Get best of the week

Estamos creando una cuenta personal para el servicio SaaS por seguridad

imagen

En la era del rápido desarrollo de SaaS, la falta de una cuenta personal para un servicio en la nube ya se considera simplemente indecente. Pero hay otra razón importante para los servicios de protección de bots y otras amenazas cibernéticas: no se parecen a servicios tan populares como el almacenamiento en la nube (como Azure, AWS), el alquiler de servidores virtuales (DigitalOcean) o el sistema de control de versiones (GitHub, Gitlab) para eso la razón por la que los clientes aquí a menudo son difíciles de entender por qué pagan dinero. Solo las estadísticas avanzadas y los gráficos visuales pueden responder claramente esta pregunta. Por lo tanto, el proceso de creación de una cuenta personal en Variti tenía sus propias características.

¿Por qué necesito una cuenta personal para un usuario de la solución anti-bot?

Transparencia laboral


Cuando lanzamos Variti, queríamos que el servicio fuera lo más simple y comprensible para el usuario posible. Nuestro objetivo era crear algo más parecido a una aplicación de suscripción al consumidor que una interfaz de usuario de un producto potente como Azure, porque a los clientes a menudo no les importa cómo funciona técnicamente la protección. Es importante que funcione, y los costos de protección cubren posibles pérdidas por su ausencia.

En otras palabras, las estadísticas transparentes deben estar disponibles para el cliente, de acuerdo con las cuales puede verificar todo esto.

Descarga de soporte técnico


Nuestro servicio de seguridad tiene muchas configuraciones y opciones. Por ejemplo, agregar dominios de seguridad, editar listas blancas, habilitar el filtrado en el nivel L7, integración CDN, agregar soporte para TLS 1.3 y mucho más.

Algunas configuraciones simples se pueden cambiar con el interruptor de encendido / apagado habitual, por ejemplo, la redirección automática del "subdominio www" al dominio principal (www.ejemplo.com -> ejemplo.com). Algunos con la ayuda de nuestro bot Telegram, sobre el que escribimos recientemente.. Pero configuraciones más complicadas requieren más acción del cliente y soporte técnico. Por ejemplo, tenemos Mitigación de Bot: la opción de filtrado constante, que bloquea constantemente todos los bots que afectarán al recurso protegido. Pero hay algunos matices aquí, porque no todos los bots son malos. Por ejemplo, los clientes pueden tener sus propios bots "blancos" (para sincronización de bases de datos, configuraciones con Telegram Bot, robots de búsqueda, etc.) Todos estos escenarios deben discutirse con el cliente para que no interrumpan inadvertidamente los procesos comerciales.

En principio, todos estos problemas pueden resolverse inmediatamente con la ayuda del soporte técnico. Pero sus recursos son limitados, y en el caso de entornos complejos, cuando la velocidad es importante, es posible que no tenga tiempo para resolver todos los problemas sobre la marcha.

Por ejemplo, imagine que los piratas informáticos lanzaron un ataque de botnet con el objetivo de analizar. Los clientes ven el crecimiento de las solicitudes en los gráficos y en este momento solicitan habilitar la protección contra bots (Mitigación de Bot). Describimos anteriormente por qué esta opción puede llevar mucho tiempo. Mientras tanto, otro cliente necesitaba activar una configuración simple u obtener estadísticas sobre las solicitudes durante un período determinado.

Por lo tanto, permitimos conectar tantas opciones y configuraciones en su cuenta como sea posible y continuar agregándolas. Por ejemplo, recientemente en LC hubo una oportunidad para activar y desactivar el modo de equilibrio con el enlace del usuario al servidor (Service Iphash).

Pestañas principales


Entonces, esto es lo que tenemos en su cuenta.

1. Tablero


imagen

Aquí hay una lista de recursos del cliente. Para cada uno de ellos, 7 pestañas con estadísticas detalladas están disponibles. Estos son los más populares:

Análisis de solicitudes : información detallada sobre solicitudes de recursos. Muestra a los participantes en el flujo de solicitud:

  • humanos: solicitudes de los usuarios;
  • buenos bots: solicitudes de motores de búsqueda o mensajeros instantáneos;
  • bots defectuosos: solicitudes de bot bloqueadas;
  • solicitudes de la "lista blanca": solicitudes de recursos verificados, que el cliente agrega de forma independiente.

Ancho de banda : contiene información sobre el tráfico que ya pasó nuestros clústeres y se filtra. El indicador clave es el percentil 95 del uso del ancho del canal de paquetes, y también es la base para calcular la facturación. Sin costo adicional, el usuario puede exceder el ancho de banda en un 5% de la tasa establecida (durante el período de tiempo completo que se utiliza el canal). Por ejemplo, si hubo ráfagas de tráfico raras, entonces se suavizan de esta manera, y puede ver una imagen más real del uso del tráfico. Dentro de un mes, el ancho de banda utilizado se mide en un intervalo determinado, por ejemplo, una vez cada 1 minuto. Luego, al final del mes, reste el 5% de los valores máximos, es decir, ráfagas de tráfico. Del 95% restante, se selecciona el número máximo, que se utiliza para calcular el pago.

