Автор Виктор Перевезенцев 
Бизнес всё активнее использует интеграцию 1С с сайтом, маркетплейсами, логистическими сервисами, CRM и мобильными приложениями. В таких проектах критически важным элементом инфраструктуры становится API-шлюз, через который проходят:
- каталоги товаров и остатки
- цены и скидки
- заказы и статусы
- пользовательские данные и договоры
Но вместе с выгодами появляются новые угрозы: API открывает доступ к данным и может стать точкой входа для DDoS-атак, ботов, парсинга и попыток взлома.
В этой статье разберем, как защищать API-шлюз при обмене с 1С, какие механизмы обязаны быть, и как быстро обнаруживать атаки.
Почему атакуют API-интеграции с 1С
Основные цели злоумышленников:
- 🔥 DDoS для вывода магазина или ERP из строя
- 🕵️♂️ кража коммерческих данных (ассортимент, оптовые цены)
- 💣 попытки разрушить обмен с 1С
- 🤖 создание ложных заказов ботами
- ⚠️ перебор авторизаций с целью взлома аккаунтов
- 📉 удар по репутации и продажам
Особенно уязвимы компании:
- с большим трафиком
- с интеграцией маркетплейсов и B2B-кабинетов
- с обменом реального времени между сайтом и 1С
📌 Любой простой — это прямые убытки бизнеса.
Типичные векторы атак на API-шлюз
| Тип атаки | Что происходит | Последствия |
|---|---|---|
| DDoS через API | тысячные запросы в секунду | перегрузка веб-сервера и 1С |
| Парсинг каталога | массовый доступ к API каталога | утечка коммерческой информации |
| Брутфорс авторизации | подбор логинов/паролей | взлом личных кабинетов |
| SQL-инъекции | попытка внедрить команды в запрос | повреждение или утечка БД |
| Подмена токенов | использование уязвимостей авторизации | доступ к закрытым данным |
Злоумышленник бьёт в самое слабое звено.
Что защищает API при обмене данными с 1С
Список №1 — Технические меры защиты
- API Gateway с rate-limit и firewall
- Ограничение IP (Whitelist для критичных вызовов)
- Reverse proxy (Nginx/Traefik) с защитой SSL/TLS
- CAPTCHA / Device-ID / Fingerprint для публичных точек
- WAF (Web Application Firewall)
- DNS-защита от флуд-трафика
- Выделенный DMZ-контур для API
Список №2 — Контроль доступа
- Авторизация по токенам (JWT/OAuth2)
- Ограничение действий по ролям пользователей
- Разделение B2B / B2C / сервисных ключей
- Жесткая политика для срока жизни токенов
- Логирование всех действий и мониторинг аномалий
🧠 Если API доступен без авторизации ― это не API, а дыра.
Правильная архитектура защиты API 1С
Рекомендуем использовать многоуровневую модель безопасности:
Клиент
↓
CDN / Anti-DDoS
↓
API Gateway (WAF, токены, rate limit)
↓
Reverse Proxy (Nginx)
↓
Сервис-приложение (CMS / Middleware)
↓
1С (обмен по защищенному каналу)
📌 Главное правило: 1С никогда не должна торчать наружу.
Как ограничить нагрузку на 1С: кэширование и очереди
В eCommerce часто допускают критические ошибки:
❌ каждое изменение в корзине → запрос в 1С
❌ проверка остатка в 1С на этапе просмотра карточки
❌ 1С отвечает на весь трафик напрямую
Лучшее решение:
✅ кэшировать данные каталога и цен → Redis / CDN
✅ использовать очереди для заказов → RabbitMQ
✅ обмен по расписанию или событиям
🎯 1С должна быть источником, а не “онлайн-двигателем” API.
Таблица: уровни защиты от DDoS для API-exchange
| Уровень | Что защищаем | Инструменты | Роль |
|---|---|---|---|
| 1. Сеть / DNS | Флуд-трафик | Anti-DDoS (Cloudflare, Qrator) | Блокируем поток |
| 2. Web-слой | API-маршруты | WAF, throttling | Режем вредные запросы |
| 3. Авторизация | API-ключи, токены | OAuth2, ACL | Не пускаем “лишних” |
| 4. Приложение | Обработка данных | Rate-limit для методов | Снижаем нагрузку |
| 5. ERP-слой | 1С-сервера | Очереди, кэш | Отсечём перегрузку |
📌 Защита должна быть глубокой и распределённой, а не в одной точке.
Атака произошла: как реагировать
План реагирования должен быть заранее:
1️⃣ Автоматическая блокировка IP/сегмента
2️⃣ Перевод API в ограниченный режим
3️⃣ Детальная аналитика логов (SIEM)
4️⃣ Уведомление службы безопасности
5️⃣ Проверка целостности данных в 1С
6️⃣ Пост-анализ и закрытие уязвимостей
Чем быстрее компания реагирует, тем меньше потери.
Реальный пример: защита B2B API производителя
B2B-магазин, 7 200 товаров, API-обмен с 1С УТ 11.5
Проблема:
— периодические просадки доступности из-за бот-атак на каталог
Решение:
- включили CDN-кэширование
- ограничили API через токены и ACL
- отключили запрос остатков из 1С для гостевого трафика
- включили WAF + лимиты 20 req/sec
Результат:
| Показатель | До | После |
|---|---|---|
| Время восстановления после DDoS | 45 мин | 1–2 мин |
| Нагрузка на 1С в пике | ×10 | ×2 |
| Простои за месяц | 6 часов | 0 |
🎯 Уязвимость превращена в сильную сторону инфраструктуры.
FAQ — Часто задаваемые вопросы
Нужно ли защищать API, если он только для мобильного приложения?
Да. Мобильное приложение легко декомпилировать → украдут API-ключи.
Можно ли полностью скрыть API от публичного доступа?
Да. Используйте Allow-IP-list или VPN-туннели для критичных сервисов.
Когда достаточен только WAF?
Никогда. WAF → только один слой защиты, а не единственный.
Можно ли блокировать Роскомнадзором?
Нет. Политика блокировок — про контент, не про API-доступ.
Как защитить Marketplace-интеграции?
Только через API Gateway + rate limit + очереди.
Выводы
API без защиты — прямой риск для бизнеса.
Правильная стратегия безопасности включает:
✅ многоуровневую архитектуру защиты
✅ WAF + rate-limit + анти-DDoS
✅ авторизацию по токенам и ACL
✅ кэширование + очереди для нагрузки на 1С
✅ автоматическое реагирование на инциденты
Безопасность API = стабильная работа сайта + непрерывный обмен с 1С + защита прибыли.