Приветствуем вас, уважаемые пользователи и читатели Хабра!
Мы рады представить вам долгожданные функции нашего продукта «ПроAPI Структура» от команды «Вебмониторэкс». Эти функции позволят вам еще более эффективно управлять и оптимизировать ваши API. Речь идет о «Настройке чувствительности», «Очистке трафика» и «Создание правил WAF для параметров роута». Давайте подробно рассмотрим каждую из них.
Настройка чувствительности
Одной из ключевых нововведений является возможность настройки чувствительности, то есть определения количества запросов за временной интервал, при котором эндпоинт будет отображаться в построенной структуре API. Подробнее о настройке чувствительности можно узнать в документации.
Как это работает?
Параметры чувствительности настраиваются для каждого приложения отдельно. В соответствующем разделе необходимо указать числовые значения для количества запросов и временного интервала.
По умолчанию установлены параметры 5 запросов на 300 секунд, что необходимо для обеспечения стабильности эндпоинта. Однако, вы можете настроить минимальное значение – 1 запрос и временной интервал – 0 секунд, что дает вам полную свободу в управлении этими параметрами.
Примеры:
Если вы установите чувствительность на 5 запросов за 300 секунд, у вас может быть, например, 89 роутов.
Если вы уменьшите чувствительность до 3 запросов за 300 секунд, количество роутов увеличится до 179.
Если вы увеличите чувствительность до 5 запросов за 30 секунд, количество роутов уменьшится до 3.
Примеры показывают, как изменение чувствительности влияет на количество отображаемых роутов. Более низкие значения чувствительности позволяют учитывать менее активно используемые эндпоинты, что увеличивает их общее количество в структуре API. Однако, при этом, данные эндпоинты могут оказаться «мусором» или лишними, загромождая структуру ненужными данными. С другой стороны, если чувствительность слишком высока, можно потерять важные эндпоинты, которые используются редко, но всё же играют ключевую роль.
Зачем это нужно?
Настройка чувствительности играет важную роль в управлении эндпоинтами вашего API. На первом этапе важно фокусироваться на самых используемых эндпоинтах, чтобы убедиться, что они работают правильно и стабильно. Это позволяет вам быстро выявить и исправить основные проблемы. После того как основные эндпоинты будут тщательно протестированы и оптимизированы, можно переходить ко второму этапу, где чувствительность может быть увеличена. Это позволит выявить и проанализировать менее активно используемые эндпоинты, которые могут содержать скрытые проблемы или важные функции, редко используемые, но имеющие значительное значение.
Также стоит учитывать, что при наличии большого количества эндпоинтов на первом этапе может быть полезна низкая чувствительность, чтобы избежать перегрузки информацией. После этого чувствительность можно постепенно повышать, чтобы охватить более широкий спектр запросов и обеспечить комплексное управление спецификацией API. Этот подход помогает найти баланс между управляемостью и полнотой информации о состоянии эндпоинтов.
Очистка трафика
Функция очистки трафика предназначена для удаления ненужных данных из структуры API, поддерживая ее актуальность и чистоту. Это особенно полезно для роутов, построенных на основании трафика. Подробнее о функции очистки трафика можно узнать в документации.
В процессе становится доступна кнопка «Очистить трафик», которая позволяет удалить структуру эндпоинтов для конкретного приложения. После завершения структура приложения будет повторно построена на основании нового трафика.
Где может быть полезно
Рассмотрим следующую ситуацию, когда структура роутов строится на траффике идущем через ноду WAF. Если в рамках процесс CI/CD запустить динамическое тестирование (например, с использованием «ПроAPI Тестирования»), часть API будет сформирована в его процессе и итоговая структура эндпоинтов будет требовать очистки. Функция очистки трафика поможет начать с чистого листа, исключив запросы, не являющиеся нормальными для конкретного API. В результате создаётся точная и актуальная структура, отражающая только необходимые и корректные эндпоинты.
Более подробно про использование «ПроAPI Тестирования» в рамках процесс CI/CD читайте в нашей статье «История успеха. Внедрение платформы «Вебмониторэкс» для защиты приложений «СберАвто»
Создание правил WAF для параметров роута
Возможность создавать правила WAF для параметров роута API прямо из интерфейса «ПроAPI Структуры» позволяет легко настраивать правила для защиты чувствительных данных, создавать виртуальные патчи и другие действия с параметрами роута API. Подробнее о создании правил WAF можно узнать в документации.
Как создать правило?
Для создания преднастоенного правила необходимо выбрать конкретный параметр в роуте и нажать на кнопку «Создать правило». При нажатии на кнопку открывается контекстное меню с тремя позициями:
Маскировать чувствительные данные.
Сделать виртуальный патч.
Создать правило.
Например, при выборе «Сделать виртуальный патч» открывается окно создания правила для виртуального патча, где предварительно заполнены данные конкретного параметра роута и выбрано правило «Сделать виртуальный патч».
Улучшенное управление и мониторинг API
Ранее управление эндпоинтами API было сложным и трудоёмким процессом, требующим постоянного внимания. С новыми возможностями настройки чувствительности запросов и функции очистки трафика работа с API стала гораздо проще и удобнее. Теперь вы можете легко управлять отображением эндпоинтов и поддерживать структуру API в актуальном состоянии.
Эти нововведения значительно упрощают управление и мониторинг ваших API, позволяя сосредоточиться на наиболее важных аспектах и поддерживать высокую производительность и безопасность. Мы уверены, что новые функции «ПроAPI Структуры» от «Вебмониторэкс» станут незаменимыми инструментами в вашем арсенале.
Приглашает на вебинар 28 июня в 12:00, посвященный предотвращению утечек API и новым функциям в продукте «ПроAPI Структура».
На этом вебинаре раскроем темы:
О предотвращении утечек API:
Основные методы взлома API
Описание рисков утечки данных через API: ключевой вопрос кибербезопасности
Изучение последствий взлома API
Разбор крупных инцидентов утечек данных через API
Методы защиты API с помощью компонента «Обнаружение утечек API» продукта «ПроAPI Структура» платформы «Вебмониторэкс»
О новых функциях продукта «ПроAPI Структура»:
Настройка чувствительности определения роута на трафике
Очистка построенной структуры API
Создание правил для параметров роута
Регистрация по ссылке
Если у вас возникли вопросы или вы хотите протестировать наш продукт, свяжитесь с нами по адресу info@webmonitorx.ru. Также не забывайте подписываться на наш Telegram-канал, где мы делимся полезной информацией об API Security, Web Security и публикуем актуальные анонсы изменений в продукте.
Будем рады видеть вас среди наших подписчиков и пользователей!
