A limitação de taxa protege as APIs contra abuso controlando o número de solicitações que um usuário pode fazer em um período específico. Ela faz isso definindo um limite para o número máximo de solicitações permitidas de um único usuário (ou endereço IP) durante um determinado período de segundos, minutos ou horas. A limitação de taxa impede que os usuários sobrecarreguem a API com solicitações excessivas que podem levar a problemas de desempenho ou abram vulnerabilidades de segurança por meio de ataques de negação de serviço (DoS), descarte de APIs e muito mais.
O que é limitação de taxa?
Limitação de taxa é um mecanismo usado para controlar a quantidade de dados ou de solicitações que pode ser transmitida entre dois sistemas dentro de um período especificado. Ela ajuda a evitar abusos, protege os recursos do sistema e garante um uso justo para todos os usuários. Ao implementar a limitação de taxa, as organizações podem reduzir o risco de sobrecarga do servidor, melhorar o desempenho da rede e melhorar a segurança geral.
Um recurso digital, como uma interface de programação de aplicações (API), é de natureza finita. Ele só será capaz de lidar com tantas solicitações por minuto ou hora, supondo que esteja implantado em uma quantidade fixa de infraestrutura, por exemplo, um servidor virtual. Para evitar sobrecarregar esse recurso, seus proprietários costumam aplicar a "limitação de taxa", uma prática que restringe quantas solicitações serão tratadas para cada usuário em um determinado período. Às vezes, a limitação de taxa também é chamada de "limitação" porque o processo executa o equivalente digital de estreitar um tubo para restringir o fluxo de ar.
A limitação de taxa serve para vários fins. Ela garante acesso confiável a recursos digitais que atendem às expectativas de qualidade do serviço. Com a limitação de taxa, os proprietários de sistemas não precisam investir em infraestrutura de que não precisam. A limitação de taxa também é uma ferramenta importante para proteger ativos digitais contra uso mal-intencionado ou não autorizado, bem como para entender melhor as necessidades de tráfego para determinar como dimensionar o ambiente.
O que é limitação de taxa?
A melhor maneira de entender a limitação de taxa é como uma política. Limitação de taxa é um conjunto de regras que controlam a taxa na qual um usuário pode acessar um recurso digital. Por exemplo, quantas vezes um usuário pode tentar fazer login em um site em um minuto? Se não houver política de limitação de taxa, a resposta será "quantas vezes ele quiser". Com a limitação de taxa, a resposta pode ser: "O usuário pode tentar fazer login até três vezes em um determinado minuto". Se tentar fazer login pela quarta vez, ele será bloqueado.
A limitação de taxa ocorre quando uma política de limitação de taxa é aplicada por algum tipo de solução de hardware ou software. Tanto a política como sua aplicação são necessárias. Sem a política, a aplicação não tem sentido. Sem o ponto de aplicação da política, a política não tem sentido. A limitação de taxa também implica a existência de uma ferramenta de monitoramento que rastreia a taxa de uso de recursos e sinaliza situações problemáticas, como um servidor "em execução" ou atividade suspeita que indica que um ataque virtual está em andamento.
Por que a limitação de taxa é importante?
A limitação de taxa é importante porque fornece um elemento operacional essencial de qualidade do serviço, cibersegurança e finanças. Em relação à qualidade do serviço, a limitação de taxa impede que os recursos sejam sobrecarregados por muitas solicitações, uma situação que pode levar à lentidão ou a interrupções do serviço. Com políticas de limitação de taxa bem projetadas, todos os usuários qualificados podem desfrutar de uma qualidade de serviço (QoS) semelhante. Em uma frente relacionada, a limitação de taxa ajuda a garantir a equidade impedindo que um usuário monopolize um recurso digital.
Para a cibersegurança, a limitação de taxa serve como uma contramedida contra várias ameaças diferentes. Um ataque de negação de serviço (DoS), por exemplo, tenta inundar um recurso com solicitações para que ele seja desligado. A limitação de taxa pode impedir que o invasor de DoS alcance esse objetivo. A limitação de taxa pode igualmente mitigar ataques de força bruta, o que envolve a adivinhação rápida de senhas. A limitação de taxa também funciona contra o preenchimento de credenciais, uma variante da força bruta em que o invasor tenta rapidamente diferentes pares de nome de usuário/senha roubados para obter acesso não autorizado a um recurso, por exemplo, um site bancário.
