Get best of the week

Nous créons un compte personnel pour le service SaaS pour la sécurité

image

À l'ère du développement rapide du SaaS, l'absence de compte personnel pour un service cloud est déjà considérée comme simplement indécente. Mais il existe une autre raison importante pour les services de protection contre les robots et les autres cybermenaces: ils ne ressemblent pas à des services populaires tels que le stockage en nuage (comme Azure, AWS), la location de serveurs virtuels (DigitalOcean) ou le système de contrôle de version (GitHub, Gitlab) pour cela. la raison pour laquelle les clients ici sont souvent difficiles à comprendre pourquoi ils paient de l'argent. Seuls des statistiques avancées et des graphiques visuels peuvent répondre clairement à cette question. Par conséquent, le processus de création d'un compte personnel à Variti avait ses propres caractéristiques.

Pourquoi ai-je besoin d'un compte personnel pour un utilisateur de la solution anti-bot?

Transparence du travail


Lorsque nous avons lancé Variti, nous voulions rendre le service aussi simple et compréhensible pour l'utilisateur que possible. Notre objectif était de créer quelque chose de plus comme une application d'abonnement client qu'une interface utilisateur d'un produit puissant comme Azure, car les clients se moquent souvent du fonctionnement technique de la protection. Il est important que cela fonctionne, et les coûts de protection couvrent les pertes possibles de son absence.

En d'autres termes, des statistiques transparentes doivent être disponibles pour le client, selon lesquelles vous pouvez vérifier tout cela.

Déchargement du support technique


Notre service de sécurité dispose de nombreux paramètres et options. Par exemple, l'ajout de domaines de sécurité, la modification de listes blanches, l'activation du filtrage au niveau L7, l'intégration CDN, l'ajout de la prise en charge de TLS 1.3, et bien plus encore.

Certains paramètres simples peuvent être commutés avec l'interrupteur à bascule On / Off habituel, par exemple, la redirection automatique du «sous-domaine www» vers le domaine principal (www.example.com -> example.com). Certains avec l'aide de notre robot Telegram, dont nous avons récemment parlé.. Mais des paramètres plus compliqués nécessitent plus d'action de la part du client et du support technique. Par exemple, nous avons Bot Mitigation - l'option de filtrage constant, qui bloque constamment tous les bots qui vont frapper sur la ressource protégée. Mais il y a quelques nuances ici, car tous les bots ne sont pas mauvais. Par exemple, les clients peuvent avoir leurs propres robots «blancs» (pour la synchronisation de la base de données, les paramètres avec Telegram Bot, les robots de recherche, etc.) Tous ces scénarios doivent être discutés avec le client afin de ne pas perturber par inadvertance les processus métier.

En principe, tous ces problèmes peuvent être résolus immédiatement avec l'aide du support technique. Mais ses ressources sont limitées et, dans le cas de paramètres complexes, lorsque la vitesse compte, elle peut ne pas avoir le temps de résoudre tous les problèmes à la volée.

Par exemple, imaginez que des pirates informatiques ont lancé une attaque de botnet dans le but d'analyser. Les clients voient la croissance des demandes sur les graphiques et à ce moment ils demandent d'activer la protection contre les bots (Bot Mitigation). Nous avons décrit ci-dessus pourquoi cette option peut prendre du temps. Pendant ce temps, un autre client devait activer une configuration simple ou obtenir des statistiques sur les demandes pour une certaine période.

Par conséquent, nous avons permis de connecter autant d'options et de paramètres que possible dans votre compte et de continuer à les ajouter. Par exemple, récemment dans LC, il était possible d'activer et de désactiver le mode d'équilibrage avec la liaison de l'utilisateur au serveur (Service Iphash).

Onglets principaux


Voici donc ce que nous avons sur votre compte.

1. Tableau de bord


image

Voici une liste de ressources client. Pour chacun d'eux, 7 onglets avec des statistiques détaillées sont disponibles. Voici les plus populaires d'entre eux:

Request Analytics - informations détaillées sur les demandes de ressources. Affiche les participants dans le flux de demandes:

  • humains - demandes des utilisateurs;
  • bons robots - demandes des moteurs de recherche ou des messageries instantanées;
  • mauvais bots - demandes de bots bloquées;
  • demandes de la «liste blanche» - demandes de ressources vérifiées, que le client ajoute indépendamment.

BandWidth - contient des informations sur le trafic qui a déjà passé nos clusters et est filtré. L'indicateur clé est le 95e centile de l'utilisation de la largeur du canal de paquets, et il sert également de base au calcul de la facturation. Sans frais supplémentaires, l'utilisateur peut dépasser la bande passante de 5% du taux défini (pour la durée totale d'utilisation du canal). Par exemple, s'il y a eu de rares rafales de trafic, elles sont lissées de cette manière et vous pouvez voir une image plus réelle de l'utilisation du trafic. En un mois, la bande passante utilisée est mesurée à un certain intervalle, par exemple une fois toutes les 1 minute. Ensuite, à la fin du mois, soustrayez 5% des valeurs maximales, c'est-à-dire des rafales de trafic. Parmi les 95% restants, le nombre maximum est sélectionné, qui est utilisé pour calculer le paiement.

Temps de réponse et codes de réponse - ces indicateurs montrent la distribution du temps et la distribution des codes de réponse du serveur de ressources client. Ces informations sont utilisées pour déterminer le moment de «dégradation» des performances du site.

