Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Testowanie Edge Cloud na prośbę klienta
Apigee umożliwia klientom skanowanie lub testowanie własnych punktów końcowych w Apigee Edge Cloud, a nawet zachęca ich do tego. Prosimy o powiadomienie o skanowaniu tylko wtedy, gdy wykryjemy, że w przypadku, gdy skanowanie spowoduje problem z Twoimi usługami. Aby powiadomić Apigee o planowanym testowaniu, prześlij zgłoszenie do zespołu pomocy co najmniej 1 dzień roboczy przed rozpoczęciem testowania i podaj te informacje:
- data testów (data rozpoczęcia i przewidywana data zakończenia oraz strefa czasowa).
- Imię i nazwisko osoby lub nazwa firmy przeprowadzającej test
- Dane kontaktowe osoby wykonującej test
- Źródłowe adresy IP testu
- Docelowe/docelowe adresy IP i nazwy testowanych systemów (nazwy punktów końcowych API)
Testowanie nie jest zabronione w umowach z klientami. E-maile dotyczące zatwierdzenia nie będą wysyłane ani podpisywane listy autoryzacyjne, ponieważ nie ma zakazu testowania przez klienta własnych punktów końcowych i konfiguracji w Edge Cloud.
Jeśli podczas testowania klienci znajdą luki w zabezpieczeniach, które ich zdaniem wynikają z samej platformy Apigee Edge, prosimy ich o przesłanie tych informacji do Apigee za pomocą procesu zgłaszania luk w zabezpieczeniach w Edge.
Skanowanie chmury publicznej Edge przez Google
Apigee co tydzień skanuje chmurę publiczną Apigee Edge. Te skanowania są jednak przeznaczone do celów wewnętrznych i nie są udostępniane klientom. Skanowanie Google analizuje publicznie ujawnione punkty końcowe i infrastrukturę wewnętrzną. Te skanowania mają na celu znalezienie brakujących poprawek, luk w zabezpieczeniach, źle skonfigurowanych hostów, słabych konfiguracji TLS itp. Są one częścią zobowiązania Google związanego z „zabezpieczeniem platformy”.
Jeśli coś będzie powiązane bezpośrednio z klientem i będzie oczywiście nieprawidłowo skonfigurowane, powiadomimy klienta. Ponieważ jednak klienci używają zarówno konfiguracji zwykłego tekstu, jak i konfiguracji TLS, a niektórzy używają Edge do obsługi danych publicznych, a inni do obsługi danych dostępnych w przypadku PCI, opieki zdrowotnej lub innych rodzajów danych umożliwiających identyfikację, nie jesteśmy w stanie określać, co zawsze jest odpowiednie dla wszystkich naszych klientów.
Klienci nie mogą używać tych skanowań Google do zachowania należytej staranności przy testowaniu ich punktów końcowych i weryfikacji bezpiecznych konfiguracji, wymaganych przez PCI oraz inne standardy branżowe lub regulacyjne.
Zachęcamy klientów do samodzielnego testowania punktów końcowych w Edge ze względów bezpieczeństwa i zgodności. Instrukcje znajdziesz w sekcji Testowanie Edge Cloud na prośbę klienta w tym dokumencie.
Testowanie u klienta Edge dla Private Cloud lub Edge Hybrid
Klienci Edge dla chmury prywatnej i Edge Hybrid mają oprogramowanie Apigee w swoich sieciach, więc klienci mogą je testować. Nie ma ograniczeń w zakresie testowania systemów lub usług zarządzanych bezpośrednio przez klienta.
W związku z tym Apigee nie udostępnia jednak raportów z testów usłudze Edge dla klientów Private Cloud. Raporty z Apigee Public Cloud nie mają zastosowania do wdrożeń Private Cloud. Apigee wykonuje skanowanie kodu w chmurze pod kątem złośliwego oprogramowania, zanim zostanie on udostępniony klientom.
W przypadku klientów hybrydowych usługi przetwarzania przez interfejs API są dostępne w sieci klienta, a interfejs zarządzania znajduje się w Apigee Cloud. Więcej informacji o ograniczeniach testowania interfejsu zarządzania znajdziesz w sekcji o testowaniu Edge Cloud na prośbę klienta w tym dokumencie.
Testowanie przez klienta sponsorowanych przez Apigee portali dla deweloperów hostowanych w Panteon lub Acquia
Ta sekcja dotyczy tylko portali sponsorowanych Apigee hostowanych na Drupal 7. Sponsorowana przez Apigee hostowanie portali Drupal zakończy się na początku 2020 roku. Więcej informacji znajdziesz w artykule Najczęstsze pytania na temat portalu dla programistów Drupal 7 – koniec hostingu.
Klienci mogą przeprowadzać testy penetracyjne w swoich portalach hostowanych przez Pantheon lub Acquia. Najpierw należy powiadomić usługę Apigee i Pantheon (lub Acquia), a klienci mogą to zrobić, przesyłając zgłoszenie w Apigee.
Klienci muszą przekazać zespołowi pomocy następujące informacje na temat planowanych testów:
- data testów (data rozpoczęcia i przewidywana data zakończenia oraz strefa czasowa).
- Imię i nazwisko osoby lub nazwa firmy przeprowadzającej test
- Dane kontaktowe osoby wykonującej test
- Źródłowe adresy IP testu
- Testowane nazwy i adresy URL witryn Pantheon