A limitação de taxa também pode ajudar uma empresa com suas finanças. Um ativo digital custa dinheiro, portanto, quanto mais eficiente for seu uso, melhor será o resultado financeiro. Os limites de taxa mantêm o uso de ativos digitais dentro dos limites previsíveis. Para entender por que isso é importante, considere um cenário em que uma empresa precisa comprar servidores adicionais para acompanhar um alto volume de tráfego causado por usuários com acesso ilimitado. Esse não é um investimento que vale a pena.
Analisando esse problema de uma perspectiva diferente, cada solicitação de serviço carrega um custo. Pode ser pequeno, uma fração de centavo, quando a largura de banda, as despesas do data center e a depreciação de software/hardware são consideradas. No entanto, se milhões de solicitações de serviço indesejadas estiverem sufocando o sistema, isso levará a um desperdício significativo de dinheiro.
A limitação de taxa também pode fazer parte da monetização de um ativo digital. Por exemplo, uma empresa pode permitir a um usuário 5.000 chamadas de API por semana por USD 100. O proprietário da API precisa de limitação de taxa para aplicar esse número máximo de chamadas de API.
Como funciona a limitação de taxa?
A limitação de taxa é baseada em um ID de usuário ou no endereço IP (Internet Protocol, protocolo de Internet) de um usuário. Uma solução de limitação de taxa rastreia os endereços IP associados às solicitações de serviço. Como o endereço IP representa um código exclusivo para cada conexão com o serviço solicitado, ele permite que a solução de limitação de taxa bloqueie efetivamente o comportamento fora da política.
O processo real de limitação de taxa envolve acompanhar o número total de solicitações feitas pelos usuários a partir de um determinado endereço IP. Em seguida, a solução de limitação de taxa compara a atividade de solicitação com suas políticas. Ela pode facilmente detectar usuários que estão violando as regras e impedi-los de continuar. Na maioria dos casos, a solução de limitação de taxa enviará uma mensagem de erro ao usuário.
A paginação de API também é uma ferramenta usada para controlar a taxa na qual as solicitações de API são feitas. Ela é usada para garantir que o sistema não esteja sobrecarregado e que os dados sejam recuperados de forma eficiente. Essa técnica também ajuda a proteger contra solicitações mal-intencionadas e reduz o risco de violações de dados. Ao limitar o número de solicitações, ela também ajuda a reduzir a carga do servidor e aumenta o desempenho geral.
Para que serve a limitação de taxa?
Os proprietários de sistemas usam a limitação de taxa por vários motivos, sendo que a maioria deles tem a ver com QoS e segurança. As metas são quase sempre manter os sistemas funcionando conforme o esperado, proporcionar uma boa experiência ao usuário e proteger os ativos digitais contra uso indevido mal-intencionado. Em particular:
- Evitar problemas de disponibilidade devido ao uso excessivo de recursos. A demanda excessiva em um recurso, como uma API, seja devido à popularidade ou ao crime cibernético, torna o recurso menos disponível para os usuários que precisam dele.
- Proteger outras áreas do patrimônio de TI. A limitação de taxa reduz o risco de penetração de rede ou violação de dados, o que pode ocorrer por meio de um ataque de força bruta ou de preenchimento de credenciais.
- Gerenciar cotas e contratos. Um proprietário do sistema pode estabelecer uma cota para uso de recursos ou exigir um contrato que restrinja a quantidade e o tempo de acesso. A limitação de taxa possibilita a aplicação desses acordos.
- Controlar tráfego e fluxo. A limitação de taxa mantém o fluxo de tráfego de rede dentro de um nível definido, o que ajuda a evitar lentidão e interrupções. Ela também pode permitir o controle de fluxo inteligente com o tráfego de rede roteado com base em volumes previsíveis, por exemplo, mesclando fluxos em um único dispositivo.
- Controlar custos e CapEx. A limitação de taxa permite que os proprietários do sistema aloquem tráfego a recursos digitais de acordo com qualquer nível estabelecido no estágio de aquisição, por exemplo, um servidor foi autorizado para compra com base em uma previsão de que lidaria com 10.000 solicitações de serviço por hora. Se as solicitações de serviço reais forem maiores, isso pode exigir a compra de mais servidores, que não estavam no orçamento original.
