Get best of the week

Kami sedang membangun akun pribadi untuk layanan SaaS untuk keamanan

gambar

Di era perkembangan SaaS yang pesat, kurangnya akun pribadi untuk layanan cloud sudah dianggap tidak senonoh. Tetapi ada alasan penting lain untuk layanan perlindungan bot dan ancaman cyber lainnya: mereka tidak terlihat seperti layanan populer seperti penyimpanan cloud (seperti Azure, AWS), penyewaan server virtual (DigitalOcean) atau sistem kontrol versi (GitHub, Gitlab) untuk itu alasan mengapa pelanggan di sini sering sulit memahami mengapa mereka membayar uang. Hanya statistik canggih dan grafik visual yang dapat dengan jelas menjawab pertanyaan ini. Karena itu, proses pembuatan akun pribadi di Variti memiliki karakteristiknya sendiri.

Mengapa saya memerlukan akun pribadi untuk pengguna solusi anti-bot?

Transparansi kerja


Ketika kami meluncurkan Variti, kami ingin menjadikan layanan sesederhana dan mudah dimengerti oleh pengguna. Tujuan kami adalah untuk menciptakan sesuatu yang lebih seperti aplikasi berlangganan konsumen daripada antarmuka pengguna produk yang kuat seperti Azure, karena pelanggan sering tidak peduli bagaimana perlindungan bekerja secara teknis. Adalah penting bahwa ia bekerja, dan biaya perlindungan menutupi kemungkinan kerugian karena ketidakhadirannya.

Dengan kata lain, statistik transparan harus tersedia untuk klien, yang dengannya Anda dapat memverifikasi semua ini.

Dukungan Teknis Bongkar


Layanan keamanan kami memiliki banyak pengaturan dan opsi. Misalnya, menambahkan domain keamanan, mengedit daftar putih, mengaktifkan penyaringan di tingkat L7, integrasi CDN, menambahkan dukungan untuk TLS 1.3, dan banyak lagi.

Beberapa pengaturan sederhana dapat diaktifkan dengan sakelar sakelar Hidup / Mati biasa, misalnya, pengalihan otomatis dari "subdomain www" ke domain utama (www.example.com -> example.com). Beberapa dengan bantuan bot Telegram kami, yang baru-baru ini kami tulis.. Tetapi pengaturan yang lebih rumit memerlukan lebih banyak tindakan dari klien dan dukungan teknis. Misalnya, kami memiliki Bot Mitigation - opsi penyaringan konstan, yang terus-menerus memblokir semua bot yang akan mengetuk sumber daya yang dilindungi. Tetapi ada beberapa nuansa di sini, karena tidak semua bot buruk. Misalnya, klien mungkin memiliki bot "putih" mereka sendiri (untuk sinkronisasi basis data, pengaturan dengan Telegram Bot, robot pencarian, dll.) Semua skenario seperti itu harus didiskusikan dengan klien sehingga mereka tidak secara tidak sengaja mengganggu proses bisnis.

Pada prinsipnya, semua masalah ini dapat segera diselesaikan dengan bantuan dukungan teknis. Tetapi sumber dayanya terbatas, dan dalam hal pengaturan yang rumit, ketika kecepatan penting, dia mungkin tidak punya waktu untuk menyelesaikan semua masalah dengan cepat.

Misalnya, bayangkan bahwa peretas meluncurkan serangan botnet dengan tujuan mengurai. Pelanggan melihat pertumbuhan permintaan pada grafik dan saat ini mereka meminta untuk mengaktifkan perlindungan terhadap bot (Mitigasi Bot). Kami menjelaskan di atas mengapa opsi ini dapat memakan waktu. Sementara itu, klien lain perlu mengaktifkan pengaturan sederhana atau mendapatkan statistik permintaan untuk periode tertentu.

Karena itu, kami memungkinkan untuk menghubungkan sebanyak mungkin opsi dan pengaturan di akun Anda dan terus menambahkannya. Misalnya, baru-baru ini di LC ada kesempatan untuk menghidupkan dan mematikan mode balancing dengan pengguna mengikat ke server (Service Iphash).

