СберАвто - сервис по выбору и покупке автомобиля онлайн, является частью экосистемы Сбера. Личный помощник подберет новое авто или автомобиль с пробегом, закажет независимый осмотр и оформит договор, подберет страховку и поможет подать заявку на кредит онлайн. Авто доставят к покупателю по всей России — прямо к подъезду или ближайший центр выдачи. И все это — не выходя из дома, с помощью нескольких сообщений в чате приложения или на сайте.

Технология API - REST API

Развертывание - ранее на инфраструктуре сервисного партнера, сейчас в собственной инфраструктуре на NGINX.

Под защитой: в первую очередь API и бизнес-логика на back end, также web-приложение и мобильное приложение.

В СберАвто все автомобили и объявления проходят проверку, что исключает возможность приобрести автомобиль с серого рынка. Каждый покупатель может получить детальный отчёт о проверке выбранного автомобиля, для этого необходимо просто написать через встроенный мессенджер персональному менеджеру.

Покупателю не нужно тратить время и лично общаться с каждым продавцом понравившегося автомобиля — на все вопросы ответит менеджер СберАвто. Для автодилеров СберАвто — это эффективный канал продаж своих автомобилей, который сэкономит время на оформлении документов и ускорит сопровождение сделки.

Наличие вендора по защите приложений и API естественно вытекает из концепции гибкой защиты cloud-native продукта СберАвто. Основная точка входа и интеграции как между партнерами и сервисом, так и между клиентами и сервисом - это API. Таким образом, API является основной мишенью для негативного воздействия со стороны злоумышленника, поэтому защита API изначально была ключевой целью.

Сотрудничество с Валарм начали сразу после завершения этапа тестирования продукта. После выхода сервиса СберАвто из стадии MVP на рынок в 2020 году было внедрено средство защиты API от Валарм. Таким образом, защита извне реализована Валарм как единой точкой фильтрации на входе.

Тестировали разные решения, представленные на российском рынке. Однако, какой-то из продуктов, оказался более ресурсоемким в поддержке и сопровождении, другой продукт был больше ориентирован на сегмент крупных enterprise-компаний. Решение от Валарм подходило по всем этим параметрам.

• Внедренный сканер DAST, который динамически проверяет все публикуемые API на FQDN. Также он показывает слабые места в инфраструктуре, выявляет стек уязвимостей на end-points, которые после оперативно устраняются.
  

• Решение FAST, позволяющее тестировать безопасность новых приложений.
  

• Простота эксплуатации. Для настройки конфигурации ноды и дальнейшей поддержки системы на протяжении года было достаточно одного специалиста. Сейчас команда выросла, но трудозатраты на взаимодействие с системой остались неизменны.
  

• Безопасность критичных приложений
  

• Защита API как точки интеграции с другими сервисами и продуктам