Get best of the week

Estamos criando uma conta pessoal para o serviço SaaS de segurança

imagem

Na era do rápido desenvolvimento do SaaS, a falta de uma conta pessoal para um serviço em nuvem já é considerada simplesmente indecente. Mas há outro motivo importante para os serviços de proteção contra bots e outras ameaças cibernéticas: eles não se parecem com serviços populares como armazenamento em nuvem (como Azure, AWS), aluguel de servidor virtual (DigitalOcean) ou sistema de controle de versão (GitHub, Gitlab). o motivo pelo qual os clientes aqui geralmente são difíceis de entender por que pagam. Somente estatísticas avançadas e gráficos visuais podem responder claramente a essa pergunta. Portanto, o processo de criação de uma conta pessoal no Variti tinha características próprias.

Por que preciso de uma conta pessoal para um usuário da solução anti-bot?

Transparência no trabalho


Quando lançamos a Variti, queríamos tornar o serviço o mais simples e compreensível possível para o usuário. Nosso objetivo era criar algo mais parecido com um aplicativo de assinatura do consumidor do que com a interface do usuário de um produto poderoso como o Azure, porque os clientes geralmente não se importam com o funcionamento técnico da proteção. É importante que funcione, e os custos de proteção cobrem possíveis perdas por sua ausência.

Em outras palavras, estatísticas transparentes devem estar disponíveis para o cliente, de acordo com as quais você pode verificar tudo isso.

Descarga do Suporte Técnico


Nosso serviço de segurança tem muitas configurações e opções. Por exemplo, adicionando domínios de segurança, editando listas de permissões, permitindo a filtragem no nível L7, integração com CDN, adicionando suporte ao TLS 1.3 e muito mais.

Algumas configurações simples podem ser alteradas com a chave de alternância On / Off usual, por exemplo, redirecionamento automático do "subdomínio www" para o domínio principal (www.example.com -> example.com). Alguns com a ajuda do nosso bot Telegram, sobre o qual escrevemos recentemente.. Porém, configurações mais complicadas exigem mais ação do cliente e suporte técnico. Por exemplo, temos a Mitigação de Bot - a opção de filtragem constante, que constantemente bloqueia todos os bots que baterão no recurso protegido. Mas existem algumas nuances aqui, porque nem todos os bots são ruins. Por exemplo, os clientes podem ter seus próprios bots "brancos" (para sincronização do banco de dados, configurações com o Telegram Bot, robôs de pesquisa etc.) Todos esses cenários devem ser discutidos com o cliente para que eles não interrompam inadvertidamente os processos de negócios.

Em princípio, todos esses problemas podem ser resolvidos imediatamente com a ajuda do suporte técnico. Mas seus recursos são finitos e, no caso de configurações complexas, quando a velocidade importa, ela pode não ter tempo para resolver todos os problemas rapidamente.

Por exemplo, imagine que hackers lançaram um ataque de botnet com o objetivo de analisar. Os clientes veem o crescimento de solicitações nos gráficos e, neste momento, solicitam a proteção contra bots (atenuação de bots). Descrevemos acima por que essa opção pode consumir tempo. Enquanto isso, outro cliente precisava ativar uma configuração simples ou obter estatísticas sobre solicitações por um determinado período.

Portanto, tornamos possível conectar o maior número possível de opções e configurações em sua conta e continuar a adicioná-las. Por exemplo, recentemente na LC, houve uma oportunidade de ativar e desativar o modo de balanceamento com a ligação do usuário ao servidor (Serviço Iphash).

Guias principais


Então, aqui está o que temos em sua conta.

1. Painel


imagem

Aqui está uma lista de recursos do cliente. Para cada um deles, 7 guias com estatísticas detalhadas estão disponíveis. Aqui estão os mais populares deles:

Request Analytics - informações detalhadas sobre solicitações de recursos. Exibe os participantes no fluxo de solicitação:

  • humanos - solicitações de usuários;
  • bons robôs - solicitações de mecanismos de pesquisa ou mensagens instantâneas;
  • bots ruins - solicitações de bot bloqueadas;
  • pedidos da "lista branca" - pedidos de recursos verificados, que o cliente adiciona independentemente.

Largura de banda - contém informações sobre o tráfego que já passou em nossos clusters e é filtrado. O indicador principal é o percentil 95 da utilização da largura do canal de pacotes e também é a base para o cálculo do faturamento. Sem custo adicional, o usuário pode exceder a largura de banda em 5% da taxa definida (durante todo o período em que o canal for usado). Por exemplo, se houver raros surtos de tráfego, eles serão suavizados dessa maneira e você poderá ver uma imagem mais real do uso do tráfego. Dentro de um mês, a largura de banda usada é medida em um determinado intervalo, por exemplo, uma vez a cada 1 minuto. Em seguida, no final do mês, subtraia 5% dos valores máximos, ou seja, rajadas de tráfego. Dos 95% restantes, o número máximo é selecionado, usado para calcular o pagamento.

Tempos de respostas e códigos de respostas - esses indicadores mostram a distribuição do tempo e a distribuição dos códigos de resposta do servidor de recursos do cliente. Essas informações são usadas para determinar o momento de "degradação" do desempenho do site.

