Get best of the week

Aus Sicherheitsgründen erstellen wir ein persönliches Konto für den SaaS-Dienst

Bild

Im Zeitalter der rasanten Entwicklung von SaaS wird das Fehlen eines persönlichen Kontos für einen Cloud-Dienst bereits als einfach unanständig angesehen. Es gibt jedoch noch einen weiteren wichtigen Grund für Bot-Schutzdienste und andere Cyber-Bedrohungen: Sie sehen dafür nicht wie beliebte Dienste wie Cloud-Speicher (wie Azure, AWS), Verleih virtueller Server (DigitalOcean) oder Versionskontrollsystem (GitHub, Gitlab) aus Der Grund, warum Kunden hier oft schwer zu verstehen sind, warum sie Geld bezahlen. Nur erweiterte Statistiken und visuelle Grafiken können diese Frage eindeutig beantworten. Daher hatte der Prozess der Erstellung eines persönlichen Kontos in Variti seine eigenen Merkmale.

Warum benötige ich ein persönliches Konto für einen Benutzer einer Anti-Bot-Lösung?

Arbeitstransparenz


Als wir Variti starteten, wollten wir den Service für den Benutzer so einfach und verständlich wie möglich gestalten. Unser Ziel war es, eher eine Consumer-Abonnement-Anwendung als eine Benutzeroberfläche eines leistungsstarken Produkts wie Azure zu erstellen, da es Kunden oft egal ist, wie der Schutz technisch funktioniert. Es ist wichtig, dass es funktioniert, und die Kosten für den Schutz decken mögliche Verluste aus seiner Abwesenheit ab.

Mit anderen Worten, dem Kunden sollten transparente Statistiken zur Verfügung stehen, anhand derer Sie all dies überprüfen können.

Technischer Support Entladen


Unser Sicherheitsdienst bietet viele Einstellungen und Optionen. Zum Beispiel Hinzufügen von Sicherheitsdomänen, Bearbeiten von Whitelists, Aktivieren der Filterung auf L7-Ebene, CDN-Integration, Hinzufügen von Unterstützung für TLS 1.3 und vieles mehr.

Einige einfache Einstellungen können mit dem üblichen Ein- / Ausschalter umgeschaltet werden, z. B. die automatische Umleitung von der „www-Unterdomäne“ zur Hauptdomäne (www.example.com -> example.com). Einige mit Hilfe unseres Telegramm-Bots, über den wir kürzlich geschrieben haben.. Kompliziertere Einstellungen erfordern jedoch mehr Maßnahmen des Kunden und des technischen Supports. Zum Beispiel haben wir Bot Mitigation - die Option der konstanten Filterung, die ständig alle Bots blockiert, die auf die geschützte Ressource klopfen. Aber hier gibt es einige Nuancen, weil nicht alle Bots schlecht sind. Beispielsweise können Clients ihre eigenen „weißen“ Bots haben (für die Datenbanksynchronisierung, Einstellungen mit Telegram Bot, Suchroboter usw.). Alle diese Szenarien müssen mit dem Client besprochen werden, damit sie Geschäftsprozesse nicht versehentlich stören.

Grundsätzlich können all diese Probleme mit Hilfe des technischen Supports sofort gelöst werden. Ihre Ressourcen sind jedoch begrenzt, und bei komplexen Einstellungen hat sie möglicherweise keine Zeit, um alle Probleme im laufenden Betrieb zu lösen, wenn es auf die Geschwindigkeit ankommt.

Stellen Sie sich zum Beispiel vor, Hacker hätten einen Botnet-Angriff mit dem Ziel des Parsens gestartet. Kunden sehen die Zunahme der Anfragen in den Diagrammen und fordern derzeit den Schutz vor Bots (Bot Mitigation). Wir haben oben beschrieben, warum diese Option zeitaufwändig sein kann. In der Zwischenzeit musste ein anderer Client ein einfaches Setup aktivieren oder Statistiken zu Anforderungen für einen bestimmten Zeitraum abrufen.

Aus diesem Grund haben wir es möglich gemacht, so viele Optionen und Einstellungen wie möglich in Ihrem Konto zu verbinden und diese weiterhin hinzuzufügen. Beispielsweise gab es kürzlich in LC die Möglichkeit, den Ausgleichsmodus mit der Bindung des Benutzers an den Server (Service Iphash) ein- und auszuschalten.

