您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
客戶提出要求來測試 Edge Cloud
Apigee 甚至可以鼓勵客戶在 Apigee Edge Cloud 中掃描或測試自有端點。我們只要求你提供掃描通知,用意是為了瞭解這項掃描作業會在發生掃描作業時造成服務問題。如要通知 Apigee 您預計進行的測試,請在開始測試前至少 1 個工作天建立支援單,並提供下列詳細資料:
- 測試日期 (開始日期和預計結束日期,含時區)
- 執行測試的人員/公司名稱
- 測試人員的聯絡資訊
- 測試的來源 IP 位址
- 所測試系統的目標/目的地 IP 和名稱 (API 端點名稱)
客戶協議並未明確禁止測試。客戶並未禁止客戶在 Edge Cloud 中測試自己的端點和設定,因此系統不會傳送核准電子郵件,也不會簽署授權信件。
如果客戶在測試過程中發現安全漏洞,是因為 Apigee Edge 平臺本身所致,我們會要求他們透過 Edge 中的安全漏洞回報程序,將這些資訊提交給 Apigee。
Google 掃描邊緣公用雲端
Apigee 每週會掃描 Apigee Edge 公用雲端。不過,這些掃描作業僅供內部使用,不會與客戶分享。Google 會掃描公開的端點和內部基礎架構,這些掃描作業會偵測缺少的修補程式、安全漏洞、主機設定錯誤、傳輸層安全標準 (TLS) 設定不良等項目。這也是 Google 致力於「保護平台安全」的其中一項措施。
如果我們發現與客戶有直接關聯,且設定明顯有誤,就會通知客戶。不過,由於客戶同時使用清楚的文字和傳輸層安全標準 (TLS) 設定,且有些客戶使用 Edge 來存放公開資料,而其他客戶則是使用 Edge for PCI、醫療照護或其他 PII 類型的資料,因此我們無法判斷哪些資料最適用於我們的所有客戶。
客戶不得利用這些 Google 掃描功能來測試端點,並驗證 PCI 和其他產業或監管標準等安全設定。
我們建議客戶針對安全性或法規遵循需求自行測試 Edge 中的端點。如需操作說明,請參閱本文件的客戶要求的 Edge Cloud 測試一節。
對私人雲端或邊緣混合式環境的客戶測試 Edge
由於 Edge for Private Cloud 和 Edge Hybrid 客戶在自己的網路中擁有 Apigee 軟體,因此客戶可以測試軟體。客戶直接管理的系統或服務測試沒有限制。
因此,Apigee 並不會向 Edge for Private Cloud 客戶提供測試報告。Apigee 公用雲端的報表不適用於私有雲部署。Apigee「可以」在 Private Cloud 程式碼發布前,掃描惡意軟體。
如果是混合型客戶,API 處理服務位於客戶網路中,管理介面則位於 Apigee Cloud。如要進一步瞭解管理介面測試限制,請參閱本文件的客戶要求測試 Edge Cloud 一節。
Pantheon 或 Acquia 託管的 Apigee 贊助開發人員入口網站客戶測試
本節僅適用於 Drupal 7 代管的 Apigee 贊助入口網站。Apigee 贊助的 Drupal 入口網站代管服務將於 2020 年初結束。詳情請參閱 Drupal 7 開發人員入口網站常見問題 - 代管結束。
客戶可以在 Pantheon 或 Acquia 代管的入口網站上執行滲透測試。 Apigee 和 Pantheon (或 Acquia) 需要優先通知,客戶可以透過 Apigee 建立支援單來執行這項操作。
客戶必須向支援團隊提供預定測試的下列詳細資料:
- 測試日期 (開始日期和預計結束日期,含時區)
- 執行測試的人員/公司名稱
- 測試人員的聯絡資訊
- 測試的來源 IP 位址
- Pantheon 網站名稱和要測試的網址