Tipos de limites de taxa
Focamos na limitação de taxa com base nas solicitações de serviço de um usuário em um período definido. No entanto, existem muitas outras maneiras de limitar as solicitações. Por exemplo, as regras de limitação de taxa podem restringir o volume de solicitações com base na frequência e no volume total. Um usuário pode ser proibido de tentar fazer login em um site mais de 10 vezes por minuto. No entanto, o usuário também pode ser proibido de tentar fazer login mais de 100 vezes por dia. As duas regras podem ser aplicadas. Caso contrário, esse usuário pode tentar fazer login 10 vezes por minuto para todos os 1.440 minutos em um período de 24 horas, o que não é ideal de uma perspectiva de QoS.
Também é possível fazer a limitação de taxa com base na localização. Os usuários da Alemanha podem ter permissão de 100 tentativas de login por dia, enquanto os da França têm 200. Como alternativa, esse tipo de política de limitação de taxa pode acionar o redirecionamento de solicitações de serviço, por exemplo, o envio de tráfego de um servidor sobrecarregado na Alemanha para um na França.
Conclusão
A limitação de taxa é um controle e uma contramedida essenciais para os proprietários do sistema que desejam manter a segurança e evitar falhas no serviço. A prática também ajuda a garantir resultados financeiros desejados para investimentos em recursos digitais. É um conceito simples, restrição do acesso com base em regras sobre solicitações por minuto e assim por diante, mas a implementação requer muita atenção aos detalhes. Com a efetiva limitação de taxa em vigor, servidores e APIs, entre outros elementos de infraestrutura, estarão disponíveis para aqueles que têm direito a seu uso.
Perguntas frequentes
A maioria das práticas recomendadas de segurança de APIs inclui estas estratégias comuns para implementar a limitação de taxa:
- Buckets de token: aloque os usuários a um determinado número de tokens, que são reabastecidos a uma taxa fixa. Cada solicitação de API consome um token e a contagem de tokens do usuário será reabastecida devagar. Isso ajuda a lidar com tráfego intenso e taxas de solicitação variáveis.
- Buckets com vazamento: semelhante aos buckets de token, esse método controla o número de tentativas que cada usuário recebe por um determinado tempo. No entanto, em vez de acumular tokens até um máximo definido, os buckets com vazamento "vazam" tokens em excesso para garantir um fluxo constante de solicitações, oferecendo uma limitação de taxa mais suave e evitando picos repentinos no tráfego.
- Contadores de janela fixos: essa estratégia envolve definir uma janela fixa de tempo e um número máximo de solicitações permitidas. Se a contagem de solicitações exceder o limite, as solicitações subsequentes serão negadas até que a janela seja atualizada. Embora essa estratégia seja fácil de implementar, ela é suscetível a padrões de tráfego intenso.
As APIs de limitação de taxa podem afetar a experiência do usuário causando atrasos ou problemas de acesso, portanto é necessário o ajuste fino para encontrar o ponto ideal entre "segurança" e "experiência do usuário".
Limites de taxa baixos demais podem resultar em tempos de resposta mais lentos ou erros de negação para usuários legítimos. A limitação de taxa inconsistente pode produzir problemas de acesso intermitentes e funcionamento não confiável. Ajustar os limites de taxa com base nos padrões de tráfego esperados pode eliminar esse problema. É uma boa ideia projetar aplicações que degradem a funcionalidade conforme necessário, mantendo as funcionalidades principais intactas.
Transparência e clareza são as principais prioridades na comunicação dos limites de taxa de segurança de APIs aos usuários. As mensagens de erro devem usar o código de status de HTTP "429 Solicitações em excesso" e indicar que a limitação de taxa está em vigor, apresentando detalhes específicos sobre o número máximo de solicitações permitidas ou solicitações restantes antes que os tokens sejam adicionados ou atualizados.
Por que os clientes escolhem a Akamai
A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, a inteligência avançada contra ameaças e a equipe de operações globais oferecem defesa completa para garantir a segurança de dados e aplicações empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, a escala e a experiência líderes do setor necessárias para expandir seus negócios com confiança.