Tiempos de respuestas y códigos de respuestas : estos indicadores muestran la distribución del tiempo y la distribución de los códigos de respuesta del servidor de recursos del cliente. Esta información se utiliza para determinar el momento de "degradación" del rendimiento del sitio.

Geografía de solicitud : estadísticas sobre la distribución geográfica de las solicitudes entrantes. Por ejemplo, si un cliente proporciona servicios solo para Rusia, y un grupo de solicitudes provino de Brasil, es muy probable que hable sobre un ataque de bot.

2. Servicios


imagen

En esta sección, puede configurar los servicios usted mismo.

Por ejemplo, la primera pestaña muestra las principales opciones de filtrado de tráfico. Aquí están los más interesantes de ellos:

  • Mitigación de bot : filtrado continuo de solicitudes de recursos automatizadas ilegítimas
  • Servidor de seguridad de aplicaciones web : un servicio para proteger contra ataques dirigidos como XSS o inyección SQL
  • Lista blanca global : permiso para acceder al sitio para bots de motores de búsqueda y sistemas de vista previa del sitio

El Alias pestaña le permite añadir alias para su recurso, por ejemplo, domen.example.com o example.net. En la pestaña Orígenes, puede configurar una lista de direcciones IP a las que se debe enviar el tráfico filtrado.

WhiteList y BlackList contienen una lista de direcciones IP. Las solicitudes de la "lista blanca" siempre deben saltarse al sitio, y desde la "lista negra" siempre es imposible. Se puede usar para recursos en los que está seguro de que son suyos o que pertenecen precisamente a sus competidores.

3. Marcado de tráfico


imagen

Al marcar el tráfico, se utiliza la tecnología Active Bot Protection . Comprueba el tráfico de " calidad " en las URL premarcadas. Por ejemplo, se le ofrece colocar un banner publicitario y prometer generar tráfico a través de su enlace. Si se encuentra con un estafador que, en lugar de personas reales, simplemente conduce la cantidad correcta de tráfico de bots allí e informa estadísticas sobre el logro del resultado, entonces en esta pestaña puede ver quién vino a usted: bots o personas. Además, esta información se puede ver en el contexto de un día.

4. Soporte técnico y centro de ayuda


imagen

Además del teléfono, el correo electrónico y Telegram, se puede contactar al soporte técnico en la sección Soporte: cree una nueva solicitud, comuníquese con especialistas y realice un seguimiento del estado de las solicitudes anteriores. El Centro de ayuda lo lleva a la página de preguntas frecuentes con respuestas a las preguntas frecuentes.

Hacer su cuenta personal más conveniente


Su panel de servicio SaaS en 2020 debe ser una aplicación web rápida, conveniente y fácilmente escalable. Sin compromisos, porque todas las herramientas para esto están disponibles. En base a estas consideraciones, en 2019, reescribimos el servicio de su cuenta personal al marco angular moderno .

Esta es una de las principales herramientas para crear aplicaciones SPA (Aplicación de página única). SPA es una arquitectura que le permite actualizar y agregar información "invisible" al usuario: no necesita actualizar la página para ver, por ejemplo, un nuevo estado o conexión de un nuevo servicio. Desde un punto de vista técnico, la página se carga una vez y luego actualiza dinámicamente el contenido en función de las acciones o secuencias de comandos del usuario. Por ejemplo, en la pestaña Panel, el gráfico y las estadísticas de las solicitudes se actualizan en tiempo real sin volver a cargar la página. Lo mismo sucede cuando va a otras páginas del sitio: solo se actualiza la parte necesaria de la página. Este enfoque ayuda a obtener datos más rápido y a reducir la carga en el servidor.

Este año hemos planeado varias actualizaciones importantes en su cuenta. Todas las actualizaciones conducen a una cosa: gestión transparente y flexible del servicio de filtrado de tráfico. Transparente significa obtener los máximos detalles en los informes, hasta solicitudes individuales. Gestión flexible: para configurar cualquier condición de tráfico, por ejemplo, excluir URL específicas o permitir solicitudes de tráfico de origen a un límite específico.

recomendaciones


La conclusión principal es bastante simple y no original: los servicios SaaS deberían mejorar la calidad y la funcionalidad de su cuenta personal lo antes posible, ya que esto da un impulso al desarrollo del servicio SaaS en sí. Por ejemplo, después de que reescribimos y ampliamos las funciones de nuestra cuenta personal, tres veces más clientes comenzaron a usarla. Además, a menudo conectan servicios adicionales, porque es rápido y conveniente.

El segundo es que los marcos de interfaz de usuario modernos (React, Angular, Vie) se pueden implementar y escalar fácilmente. Al principio, lo más probable es que haya un determinado MVP para recibir comentarios de los primeros clientes. Es importante que tan pronto como el plan de desarrollo sea visible, debe hacer todo "sabiamente" desde cero.

Y, por último, debe recibir constantemente comentarios y prioridades: en primer lugar, agregue funciones que se soliciten y que no se inventaron durante el desarrollo de la hoja de ruta. Una cosa simple, que, sin embargo, no siempre es obvia en el lado del desarrollo.

En nuestra empresa, una expansión constante de la funcionalidad nos permite enfriar la carga del soporte técnico. También deja en claro a los clientes que no estamos quietos.

More articles:


All Articles