Get best of the week

我们正在为SaaS服务建立个人帐户以提高安全性

图片

在SaaS快速发展的时代,缺乏云服务的个人帐户已经被认为是不雅的。但是,机器人保护服务和其他网络威胁的另一个重要原因是:它们看起来不像云存储(如Azure,AWS),虚拟服务器租赁(DigitalOcean)或版本控制系统(GitHub,Gitlab)之类的流行服务。这里的客户通常很难理解为什么要为此付费。只有高级统计信息和可视图形才能清楚地回答这个问题。因此,在Variti中创建个人帐户的过程具有其自身的特征。

为什么我需要反机器人解决方案用户的个人帐户?

工作透明


当我们启动Variti时,我们希望使服务对用户来说尽可能简单易懂。我们的目标是创建一个类似于消费者订阅应用程序的产品,而不是像Azure这样的功能强大的产品的用户界面,因为客户通常不在乎保护技术如何工作。它的工作很重要,保护成本应弥补因缺少保护而可能造成的损失。

换句话说,透明的统计信息应可供客户端使用,据此可以验证所有这些信息。

技术支持卸载


我们的安全服务具有许多设置和选项。例如,添加安全域,编辑白名单,启用L7级别的过滤,CDN集成,添加对TLS 1.3的支持等等。

可以使用通常的“开/关”切换开关来切换一些简单的设置,例如,从“ www子域”到主域的自动重定向(www.example.com-> example.com)。一些是在我们最近写过的 Telegram机器人的帮助下进行的。但是更复杂的设置需要客户和技术支持采取更多的措施。例如,我们提供了Bot Mitigation(Bot缓解)-持续过滤选项,它会不断阻止所有会触发受保护资源的漫游器。但是这里有些细微差别,因为并不是所有的机器人都是坏的。例如,客户可能拥有自己的“白色”机器人(用于数据库同步,使用Telegram Bot进行设置,搜索机器人等)。所有此类方案都必须与客户进行讨论,以免他们无意间破坏业务流程。

原则上,所有这些问题都可以在技术支持的帮助下立即解决。但是她的资源是有限的,在复杂的情况下,当速度很重要时,她可能没有时间即时解决所有问题。

例如,假设黑客发起了旨在解析的僵尸网络攻击。客户在图表上看到请求的增长,此时他们要求启用针对机器人的保护(Bot Mitigation)。上面我们描述了为什么此选项可能很耗时。同时,另一个客户端需要打开一个简单的设置或获取特定期间内请求的统计信息。

因此,我们可以在您的帐户中连接尽可能多的选项和设置,并继续添加它们。例如,最近在LC中,有机会通过用户绑定到服务器(服务Iphash)来打开和关闭平衡模式。

主要标签


因此,这就是我们在您帐户中所拥有的。

1.资讯主页


图片

这是客户端资源的列表。对于每个选项,都提供7个带有详细统计信息的选项卡。以下是其中最受欢迎的内容:

请求分析-有关资源请求的详细信息。显示请求流中的参与者:

  • 人类-用户的要求;
  • 好的机器人-来自搜索引擎或即时通讯程序的请求;
  • 错误的漫游器-阻止漫游器请求;
  • 来自“白名单”的请求-来自验证资源的请求,客户端独立添加。

带宽 -包含有关已通过我们的集群并经过过滤的流量的信息。关键指标是分组信道宽度使用率的第95个百分点,它也是计算计费的基础。用户可以免费使用带宽,超出带宽设置的速率的5%(在整个通道使用期间)。例如,如果有罕见的流量突发,则可以通过这种方式对其进行平滑处理,从而可以看到更真实的流量使用情况。在一个月之内,以一定间隔(例如,每1分钟一次)测量使用的带宽。然后,在月底,减去最大值的5%,即流量爆发。从剩余的95%中选择最大数量,该最大数量用于计算付款。

