É importante que você saiba como será cobrado ao usar o teste de segurança de aplicativo interativo (IAST). Você é cobrado por esse recurso por meio de um complemento opcional chamado computar Add On. Este é o terceiro dos três fatores de faturamento da New Relic:
- A quantidade de dados que você ingere
- O número de usuários faturáveis que você possui
- Os complementos opcionais que você comprou
Depois de ter esse complemento, a New Relic calcula seus custos de IAST com base na unidade de capacidade de computação (CCUs) que você consome.
Saiba mais sobre os custos do IAST
As CCUs são consumidas quando você usa o recurso IAST para analisar um aplicativo em busca de vulnerabilidades exploráveis. Para avaliar as potenciais vulnerabilidades do seu aplicativo, são utilizadas simulações de ataque para gerar respostas do aplicativo.
Cada resposta é analisada para determinar a natureza do comportamento. Se o comportamento não for seguro, o status da execução do teste será definido como Exploitable. Isso significa que em um ambiente de produção, um invasor pode usar uma dessas vulnerabilidades para explorar seu aplicativo, sua infraestrutura ou seus dados. É importante considerar estes fatores ao usar o IAST para garantir CCUs consumidas de maneira ideal: a complexidade do seu aplicativo, a eficiência dos seus testes e o número de execuções de testes.
Vá para one.newrelic.com > All capabilities > IAST e clique em Tests & Applications no painel de navegação esquerdo.
Saiba como o IAST gera CCUs
O IAST analisa o aplicativo em busca de vulnerabilidades exploráveis. Ele observa o comportamento da API, das chamadas de método e do rastreamento exercido durante os testes enquanto analisa a execução de simulações de ataque no mundo real. Cada simulação gera uma resposta baseada no número de parâmetros testados. Quanto mais chamadas API e métodos forem exercidas, maior será o número de parâmetros que precisarão de testes para uma avaliação de risco precisa. Quanto mais complexa for uma aplicação e maior a eficácia da sua cobertura de teste, mais unidade de capacidade de computação será consumida para cada execução de teste.
Entenda seu uso do IAST e otimize seu custo
O IAST tem controles de governança integrados à configuração do agente para ajudar a garantir que não haja uso acidental desse recurso. Por exemplo, um usuário autorizado deve ativar explicitamente esse recurso para cada aplicativo.
Depois de configurar o IAST, fornecemos visibilidade detalhada por conta, usuário e API. Como administrador, você pode trabalhar em toda a sua organização para otimizar custos. Você pode controlar os custos do IAST se verificar com que frequência o IAST é executado durante os testes e o que é testado.
Existem estas três variáveis principais ao otimizar custos para IAST:
- Tolerância de risco
- Eficiência do teste
- Execuções de teste ou compilações
Tolerância de risco
Recomendamos executar o IAST em todos os aplicativos importantes em cada versão para reduzir os riscos. A cobertura total de testes reduz a necessidade de correção de problemas após o lançamento. A tolerância ao risco varia de acordo com a organização, afetando os métodos de teste de segurança. Aqui está um exemplo de resultados do IAST para a construção de um aplicativo.
Vá para one.newrelic.com > All capabilities > IAST e clique em Tests & Applications no painel de navegação esquerdo. Selecione um aplicativo para ver seus detalhes.
Eficiência do teste
Test efficiency é uma estimativa da cobertura do seu teste e contribui para as CCUs consumidas para análise. Você pode visualizar a API, os métodos e o rastreamento executados e analisados durante cada execução com base nos seus casos de teste.
Vá para one.newrelic.com > All capabilities > IAST e clique em Tests & Applications no painel de navegação esquerdo. Selecione um aplicativo para ver seus detalhes e selecione a guia APIs .
Quanto maior a eficiência do teste, mais cobertura você terá, o que pode resultar em maior consumo de CCU. Você pode controlar os custos decidindo o que testar. Se você tiver preocupações específicas, certifique-se de executar os casos de teste manual ou automaticamente. Use as chamadas API ou de método necessárias para permitir que o IAST as analise. Você pode reduzir o custo optando por não exercer uma API ou chamada de método específica, mas observe que isso pode apresentar mais riscos.
Execuções de teste ou compilações
Você pode pensar em test runs como implantar a construção de um aplicativo em um ambiente de teste, controle de qualidade, testes de integração, etc. Cada vez que uma imagem é reiniciada, uma nova execução de teste IAST exclusiva também é iniciada.
- A cada execução, você pode revisar sua cobertura para entender melhor a quantidade de análises que o IAST fez para avaliar o aplicativo.
- Você pode ver o número de API, métodos e rastreamentos analisados, bem como a avaliação de cada um.
Cada execução de teste consumirá CCUs dependendo do esforço de análise e da complexidade do aplicativo. Você pode gerenciar quais aplicativos usam o IAST e com que frequência você o executa ativando e desativando o IAST nas configurações do APM. Isso lhe dá controle sobre o uso do IAST.
- A análise IAST está ativada quando
security.enabled
esecurity.agent.enabled
são definidos como verdadeiros. - A análise IAST está desativada e subsequentemente não consumirá CCU quando
security.enabled
esecurity.agent.enabled
forem definidos como falsos.
Veja seu uso do IAST
Você pode visualizar os custos divididos por recurso e detalhar o uso do IAST na administração da conta. Fornecemos a você a capacidade de ver o uso diário e o uso contínuo de 30 dias. Além disso, dividimos isso para atribuir o uso a contas ou usuários e API específicos. Você pode verificar o consumo de CCU do IAST em one.newrelic.com.
Vá para one.newrelic.com > (user menu) > Administration e clique em Compute Management no painel de navegação esquerdo.
Ao selecionar IAST e, em seguida, facetar por Accounts ou Users/API Keys , você pode acompanhar o uso de forma mais granular.
Vá para one.newrelic.com > (user menu) > Administration e clique em Compute Management no painel de navegação esquerdo. Facetada por Users/APIS Keys.