Hauptregisterkarten


Also, hier ist was wir in Ihrem Konto haben.

1. Dashboard


Bild

Hier ist eine Liste der Client-Ressourcen. Für jeden von ihnen stehen 7 Registerkarten mit detaillierten Statistiken zur Verfügung. Hier sind die beliebtesten:

Request Analytics - detaillierte Informationen zu Ressourcenanforderungen. Zeigt die Teilnehmer im Anforderungsablauf an:

  • Menschen - Anfragen von Benutzern;
  • gute Bots - Anfragen von Suchmaschinen oder Instant Messenger;
  • schlechte Bots - blockierte Bot-Anfragen;
  • Anforderungen aus der „weißen Liste“ - Anforderungen aus verifizierten Ressourcen, die der Client unabhängig hinzufügt.

BandWidth - enthält Informationen zum Datenverkehr, der unsere Cluster bereits passiert hat und gefiltert wird. Der Schlüsselindikator ist das 95. Perzentil der Verwendung der Breite des Paketkanals und dient auch als Grundlage für die Berechnung der Abrechnung. Ohne zusätzliche Kosten kann der Benutzer die Bandbreite um 5% der eingestellten Rate überschreiten (für den Zeitraum der gesamten Nutzung des Kanals). Wenn beispielsweise seltene Verkehrsstöße aufgetreten sind, werden diese auf diese Weise geglättet, und Sie können ein realistischeres Bild der Verkehrsnutzung sehen. Innerhalb eines Monats wird die verwendete Bandbreite in einem bestimmten Intervall gemessen, beispielsweise einmal alle 1 Minute. Subtrahieren Sie dann am Monatsende 5% der Maximalwerte, d. H. Verkehrsstöße. Aus den verbleibenden 95% wird die maximale Anzahl ausgewählt, die zur Berechnung der Zahlung verwendet wird.

Antwortzeiten und Antwortcodes - Diese Indikatoren zeigen die Verteilung der Zeit und die Verteilung der Antwortcodes des Client-Ressourcenservers an. Diese Informationen werden verwendet, um den Zeitpunkt der „Verschlechterung“ der Site-Leistung zu bestimmen.

Anforderungsgeografie - Statistiken zur geografischen Verteilung eingehender Anforderungen. Wenn ein Client beispielsweise Dienste nur für Russland bereitstellt und eine Gruppe von Anfragen aus Brasilien kam, spricht er höchstwahrscheinlich von einem Bot-Angriff.

2. Dienstleistungen


Bild

In diesem Abschnitt können Sie Dienste selbst konfigurieren.

Auf der ersten Registerkarte werden beispielsweise die wichtigsten Optionen für die Verkehrsfilterung angezeigt. Hier sind die interessantesten von ihnen:

  • Bot Mitigation - Kontinuierliche Filterung unzulässiger automatisierter Ressourcenanforderungen
  • Web Application Firewall - ein Dienst zum Schutz vor gezielten Angriffen wie XSS oder SQL Injection
  • Globale Whitelist - Berechtigung zum Zugriff auf die Site für Suchmaschinen-Bots und Site-Vorschau-Systeme

Auf der Registerkarte Aliase können Sie Aliase für Ihre Ressource hinzufügen, z. B. domen.example.com oder example.net. Auf der Registerkarte Origins können Sie eine Liste der IP-Adressen konfigurieren, an die gefilterter Datenverkehr gesendet werden soll.

WhiteList und BlackList enthalten eine Liste von IP-Adressen. Anfragen von der „weißen Liste“ müssen immer zur Site übersprungen werden, und von der „schwarzen Liste“ ist dies immer unmöglich. Es kann für Ressourcen verwendet werden, bei denen Sie sicher sind, dass sie Ihnen gehören oder genau zu Ihren Mitbewerbern gehören.

3. Verkehrsaufschlag


Bild

Beim Markieren des Datenverkehrs wird die Active Bot Protection- Technologie verwendet . Es überprüft den Datenverkehr unter vormarkierten URLs auf „ Qualität “. Zum Beispiel wird Ihnen angeboten, ein Werbebanner zu platzieren und zu versprechen, den Verkehr über Ihren Link zu lenken. Wenn Sie auf einen Betrüger stoßen, der anstelle von echten Personen einfach die richtige Menge an Bot-Verkehr dorthin treibt und Statistiken über das Erreichen des Ergebnisses meldet, können Sie auf dieser Registerkarte sehen, wer zu Ihnen gekommen ist: Bots oder Personen. Diese Informationen können auch im Kontext eines Tages angezeigt werden.

