客户安全测试请求

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

客户请求的 Edge Cloud 测试

Apigee 允许甚至鼓励我们的客户在 Apigee Edge Cloud 中扫描或测试自己的端点。我们仅要求收到扫描通知,使得在扫描导致您的服务出现问题时我们知晓正在扫描。如需将计划的测试通知 Apigee,请至少在测试开始前 1 个工作日开立支持服务工单,并提供以下详细信息:

  • 测试日期(开始日期和预计结束日期,包括时区)
  • 执行测试的人员/公司的名称
  • 执行测试的人员的联系信息
  • 测试的来源 IP 地址
  • 要测试的系统的目标/目的地 IP 和名称(API 端点名称)

客户协议中未明确禁止进行测试。系统不会发送批准电子邮件,也不会签署授权书,因为没有禁止客户在 Edge Cloud 中测试自己的端点和配置的情况。

如果客户在测试期间发现了他们认为是 Apigee Edge 平台本身造成的漏洞,我们会要求他们通过 Reporting in Edge 中的漏洞流程将这些信息提交给 Apigee。

Google 扫描边缘公有云

Apigee 每周扫描一次 Apigee Edge 公有云。但是,这些扫描仅供内部使用,不会与客户共享。Google 扫描服务会查看公开的端点和内部基础架构。这些扫描作业会查找缺少的补丁程序、漏洞、配置有误的主机、不良的 TLS 配置等等。它们是 Google“保护平台”承诺的一部分。

如果发现某些内容与客户直接相关,并且明显是配置不当,我们会通知客户。但是,由于客户同时使用明文和 TLS 配置,并且有些客户使用 Edge 存储公开数据,而另一些客户则使用 Edge 存储 PCI、医疗保健或其他个人身份信息类型的数据,因此我们无法确定哪些方案始终适合所有客户。

客户在测试其端点和验证安全配置时,不得将这些 Google 扫描用来履行自己的尽职调查(如 PCI 和其他行业或监管标准所要求)。

我们鼓励客户自行在 Edge 中测试端点,以满足安全性或合规性需求。如需查看相关说明,请参阅本文档的客户请求的 Edge Cloud 测试部分。

针对私有云或 Edge Hybrid 的 Edge 的客户测试

由于 Edge for Private Cloud 和 Edge Hybrid 客户在自己的网络中拥有 Apigee 软件,因此允许客户测试该软件。对客户直接管理的系统或服务测试没有任何限制。

因此,Apigee 不会向 Edge 为私有云客户提供测试报告。Apigee 公有云的报告不适用于私有云部署。在将私有云代码发布给客户之前,Apigee 确实会对私有云代码执行恶意软件扫描。

对于 Hybrid 客户,API 处理服务在客户的网络中,而管理界面在 Apigee Cloud 中。如需详细了解管理接口测试限制,请参阅本文档的客户请求的 Edge Cloud 测试部分。

由 Spinnaker 或 Acquia 托管的 Apigee 赞助的开发者门户的客户测试

本部分仅适用于由 Apigee 赞助的门户,托管在 Drupal 7 上。Apigee 赞助的 Drupal 门户托管将于 2020 年初结束。如需了解详情,请参阅 Drupal 7 开发者门户常见问题解答 - 托管终止

客户可以在由 Pantheon 或 Acquia 托管的门户上执行渗透测试。Apigee 和 Pantheon(或 Acquia)需要先收到通知,客户可以通过 Apigee 提交支持服务工单来发送通知。

客户必须为支持团队提供计划的测试的以下详细信息:

  • 测试日期(开始日期和预计结束日期,包括时区)
  • 执行测试的人员/公司的名称
  • 执行测试的人员的联系信息
  • 测试的来源 IP 地址
  • 要测试的 Pantheon 网站名称和网址