie wysyłamy e-maili z prośbą o zatwierdzanie ani nie podpisujemy listów upoważniających, ponieważ nie ma zakazu testowania przez klienta własnych punktów końcowych i ich konfiguracji w Edge Cloud.
Jeśli podczas testów klienci znajdą luki, które ich zdaniem są spowodowane samą platformą Apigee Edge, prosimy o przesłanie tych informacji do Apigee za pomocą procesu zgłaszania luk w Edge.
Skanowanie Google w Edge Public Cloud
Apigee skanuje chmurę publiczną Apigee Edge raz w tygodniu. Skanowanie odbywa się jednak na potrzeby wewnętrzne i nie jest udostępniane klientom. Skanowanie Google obejmuje publicznie dostępne punkty końcowe oraz infrastrukturę wewnętrzną. Podczas tych skanowań wyszukiwane są brakujące łaty, luki w zabezpieczeniach, nieprawidłowo skonfigurowane hosty, nieprawidłowa konfiguracja TLS itp. Są one częścią zobowiązania Google do „zabezpieczenia platformy”.
Jeśli zostanie wykryte coś, co jest bezpośrednio związane z klientem i jest wyraźnie nieprawidłowo skonfigurowane, powiadomimy o tym klienta. Ponieważ jednak klienci korzystają zarówno z konfiguracji w formie tekstu zwykłego, jak i z konfiguracji TLS, a niektórzy z nich używają przeglądarki Edge do przetwarzania danych publicznych, a inni do przetwarzania danych kart płatniczych, danych medycznych lub innych danych osobowych, nie jesteśmy w stanie określić, co jest zawsze odpowiednie dla wszystkich naszych klientów.
Klienci nie mogą używać skanowania Google jako elementu należytej staranności w testowaniu punktów końcowych i weryfikacji bezpiecznych konfiguracji, które są wymagane przez standard PCI i inne standardy branżowe lub regulacyjne.
Zachęcamy klientów do samodzielnego testowania punktów końcowych w Edge w celu zapewnienia bezpieczeństwa lub zgodności z wymaganiami. Instrukcje znajdziesz w sekcji Testowanie usługi Edge Cloud na prośbę klienta w tym dokumencie.
testowanie przez klienta Edge for Private Cloud lub Edge Hybrid;
Klienci korzystający z Edge for Private Cloud i Edge Hybrid mają oprogramowanie Apigee w swoich sieciach, więc mogą je testować. Nie ma żadnych ograniczeń dotyczących testowania systemów lub usług zarządzanych bezpośrednio przez klienta.
W efekcie Apigee nie udostępnia raportów z testów klientom korzystającym z Edge for Private Cloud. Raporty z Apigee Public Cloud nie dotyczą wdrożeń w chmurze Private Cloud. Apigee skanuje kod prywatnej chmury pod kątem złośliwego oprogramowania przed udostępnieniem go klientom.
W przypadku klientów korzystających z subskrypcji hybrydowej usługi przetwarzania interfejsu API znajdują się w sieci klienta, a interfejs zarządzania – w Apigee Cloud. Szczegółowe informacje o ograniczeniach testowania interfejsu zarządzania znajdziesz w sekcji Testowanie Edge Cloud na żądanie klienta tego dokumentu.
testowanie przez klientów portali dla deweloperów sponsorowanych przez Apigee i hostowanych w Pantheon lub Acquia;
Ta sekcja dotyczy tylko portali sponsorowanych przez Apigee hostowanych w Drupalu 7. Sponsorowany przez Apigee hosting portali Drupal zostanie zakończony na początku 2020 r. Więcej informacji znajdziesz w artykule Najczęstsze pytania dotyczące portalu dla programistów Drupala 7 – koniec hostingu.
Klienci mogą przeprowadzać testy penetracyjne swoich portali hostowanych przez Pantheon lub Acquia. Najpierw należy powiadomić Apigee i Pantheon (lub Acquia). Klienci mogą to zrobić, otwierając zgłoszenie w usłudze pomocy Apigee.
Klienci muszą przekazać zespołowi pomocy te informacje o planowanych testach:
- Data testów (data rozpoczęcia i przewidywana data zakończenia z uwzględnieniem strefy czasowej)
- Imię i nazwisko lub nazwa osoby/firmy przeprowadzającej testy
- informacje kontaktowe osoby przeprowadzającej testy;
- Źródłowe adresy IP testów
- testowane nazwy i adresy URL witryn Pantheon;