响应时间和响应代码 -这些指示器显示时间分布和客户端资源服务器的响应代码分布。此信息用于确定站点性能“下降”的时刻。

请求地理位置 -有关传入请求的地理分布的统计信息。例如,如果客户仅向俄罗斯提供服务,而巴西发出了一组请求,那么很有可能谈论机器人攻击。

2.服务


图片

在本部分中,您可以自己配置服务。

例如,第一个选项卡显示主要的流量过滤选项。这是其中最有趣的:

  • 机器人缓解 -连续过滤非法的自动资源请求
  • Web应用程序防火墙 -一种用于防御针对性攻击(例如XSS或SQL注入)的服务
  • 全球白名单 -允许访问网站的搜索引擎机器人和网站预览系统

别名 选项卡允许您为资源添加别名,例如domen.example.com或example.net。在“来源”选项卡上,可以配置应将过滤后的流量发送到的IP地址列表。

白名单黑名单包含IP地址列表。从“白名单”发出的请求必须始终跳过站点,而从“黑名单”发出的请求总是不可能的。它可以用于您确定资源属于您或完全属于您的竞争对手的资源。

3.交通加价


图片

在标记流量时,将使用Active Bot Protection技术它会在预先标记的URL上检查流量的“ 质量 ”。例如,提供您放置广告横幅并承诺通过您的链接来吸引流量。如果遇到一个骗子,而不是真正的骗子,只是在这里驱赶了一定数量的机器人流量,并报告了结果的统计数据,那么在此选项卡中,您可以看到谁来找您:机器人还是人。同样,可以在一天内查看此信息。

4.技术支持和帮助中心


图片

除电话,电子邮件和电报外,还可以在“支持”部分联系技术支持:创建新请求,与专家进行通信并跟踪先前请求的状态。帮助中心将您带到“常见问题”页面,其中包含对常见问题的解答。

使您的个人帐户更方便


2020年,您的SaaS服务仪表板应该是一个快速,便捷且易于扩展的Web应用程序。毫不妥协,因为所有可用的工具都可用。基于这些考虑,我们在2019年将您的个人账户服务改写为现代Angular框架

这是用于创建SPA应用程序(单页应用程序)的顶级工具之一。 SPA是一种体系结构,使您可以“无形”地向用户更新和添加信息:他不需要刷新页面即可查看例如新状态或新服务的连接。从技术角度来看,该页面仅加载一次,然后根据用户操作或脚本动态更新内容。例如,在“仪表板”选项卡上,实时更新请求的图形和统计信息,而无需重新加载页面。当您转到站点的其他页面时,也会发生相同的事情:仅更新页面的必要部分。这种方法有助于更快地获取数据并减少服务器上的负载。

今年,我们已计划在您的帐户中进行几项重大更新。所有更新导致一件事:流量过滤服务的透明和灵活的管理。透明意味着获取报告的最大详细信息,最多单个请求。灵活的管理-配置任何流量条件,例如,排除特定的URL或允许对原始流量的请求达到特定的限制。

发现


主要结论非常简单且非原创:SaaS服务应尽快改善您的个人帐户的质量和功能,因为这会推动SaaS服务本身的发展。例如,在我们重写并扩展了个人帐户的功能之后,三倍多的客户开始使用它。另外,它们通常连接其他服务,因为它既快速又方便。

第二个优点是可以轻松实现和扩展现代UI框架(React,Angular,Vie)。在开始时,很可能会有一定的MVP来接收来自第一批客户的反馈。重要的是,一旦制定了开发计划,就必须立即从头开始“明智地”做所有事情。

最后,您需要不断收到反馈并确定优先级:首先,添加需要的功能,而不是在路线图的开发过程中发明的功能。一个简单的事情,但是,在开发方面并不总是显而易见的。

在我们公司,功能的不断扩展使我们能够减轻技术支持的负担。这也向客户明确表明我们并没有停滞不前。

More articles:


All Articles