Tab utama


Jadi, inilah yang kami miliki di akun Anda.

1. Dasbor


gambar

Berikut adalah daftar sumber daya klien. Untuk masing-masing dari mereka, 7 tab dengan statistik terperinci tersedia. Berikut ini yang paling populer:

Permintaan Analisis - informasi terperinci tentang permintaan sumber daya. Menampilkan peserta dalam alur permintaan:

  • manusia - permintaan dari pengguna;
  • bot bagus - permintaan dari mesin pencari atau pengirim pesan instan;
  • bad bot - permintaan bot yang diblokir;
  • permintaan dari "daftar putih" - permintaan dari sumber daya terverifikasi, yang ditambahkan klien secara independen.

BandWidth - berisi informasi tentang lalu lintas yang telah melewati cluster kami dan difilter. Indikator kuncinya adalah persentil ke-95 dari penggunaan lebar saluran paket, dan juga merupakan dasar untuk menghitung penagihan. Tanpa biaya tambahan, pengguna dapat melebihi bandwidth sebesar 5% dari tarif yang ditetapkan (untuk periode seluruh waktu saluran digunakan). Misalnya, jika ada ledakan lalu lintas yang langka, maka mereka diperhalus dengan cara ini, dan Anda dapat melihat gambaran yang lebih nyata tentang penggunaan lalu lintas. Dalam sebulan, bandwidth yang digunakan diukur pada interval tertentu, misalnya, setiap 1 menit sekali. Kemudian, pada akhir bulan, kurangi 5% dari nilai maksimum, yaitu, ledakan lalu lintas. Dari 95% sisanya, jumlah maksimum dipilih, yang digunakan untuk menghitung pembayaran.

Respons Waktu dan Kode Respons - indikator ini menunjukkan distribusi waktu dan distribusi kode respons dari server sumber daya klien. Informasi ini digunakan untuk menentukan momen "degradasi" kinerja situs.

Request Geography - statistik distribusi geografis permintaan yang masuk. Misalnya, jika klien menyediakan layanan hanya untuk Rusia, dan sekelompok permintaan datang dari Brasil, maka sangat mungkin untuk berbicara tentang serangan bot.

2. Layanan


gambar

Di bagian ini, Anda dapat mengkonfigurasi layanan sendiri.

Misalnya, tab pertama menampilkan opsi pemfilteran lalu lintas utama. Inilah yang paling menarik dari mereka:

  • Mitigasi Bot - pemfilteran berkelanjutan atas permintaan sumber daya otomatis tidak sah
  • Web Application Firewall - layanan untuk melindungi terhadap serangan yang ditargetkan seperti XSS atau injeksi SQL
  • Daftar Putih Global - izin untuk mengakses situs untuk bot mesin pencari dan sistem pratinjau situs

Tab Alias memungkinkan Anda untuk menambahkan alias untuk sumber daya Anda, misalnya, domen.example.com atau example.net. Pada tab Origins, Anda dapat mengonfigurasi daftar alamat IP tempat lalu lintas yang difilter harus dikirim.

WhiteList dan BlackList berisi daftar alamat IP. Permintaan dari "daftar putih" harus selalu dilewati ke situs, dan dari "daftar hitam" itu selalu mustahil. Ini dapat digunakan untuk sumber daya di mana Anda yakin bahwa itu adalah milik Anda atau justru milik pesaing Anda.

3. Markup lalu lintas


gambar

Saat menandai lalu lintas, teknologi Active Bot Protection digunakan . Ini memeriksa lalu lintas untuk " kualitas " di URL yang ditandai sebelumnya. Misalnya, Anda ditawari memasang spanduk iklan dan berjanji untuk mengarahkan lalu lintas melalui tautan Anda. Jika Anda menjumpai penipu yang, alih-alih orang sungguhan, cukup menggerakkan jumlah lalu lintas bot yang tepat di sana dan melaporkan statistik pencapaian hasil, maka di tab ini Anda dapat melihat siapa yang mendatangi Anda: bot atau orang. Juga, informasi ini dapat dilihat dalam konteks satu hari.