Geografia da solicitação - estatísticas sobre a distribuição geográfica das solicitações recebidas. Por exemplo, se um cliente fornece serviços apenas para a Rússia e um grupo de solicitações veio do Brasil, é muito provável que se fale sobre um ataque de bot.

2. Serviços


imagem

Nesta seção, você pode configurar os serviços por conta própria.

Por exemplo, a primeira guia exibe as principais opções de filtragem de tráfego. Aqui estão os mais interessantes deles:

  • Mitigação de bot - filtragem contínua de solicitações automatizadas ilegítimas de recursos
  • Web Application Firewall - um serviço para proteção contra ataques direcionados, como injeção de XSS ou SQL
  • Lista de permissões global - permissão para acessar o site para bots de mecanismos de pesquisa e sistemas de visualização de sites

A guia Aliases permite adicionar aliases ao seu recurso, por exemplo, domen.example.com ou example.net. Na guia Origens, você pode configurar uma lista de endereços IP para os quais o tráfego filtrado deve ser enviado.

WhiteList e BlackList contêm uma lista de endereços IP. As solicitações da "lista branca" sempre devem ser puladas para o site, e da "lista negra" é sempre impossível. Pode ser usado para recursos nos quais você tem certeza de que eles são seus ou pertencem exatamente aos seus concorrentes.

3. Marcação de tráfego


imagem

Ao marcar o tráfego, a tecnologia Active Bot Protection é usada . Ele verifica a qualidade do tráfego em URLs pré-marcados. Por exemplo, você pode colocar um banner de publicidade e prometer direcionar tráfego através do seu link. Se você se deparar com um scammer que, em vez de pessoas reais, simplesmente direciona a quantidade necessária de tráfego de bots para lá e relata estatísticas sobre a conquista do resultado, nessa guia, você pode ver quem veio até você: bots ou pessoas. Além disso, essas informações podem ser visualizadas no contexto de um dia.

4. Centro de Suporte Técnico e Ajuda


imagem

Além de telefone, email e telegrama, o suporte técnico pode ser contatado na seção Suporte: crie uma nova solicitação, comunique-se com especialistas e acompanhe o status das solicitações anteriores. A Central de Ajuda leva você à página de Perguntas frequentes com respostas a perguntas frequentes.

Tornando sua conta pessoal mais conveniente


Seu painel de serviço SaaS em 2020 deve ser um aplicativo da Web rápido, conveniente e facilmente escalável. Sem compromissos, porque todas as ferramentas para isso estão disponíveis. Com base nessas considerações, em 2019, reescrevemos o serviço de sua conta pessoal na estrutura Angular moderna .

Essa é uma das principais ferramentas para criar aplicativos SPA (aplicativo de página única). SPA é uma arquitetura que permite atualizar e adicionar informações "invisivelmente" ao usuário: ele não precisa atualizar a página para ver, por exemplo, um novo status ou conexão de um novo serviço. Do ponto de vista técnico, a página é carregada uma vez e atualiza dinamicamente o conteúdo, dependendo das ações ou scripts do usuário. Por exemplo, na guia Painel, o gráfico e as estatísticas das solicitações são atualizados em tempo real sem recarregar a página. O mesmo acontece quando você acessa outras páginas do site: somente a parte necessária da página é atualizada. Essa abordagem ajuda a obter dados mais rapidamente e a reduzir a carga no servidor.

Este ano, planejamos várias atualizações importantes em sua conta. Todas as atualizações levam a uma coisa: gerenciamento transparente e flexível do serviço de filtragem de tráfego. Transparente significa obter o máximo de detalhes nos relatórios, até solicitações únicas. Gerenciamento flexível - para configurar quaisquer condições de tráfego, por exemplo, excluir URLs específicos ou permitir solicitações de tráfego de origem até um limite específico.

achados


A principal conclusão é bastante simples e não original: os serviços SaaS devem melhorar a qualidade e a funcionalidade da sua conta pessoal o mais rápido possível, pois isso impulsiona o desenvolvimento do próprio serviço SaaS. Por exemplo, depois que reescrevemos e expandimos as funções de nossa conta pessoal, três vezes mais clientes começaram a usá-la. Além disso, eles costumam conectar serviços adicionais, porque é rápido e conveniente.

A segunda é que as estruturas modernas de interface do usuário (React, Angular, Vie) podem ser facilmente implementadas e dimensionadas. No início, provavelmente, haverá um certo MVP para receber feedback dos primeiros clientes. É importante que, assim que o plano de desenvolvimento estiver visível, você faça imediatamente tudo "sabiamente" do zero.

E, finalmente, você precisa constantemente receber feedback e priorizar: em primeiro lugar, adicione funções que são procuradas e não que foram inventadas durante o desenvolvimento do roteiro. Uma coisa simples, que, no entanto, nem sempre é óbvia no lado do desenvolvimento.

Em nossa empresa, uma constante expansão da funcionalidade nos permite esfriar a carga no suporte técnico. Também deixa claro para os clientes que não estamos parados.

More articles:


All Articles