Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация
Тестирование Edge Cloud по запросу клиента
Apigee позволяет и даже поощряет наших клиентов сканировать или тестировать свои собственные конечные точки в Apigee Edge Cloud. Мы просим уведомлять о сканировании только для того, чтобы мы знали о сканировании в случае, если сканирование вызовет проблемы для ваших услуг. Чтобы уведомить Apigee о запланированном тестировании, откройте заявку в службу поддержки как минимум за 1 рабочий день до начала тестирования и предоставьте следующие данные:
- Дата испытаний (дата начала и предполагаемая дата окончания, включая часовой пояс)
- Имя человека/компании, проводившей тестирование
- Контактная информация лица, проводящего тестирование
- Исходные IP-адреса тестирования
- Целевые/назначенные IP-адреса и имена тестируемых систем (имена конечных точек API)
Тестирование конкретно не запрещено клиентскими соглашениями. Письма с подтверждением не будут отправляться, а авторизационные письма не будут подписываться, поскольку не существует запрета на тестирование клиентом своих собственных конечных точек и конфигураций в Edge Cloud.
Если в ходе тестирования клиенты обнаруживают уязвимости, которые, по их мнению, связаны с самой платформой Apigee Edge, мы просим их отправить эту информацию в Apigee, используя процедуру «Сообщение об уязвимостях в Edge» .
Сканирование Google публичного облака Edge
Apigee еженедельно сканирует общедоступное облако Apigee Edge. Однако эти сканы предназначены для внутренних целей и не передаются клиентам. Сканирование Google проверяет общедоступные конечные точки и внутреннюю инфраструктуру. Эти сканирования ищут отсутствующие исправления, уязвимости, неправильно настроенные хосты, неправильные конфигурации TLS и т. д. Они являются частью обязательства Google по «безопасности платформы».
Если бы было обнаружено что-то, что напрямую связано с клиентом и было явно неправильно настроено, мы уведомили бы клиента. Но поскольку клиенты используют конфигурации как в виде открытого текста, так и TLS, а также поскольку некоторые клиенты используют Edge для общедоступных данных, в то время как другие используют Edge для данных PCI, здравоохранения или других типов данных PII, мы не в состоянии определить, что всегда подходит для всех. наших клиентов.
Клиенты не могут использовать эти сканирования Google для проведения собственной комплексной проверки при тестировании своих конечных точек и проверке безопасных конфигураций, как того требуют стандарты PCI и другие отраслевые или нормативные стандарты.
Клиентам рекомендуется проводить собственное тестирование конечных точек в Edge на предмет безопасности или соответствия требованиям. Инструкции см. в разделе «Тестирование Edge Cloud по запросу клиента» данного документа.
Клиентское тестирование Edge для частного облака или Edge Hybrid
Поскольку клиенты Edge for Private Cloud и Edge Hybrid имеют программное обеспечение Apigee в своих сетях, им разрешено тестировать это программное обеспечение. Нет ограничений на тестирование систем или сервисов, которыми управляет непосредственно заказчик.
Однако в результате Apigee не предоставляет отчеты о тестировании клиентам Edge for Private Cloud. Отчеты из публичного облака Apigee неприменимы к развертываниям частного облака. Apigee выполняет сканирование кода частного облака на наличие вредоносных программ перед его передачей клиентам.
Для клиентов гибридного типа службы обработки API находятся в сети клиента, а интерфейс управления — в облаке Apigee. Подробную информацию об ограничениях тестирования интерфейса управления см. в разделе «Тестирование Edge Cloud по запросу клиента ».
Клиентское тестирование порталов разработчиков, спонсируемых Apigee, размещенных в Pantheon или Acquia.
Этот раздел относится только к порталам, спонсируемым Apigee, размещенным на Drupal 7. Хостинг порталов Drupal, спонсируемый Apigee, заканчивается в начале 2020 года. Для получения дополнительной информации см. FAQ по порталу разработчиков Drupal 7 — окончание хостинга .
Клиенты могут проводить тестирование на проникновение на своих порталах, размещенных на Pantheon или Acquia. Apigee и Pantheon (или Acquia) необходимо сначала уведомить, и клиенты могут сделать это, открыв заявку в службу поддержки Apigee.
Клиенты должны предоставить команде поддержки следующую информацию о запланированном тестировании:
- Дата испытаний (дата начала и предполагаемая дата окончания, включая часовой пояс)
- Имя человека/компании, проводившей тестирование
- Контактная информация лица, проводящего тестирование
- Исходные IP-адреса тестирования
- Названия и URL-адреса сайтов Pantheon проходят тестирование