Yêu cầu thử nghiệm bảo mật khách hàng

Bạn đang xem tài liệu về Apigee Edge.
Hãy xem tài liệu về Apigee X.

Thử nghiệm Edge Cloud do khách hàng yêu cầu

Apigee cho phép và thậm chí khuyến khích khách hàng của chúng tôi quét hoặc kiểm tra điểm cuối của riêng họ trong Apigee Edge Cloud. Chúng tôi chỉ yêu cầu thông báo về việc quét để chúng tôi biết được kết quả quét trong trường hợp quá trình quét gây ra sự cố cho dịch vụ của bạn. Để thông báo cho Apigee về kế hoạch xét nghiệm, hãy mở một thẻ hỗ trợ ít nhất 1 ngày làm việc trước khi bắt đầu xét nghiệm và cung cấp những thông tin chi tiết sau:

  • Ngày thử nghiệm (ngày bắt đầu và ngày kết thúc dự kiến bao gồm múi giờ)
  • Tên cá nhân/công ty thực hiện xét nghiệm
  • Thông tin liên hệ của người thực hiện xét nghiệm
  • Địa chỉ IP nguồn của thử nghiệm
  • IP mục tiêu/đích và tên của hệ thống đang được thử nghiệm (tên điểm cuối của API)

Đặc biệt, không được cấm thử nghiệm trong thỏa thuận của khách hàng. Chúng tôi sẽ không gửi email phê duyệt và ký tên vào thư ủy quyền vì không có quy định cấm khách hàng thử nghiệm điểm cuối và cấu hình của riêng họ trong Edge Cloud.

Nếu khách hàng tìm thấy các lỗ hổng trong quá trình thử nghiệm mà họ tin là do nền tảng Apigee Edge, chúng tôi sẽ yêu cầu họ gửi thông tin này cho Apigee bằng quy trình Báo cáo lỗ hổng trong Edge.

Google Quét máy tính đám mây công cộng

Apigee quét đám mây công cộng Apigee Edge hàng tuần. Tuy nhiên, những lần quét này là dành cho mục đích nội bộ và không được chia sẻ với khách hàng. Quá trình quét của Google sẽ xem xét các điểm cuối được hiển thị công khai và cơ sở hạ tầng nội bộ. Quá trình quét này tìm kiếm những bản vá, thiếu lỗ hổng, máy chủ lưu trữ bị định cấu hình sai, cấu hình TLS không hợp lệ, v.v. Đây là một phần trong cam kết của Google về "bảo mật nền tảng".

Chúng tôi sẽ thông báo cho khách hàng nếu phát hiện thấy một nội dung nào đó có liên quan trực tiếp đến khách hàng và được định cấu hình không chính xác. Tuy nhiên, vì khách hàng sử dụng cả cấu hình văn bản và TLS rõ ràng, vì một số khách hàng sử dụng Edge cho dữ liệu công khai trong khi những khách hàng khác sử dụng Edge cho PCI hoặc dịch vụ chăm sóc sức khoẻ hoặc các loại dữ liệu PII khác, nên chúng tôi không thể xác định điều gì luôn thích hợp cho tất cả khách hàng của mình.

Khách hàng không được sử dụng những bản quét Google này để thực hiện quá trình thẩm định khi kiểm tra điểm cuối và xác minh các cấu hình bảo mật như PCI và các tiêu chuẩn ngành hoặc tiêu chuẩn theo quy định khác yêu cầu.

Khách hàng nên tự thử nghiệm các điểm cuối trong Edge cho các nhu cầu về bảo mật hoặc tuân thủ. Hãy xem phần Yêu cầu khách hàng thử nghiệm của Cloud Edge trong tài liệu này để biết hướng dẫn.

Khách hàng thử nghiệm Edge cho đám mây riêng hoặc Edge Hybrid

Vì các khách hàng Edge for Private Cloud và Edge Hybrid có phần mềm Apigee trong mạng riêng của họ nên khách hàng được phép thử nghiệm phần mềm. Không có giới hạn về việc thử nghiệm các hệ thống hoặc dịch vụ do khách hàng trực tiếp quản lý.

Tuy nhiên, Apigee không cung cấp báo cáo thử nghiệm cho các khách hàng sử dụng Cloud riêng tư. Báo cáo của Apigee Cloud Cloud không áp dụng được cho các hoạt động triển khai Đám mây riêng. Apigee thực hiện quét phần mềm độc hại mã đám mây riêng trước khi phát hành cho khách hàng.

Đối với khách hàng Hybrid, các dịch vụ xử lý API nằm trong mạng của khách hàng, trong khi giao diện quản lý nằm trong Apigee Cloud. Vui lòng xem lại mục Yêu cầu do khách hàng yêu cầu khi sử dụng Edge Cloud trong tài liệu này để biết thông tin chi tiết về các quy định hạn chế đối với việc thử nghiệm giao diện quản lý.

Hoạt động thử nghiệm khách hàng đối với các cổng thông tin dành cho nhà phát triển được Apigee tài trợ lưu trữ tại Pantheon hoặc Acquia

Phần này chỉ áp dụng cho các cổng thông tin do Apigee tài trợ lưu trữ trên Drupal 7. Quá trình lưu trữ các cổng thông tin của Drupal do Apigee tài trợ sẽ kết thúc vào đầu năm 2020. Để biết thêm thông tin, hãy xem phần Câu hỏi thường gặp về Cổng nhà phát triển Drupal 7 - Kết thúc quá trình lưu trữ.

Khách hàng có thể thực hiện thử nghiệm thâm nhập trên cổng của họ được lưu trữ bởi Pantheon hoặc Acquia. Trước tiên, Apigee và Pantheon (hoặc Acquia) cần được thông báo và khách hàng có thể thực hiện việc này bằng cách mở một thẻ hỗ trợ với Apigee.

Khách hàng phải cung cấp cho Nhóm hỗ trợ các thông tin chi tiết sau đây về quá trình thử nghiệm theo kế hoạch:

  • Ngày thử nghiệm (ngày bắt đầu và ngày kết thúc dự kiến bao gồm múi giờ)
  • Tên cá nhân/công ty thực hiện xét nghiệm
  • Thông tin liên hệ của người thực hiện xét nghiệm
  • Địa chỉ IP nguồn của thử nghiệm
  • Tên và URL trang web Pantheon đang được thử nghiệm