您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件。 info
客戶要求測試 Edge Cloud
Apigee 允許並鼓勵客戶在 Apigee Edge Cloud 中掃描或測試自己的端點。我們要求通知掃描作業,只是為了在掃描作業導致服務發生問題時,讓我們瞭解掃描作業。如要通知 Apigee 您預計進行測試,請在測試開始前至少 1 個工作天開立支援單,並提供下列詳細資料:
- 測試日期 (開始日期和預估結束日期,包括時區)
- 進行測試的人員/公司名稱
- 進行測試人員的聯絡資訊
- 測試的來源 IP 位址
- 目標/目的地 IP 和要測試的系統名稱 (API 端點名稱)
客戶合約並未明文禁止測試。我們不會傳送核准電子郵件,也不會簽署授權函,因為客戶可以在 Edge Cloud 中測試自己的端點和設定,這並未受到限制。
如果客戶在測試期間發現疑似是 Apigee Edge 平台本身所造成的安全漏洞,請使用「在 Edge 中回報安全漏洞」程序,將這項資訊提交給 Apigee。
Google 掃描 Edge Public Cloud
Apigee 會每週掃描 Apigee Edge 公用雲端。不過,這些掃描作業是用於內部用途,不會提供給客戶。Google 掃描會檢查公開暴露的端點和內部基礎架構。這些掃描作業會尋找缺少的修補程式、安全漏洞、主機設定錯誤、不良的 TLS 設定等等。這是 Google 致力「確保平台安全」的一部分。
如果我們發現與客戶直接相關的內容,且該內容明顯設定不正確,我們會通知客戶。不過,由於客戶同時使用純文字和 TLS 設定,且部分客戶使用 Edge 處理公開資料,而其他客戶則使用 Edge 處理 PCI 或醫療保健或其他個人識別資訊類型的資料,因此我們無法判斷哪種做法對所有客戶都適用。
客戶不得將這些 Google 掃描結果用於履行自身的盡職調查,例如測試端點並驗證安全設定,以符合 PCI 和其他行業或法規標準。
我們建議客戶自行測試 Edge 中的端點,以滿足安全性或法規遵循需求。如需操作說明,請參閱本文件的「客戶要求測試 Edge Cloud」一節。
客戶測試 Edge for Private Cloud 或 Edge Hybrid
由於 Edge for Private Cloud 和 Edge Hybrid 客戶在自己的網路中擁有 Apigee 軟體,因此可測試該軟體。客戶直接管理的系統或服務不受測試限制。
因此,Apigee 不會向 Edge for Private Cloud 客戶提供測試報告。Apigee 公用雲的報表不適用於 Private Cloud 部署作業。Apigee 會在將私有雲端程式碼發布給客戶前,先執行惡意軟體掃描作業。
對於混合型客戶,API 處理服務會位於客戶的網路中,而管理介面則位於 Apigee Cloud 中。如要進一步瞭解管理介面測試限制,請參閱本文件的「客戶要求測試 Edge Cloud」一節。
客戶測試 Apigee 贊助的開發人員入口網站 (託管於 Pantheon 或 Acquia)
本節僅適用於 Apigee 贊助的 Drupal 7 主機代管的入口網站。Apigee 贊助的 Drupal 入口網站代管服務將於 2020 年初結束。詳情請參閱 Drupal 7 開發人員入口網站常見問題 - 終止代管服務。
客戶可以對由 Pantheon 或 Acquia 代管的入口網站進行滲透測試。您必須先通知 Apigee 和 Pantheon (或 Acquia),客戶可以透過 Apigee 開啟支援單。
客戶必須向支援團隊提供以下有關測試計畫的詳細資料:
- 測試日期 (開始日期和預估結束日期,包括時區)
- 進行測試的人員/公司名稱
- 進行測試人員的聯絡資訊
- 測試的來源 IP 位址
- 正在測試的 Pantheon 網站名稱和網址