Géographie des demandes - statistiques sur la répartition géographique des demandes entrantes. Par exemple, si un client fournit des services uniquement pour la Russie et qu'un groupe de demandes provient du Brésil, il est fort probable qu'il parle d'une attaque de bot.

2. Services


image

Dans cette section, vous pouvez configurer les services vous-même.

Par exemple, le premier onglet affiche les principales options de filtrage du trafic. Voici les plus intéressants d'entre eux:

  • Atténuation des bots - filtrage continu des demandes de ressources automatisées illégitimes
  • Pare - feu d'application Web - un service de protection contre les attaques ciblées telles que l'injection XSS ou SQL
  • Liste blanche globale - autorisation d'accéder au site pour les robots des moteurs de recherche et les systèmes d'aperçu du site

L'onglet Alias vous permet d'ajouter des alias pour votre ressource, par exemple domen.example.com ou example.net. Dans l'onglet Origines, vous pouvez configurer une liste d'adresses IP auxquelles le trafic filtré doit être envoyé.

WhiteList et BlackList contiennent une liste d'adresses IP. Les demandes de la "liste blanche" doivent toujours être ignorées sur le site, et de la "liste noire" c'est toujours impossible. Il peut être utilisé pour des ressources dans lesquelles vous êtes sûr qu'ils sont à vous ou appartiennent précisément à vos concurrents.

3. Balisage du trafic


image

Lors du marquage du trafic, la technologie Active Bot Protection est utilisée . Il vérifie la qualité du trafic sur les URL pré-marquées. Par exemple, on vous propose de placer une bannière publicitaire et vous promettez de générer du trafic via votre lien. Si vous rencontrez un escroc qui, au lieu de vraies personnes, y conduit simplement la bonne quantité de trafic de robots et rapporte des statistiques sur la réalisation du résultat, alors dans cet onglet, vous pouvez voir qui est venu à vous: des robots ou des personnes. De plus, ces informations peuvent être consultées dans le contexte d'une journée.

4. Support technique et centre d'aide


image

Outre le téléphone, l'e-mail et le télégramme, le support technique peut être contacté dans la section Support: créer une nouvelle demande, communiquer avec des spécialistes et suivre l'état des demandes précédentes. Le centre d'aide vous amène à la page FAQ avec des réponses aux questions fréquemment posées.

Rendre votre compte personnel plus pratique


Votre tableau de bord de service SaaS en 2020 devrait être une application Web rapide, pratique et facilement évolutive. Aucun compromis, car tous les outils pour cela sont disponibles. Sur la base de ces considérations, en 2019, nous avons réécrit le service de votre compte personnel dans le cadre angulaire moderne .

Il s'agit de l'un des meilleurs outils pour créer des applications SPA (Single Page Application). SPA est une architecture qui permet de mettre à jour et d'ajouter des informations «invisiblement» à l'utilisateur: il n'a pas besoin de rafraîchir la page pour voir, par exemple, un nouveau statut ou la connexion d'un nouveau service. D'un point de vue technique, la page est chargée une fois, puis met à jour dynamiquement le contenu en fonction des actions de l'utilisateur ou des scripts. Par exemple, dans l'onglet Tableau de bord, le graphique et les statistiques sur les demandes sont mis à jour en temps réel sans recharger la page. La même chose se produit lorsque vous accédez à d'autres pages du site: seule la partie nécessaire de la page est mise à jour. Cette approche permet d'obtenir des données plus rapidement et de réduire la charge sur le serveur.

Cette année, nous avons prévu plusieurs mises à jour majeures dans votre compte. Toutes les mises à jour mènent à une chose: une gestion transparente et flexible du service de filtrage du trafic. Transparent signifie obtenir un maximum de détails sur les rapports, jusqu'à des demandes uniques. Gestion flexible - pour configurer toutes les conditions de trafic, par exemple, exclure des URL spécifiques ou autoriser les demandes de trafic d'origine à une limite spécifique.

résultats


La conclusion principale est assez simple et non originale: les services SaaS devraient améliorer la qualité et la fonctionnalité de votre compte personnel dès que possible, car cela donne une impulsion au développement du service SaaS lui-même. Par exemple, après avoir réécrit et étendu les fonctions de notre compte personnel, trois fois plus de clients ont commencé à l'utiliser. De plus, ils connectent souvent des services supplémentaires, car c'est rapide et pratique.

La seconde est que les cadres d'interface utilisateur modernes (React, Angular, Vie) peuvent être facilement mis en œuvre et mis à l'échelle. Au début, très probablement, il y aura un certain MVP pour recevoir les commentaires des premiers clients. Il est important que dès que le plan de développement soit visible, vous devez immédiatement tout faire «à bon escient» à partir de zéro.

Et enfin, vous devez constamment recevoir des retours et prioriser: tout d'abord, ajoutez des fonctions qui sont en demande, et qui n'ont pas été inventées lors de l'élaboration de la feuille de route. Une chose simple, qui, cependant, n'est pas toujours évidente du côté du développement.

Dans notre entreprise, une extension constante des fonctionnalités nous permet de refroidir la charge du support technique. Cela montre également clairement aux clients que nous ne sommes pas immobiles.

More articles:


All Articles