4. Dukungan Teknis dan Pusat Bantuan


gambar

Selain telepon, email dan Telegram, dukungan teknis dapat dihubungi di bagian Dukungan: membuat permintaan baru, berkomunikasi dengan spesialis dan melacak status permintaan sebelumnya. Pusat Bantuan membawa Anda ke halaman FAQ dengan jawaban untuk pertanyaan umum.

Membuat akun pribadi Anda lebih nyaman


Dasbor layanan SaaS Anda pada tahun 2020 harus menjadi aplikasi web yang cepat, nyaman dan mudah diskalakan. Tidak ada kompromi, karena semua alat untuk ini tersedia. Berdasarkan pertimbangan ini, pada tahun 2019, kami menulis ulang layanan akun pribadi Anda ke kerangka Angular modern .

Ini adalah salah satu alat teratas untuk membuat aplikasi SPA (Aplikasi Halaman Tunggal). SPA adalah arsitektur yang memungkinkan Anda memperbarui dan menambahkan informasi “tanpa terlihat” kepada pengguna: ia tidak perlu menyegarkan halaman untuk melihat, misalnya, status baru atau koneksi layanan baru. Dari sudut pandang teknis, halaman dimuat sekali, dan kemudian secara dinamis memperbarui konten tergantung pada tindakan pengguna atau skrip. Misalnya, pada tab Dasbor, grafik dan statistik permintaan diperbarui secara real time tanpa memuat ulang halaman. Hal yang sama terjadi ketika Anda pergi ke halaman lain dari situs: hanya bagian yang diperlukan dari halaman diperbarui. Pendekatan ini membantu untuk mendapatkan data lebih cepat dan mengurangi beban di server.

Tahun ini kami telah merencanakan beberapa pembaruan besar di akun Anda. Semua pembaruan mengarah pada satu hal: pengelolaan layanan penyaringan lalu lintas yang transparan dan fleksibel. Transparan berarti mendapatkan detail maksimum pada laporan, hingga satu permintaan. Manajemen fleksibel - untuk mengonfigurasi kondisi lalu lintas apa pun, misalnya, mengecualikan URL tertentu atau mengizinkan permintaan lalu lintas asal ke batas tertentu.

temuan


Kesimpulan utama cukup sederhana dan tidak orisinal: layanan SaaS harus meningkatkan kualitas dan fungsionalitas akun pribadi Anda sesegera mungkin, karena ini memberikan dorongan untuk pengembangan layanan SaaS itu sendiri. Misalnya, setelah kami menulis ulang dan memperluas fungsi akun pribadi kami, tiga kali lebih banyak pelanggan mulai menggunakannya. Selain itu, mereka sering menghubungkan layanan tambahan, karena cepat dan nyaman.

Yang kedua adalah bahwa kerangka UI modern (React, Angular, Vie) dapat dengan mudah diimplementasikan dan ditingkatkan. Pada awalnya, kemungkinan besar, akan ada MVP tertentu untuk menerima umpan balik dari pelanggan pertama. Adalah penting bahwa segera setelah rencana pengembangan terlihat, Anda harus segera melakukan semuanya "dengan bijak" dari awal.

Dan akhirnya, Anda harus terus menerima umpan balik dan memprioritaskan: pertama-tama, tambahkan fungsi yang dibutuhkan, dan bukan yang ditemukan selama pengembangan roadmap. Suatu hal yang sederhana, yang, bagaimanapun, tidak selalu jelas di sisi pengembangan.

Di perusahaan kami, perluasan fungsionalitas yang konstan memungkinkan kami untuk mendinginkan beban pada dukungan teknis. Ini juga menjelaskan kepada pelanggan bahwa kita tidak tinggal diam.

More articles:


All Articles