4. Technischer Support und Hilfe


Bild

Neben Telefon, E-Mail und Telegramm kann der technische Support im Bereich Support kontaktiert werden: Erstellen Sie eine neue Anfrage, kommunizieren Sie mit Spezialisten und verfolgen Sie den Status früherer Anfragen. In der Hilfe gelangen Sie zur FAQ-Seite mit Antworten auf häufig gestellte Fragen.

Machen Sie Ihr persönliches Konto bequemer


Ihr SaaS-Service-Dashboard im Jahr 2020 sollte eine schnelle, bequeme und einfach skalierbare Webanwendung sein. Keine Kompromisse, da alle Tools dafür verfügbar sind. Basierend auf diesen Überlegungen haben wir 2019 den Service Ihres persönlichen Kontos in das moderne Angular- Framework umgeschrieben .

Dies ist eines der wichtigsten Tools zum Erstellen von SPA-Anwendungen (Single Page Application). SPA ist eine Architektur, mit der Sie Informationen „unsichtbar“ aktualisieren und dem Benutzer hinzufügen können: Er muss die Seite nicht aktualisieren, um beispielsweise einen neuen Status oder eine neue Verbindung eines neuen Dienstes anzuzeigen. Aus technischer Sicht wird die Seite einmal geladen und aktualisiert den Inhalt dann dynamisch in Abhängigkeit von Benutzeraktionen oder Skripten. Auf der Registerkarte "Dashboard" werden beispielsweise das Diagramm und die Statistiken zu Anforderungen in Echtzeit aktualisiert, ohne dass die Seite neu geladen werden muss. Dasselbe passiert, wenn Sie zu anderen Seiten der Site gehen: Nur der erforderliche Teil der Seite wird aktualisiert. Dieser Ansatz hilft, Daten schneller abzurufen und die Belastung des Servers zu verringern.

In diesem Jahr haben wir mehrere wichtige Updates für Ihr Konto geplant. Alle Updates führen zu einer Sache: transparente und flexible Verwaltung des Verkehrsfilterdienstes. Transparent bedeutet, maximale Details zu Berichten bis hin zu einzelnen Anforderungen zu erhalten. Flexible Verwaltung - Um beispielsweise alle Verkehrsbedingungen zu konfigurieren, schließen Sie bestimmte URLs aus oder lassen Sie Anforderungen für den Ursprungsverkehr bis zu einem bestimmten Grenzwert zu.

Ergebnisse


Die Hauptschlussfolgerung ist recht einfach und nicht originell: SaaS-Dienste sollten die Qualität und Funktionalität Ihres persönlichen Kontos so schnell wie möglich verbessern, da dies einen Impuls für die Entwicklung des SaaS-Dienstes selbst gibt. Nachdem wir beispielsweise die Funktionen unseres persönlichen Kontos umgeschrieben und erweitert hatten, nutzten dreimal mehr Kunden es. Darüber hinaus verbinden sie häufig zusätzliche Dienste, da dies schnell und bequem ist.

Das zweite ist, dass moderne UI-Frameworks (React, Angular, Vie) einfach implementiert und skaliert werden können. Zu Beginn wird es höchstwahrscheinlich einen bestimmten MVP geben, um Feedback von den ersten Kunden zu erhalten. Es ist wichtig, dass Sie, sobald der Entwicklungsplan sichtbar ist, sofort alles „klug“ von Grund auf neu machen.

Und schließlich müssen Sie ständig Feedback erhalten und Prioritäten setzen: Fügen Sie zunächst Funktionen hinzu, die gefragt sind und nicht während der Entwicklung der Roadmap erfunden wurden. Eine einfache Sache, die jedoch auf der Entwicklungsseite nicht immer offensichtlich ist.

In unserem Unternehmen können wir durch eine ständige Erweiterung der Funktionalität den technischen Support entlasten. Es macht den Kunden auch klar, dass wir nicht still stehen.

More articles:


All Articles