Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Kiểm thử Edge Cloud theo yêu cầu của khách hàng
Apigee cho phép và thậm chí khuyến khích khách hàng quét hoặc kiểm thử các điểm cuối của riêng họ trong Apigee Edge Cloud. Chúng tôi chỉ yêu cầu thông báo về quá trình quét để biết được quá trình quét trong trường hợp quá trình quét gây ra vấn đề cho các dịch vụ của bạn. Để thông báo cho Apigee về kế hoạch kiểm thử của bạn, hãy mở một phiếu yêu cầu hỗ trợ ít nhất 1 ngày làm việc trước khi bắt đầu kiểm thử và cung cấp các thông tin chi tiết sau:
- Ngày kiểm thử (ngày bắt đầu và ngày kết thúc dự kiến, bao gồm cả múi giờ)
- Tên của người/công ty thực hiện kiểm thử
- Thông tin liên hệ của người thực hiện kiểm thử
- Địa chỉ IP nguồn của quá trình kiểm thử
- Địa chỉ IP mục tiêu/đích đến và tên của các hệ thống đang được kiểm thử (tên điểm cuối API)
Việc thử nghiệm không bị cấm cụ thể trong thoả thuận với khách hàng. Chúng tôi sẽ không gửi email phê duyệt và không ký thư uỷ quyền vì không có quy định nào cấm khách hàng kiểm thử các điểm cuối và cấu hình của riêng họ trong Edge Cloud.
Nếu khách hàng phát hiện lỗ hổng trong quá trình kiểm thử mà họ cho rằng là do chính nền tảng Apigee Edge, thì chúng tôi yêu cầu họ gửi thông tin này cho Apigee bằng quy trình Báo cáo lỗ hổng trong Edge.
Tính năng quét của Google trên Edge Public Cloud
Apigee quét đám mây công khai Apigee Edge hằng tuần. Tuy nhiên, các lượt quét này chỉ dành cho mục đích nội bộ và không được chia sẻ với khách hàng. Quy trình quét của Google xem xét các điểm cuối được công khai và cơ sở hạ tầng nội bộ. Các lượt quét này tìm kiếm các bản vá bị thiếu, lỗ hổng bảo mật, máy chủ được định cấu hình không đúng cách, cấu hình TLS kém, v.v. Các biện pháp này là một phần trong cam kết của Google về việc "bảo mật nền tảng".
Nếu phát hiện thấy vấn đề liên quan trực tiếp đến khách hàng và rõ ràng là đã được định cấu hình không chính xác, chúng tôi sẽ thông báo cho khách hàng. Tuy nhiên, vì khách hàng sử dụng cả cấu hình văn bản thô và TLS, đồng thời một số khách hàng sử dụng Edge cho dữ liệu công khai, trong khi một số khách hàng khác sử dụng Edge cho PCI hoặc dữ liệu chăm sóc sức khoẻ hoặc các loại dữ liệu PII khác, nên chúng tôi không thể xác định phương thức nào luôn phù hợp với tất cả khách hàng.
Khách hàng không được sử dụng các quy trình quét của Google này để thực hiện việc tự kiểm tra kỹ lưỡng trong quá trình kiểm thử điểm cuối và xác minh cấu hình bảo mật, chẳng hạn như theo yêu cầu của PCI và các tiêu chuẩn khác trong ngành hoặc theo quy định.
Khách hàng nên tự kiểm thử các điểm cuối trong Edge cho các nhu cầu về bảo mật hoặc tuân thủ. Hãy xem phần Kiểm thử theo yêu cầu của khách hàng về Edge Cloud trong tài liệu này để biết hướng dẫn.
Khách hàng thử nghiệm Edge cho Private Cloud hoặc Edge Hybrid
Vì khách hàng sử dụng Edge cho đám mây riêng và Edge Hybrid có phần mềm Apigee trong mạng của riêng họ, nên khách hàng được phép thử nghiệm phần mềm này. Không có giới hạn nào về việc kiểm thử các hệ thống hoặc dịch vụ do khách hàng trực tiếp quản lý.
Tuy nhiên, do đó, Apigee không cung cấp báo cáo kiểm thử cho khách hàng sử dụng Edge for Private Cloud. Các báo cáo từ Apigee Public Cloud không áp dụng cho các bản triển khai Private Cloud. Apigee có quét phần mềm độc hại của mã trên đám mây riêng tư trước khi phát hành cho khách hàng.
Đối với khách hàng sử dụng mô hình kết hợp, các dịch vụ xử lý API nằm trong mạng của khách hàng, còn giao diện quản lý nằm trong Apigee Cloud. Vui lòng xem phần Kiểm thử theo yêu cầu của khách hàng về Edge Cloud trong tài liệu này để biết thông tin chi tiết về các hạn chế đối với việc kiểm thử giao diện quản lý.
Kiểm thử khách hàng đối với các cổng nhà phát triển do Apigee tài trợ được lưu trữ tại Pantheon hoặc Acquia
Phần này chỉ áp dụng cho các cổng do Apigee tài trợ được lưu trữ trên Drupal 7. Dịch vụ lưu trữ trang web Drupal do Apigee tài trợ sẽ kết thúc vào đầu năm 2020. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp về Cổng thông tin dành cho nhà phát triển Drupal 7 – Việc ngừng lưu trữ.
Khách hàng có thể tiến hành kiểm thử xâm nhập trên cổng thông tin do Pantheon hoặc Acquia lưu trữ. Trước tiên, bạn cần thông báo cho Apigee và Pantheon (hoặc Acquia). Khách hàng có thể thực hiện việc này bằng cách mở một phiếu yêu cầu hỗ trợ với Apigee.
Khách hàng phải cung cấp cho Nhóm hỗ trợ những thông tin chi tiết sau đây về quá trình kiểm thử theo kế hoạch:
- Ngày kiểm thử (ngày bắt đầu và ngày kết thúc dự kiến, bao gồm cả múi giờ)
- Tên của người/công ty thực hiện kiểm thử
- Thông tin liên hệ của người thực hiện kiểm thử
- Địa chỉ IP nguồn của quá trình kiểm thử
- Tên trang web và URL của Pantheon đang được kiểm thử