全部產品
Search
文件中心

Application Real-Time Monitoring Service:接入應用安全

更新時間:Jul 06, 2024

您可以通過ARMS控制台將目標應用一鍵接入應用安全。接入後,重啟該應用對應的執行個體即可使用應用安全功能,無需修改任何應用代碼。

前提條件

  • 應用安全功能目前僅支援Java應用接入。使用前,目標Java應用需已接入ARMS應用監控。具體操作,請參見應用監控接入概述

  • 應用監控的Java探針版本要求:

    • Container Service應用、EDAS應用等自動升級情境要求版本需為v2.7.1.2或以上。

      說明

      自動升級情境是指可以通過重啟應用或Pod等操作自動升級探針版本的情境。更多資訊,請參見升級ARMS探針

    • 其他手動升級情境要求版本需為v2.7.1.3或以上。

    您可以登入ARMS控制台,在應用監控 > 探針管理頁面查看已接入應用的探針版本。若需升級探針版本,請參見升級ARMS探針

服務授權

在接入應用安全之前,您需要先授權訪問阿里雲安全服務。經過您的授權後,ARMS僅限於訪問應用安全依賴的相關資源,用於完成後續的產品功能。

  1. 登入ARMS控制台

  2. 在左側導覽列,選擇應用安全 > 應用列表

  3. 應用安全地區單擊立即授權

  4. 在彈出的提示對話方塊中單擊確認

    授權後,ARMS將會自動建立應用安全服務關聯角色AliyunServiceRoleForARMSSecurity,授權成功後,您可以查看應用列表並接入目標應用。關於應用安全服務關聯角色AliyunServiceRoleForARMSSecurity的許可權說明,請參見應用安全服務關聯角色

    說明

    如果頁面提示使用者沒有建立服務關聯角色的許可權,請聯絡阿里雲帳號為當前RAM使用者添加指定權限原則。具體操作,請參見常見問題

    應用安全授權

通過應用監控接入應用安全

v2.7.1.4及以上版本探針已支援在接入應用監控時開通應用安全。

通過控制台接入應用安全

如果您在接入應用監控時沒有開通應用安全,您可以執行以下操作接入應用安全。

  1. 登入ARMS控制台

  2. 在左側導覽列,選擇應用安全 > 應用列表,然後在頁面頂部功能表列,選擇地區。

    應用列表頁面列出當前可以接入應用安全的全部Java應用。

    說明

    接入應用前,請先確認您當前使用的探針版本符合版本要求(v2.7.1.3或以上)。

  3. 接入目標應用。

    • 接入單個應用:在目標應用操作列,單擊接入,然後在彈出的對話方塊中單擊確認

    • 批量接入應用:

      1. 應用列表頁面,單擊左上方的接入應用

      2. 接入應用對話方塊的未接入應用安全應用列表中,選擇需接入應用安全的目標應用,單擊>表徵圖將其移動至已接入應用安全應用列表後,單擊確定

  4. 在本地重啟目標應用對應的執行個體,使接入生效。

    您可以在應用列表頁面的接入狀態列查看當前應用的接入狀態。待全部執行個體重啟完畢後,應用安全功能將對目標應用的全部執行個體生效。若只有部分執行個體重啟完成,則應用安全功能只在重啟成功的執行個體上生效。

    接入狀態列的已接入執行個體地區顯示目標應用中已接入執行個體和全部執行個體的數量。您可以單擊數字查看執行個體接入狀態詳情。

    接入應用安全

設定防護模式

在完成目標應用接入應用安全功能後,您可以設定目標應用的防護模式。目前防護模式包括以下三種:監控監控並阻斷禁用。應用接入後,預設的防護模式為監控。您可在觀察一段時間確定應用運行無誤後,將防護模式切換為監控並阻斷,以確保攻擊發生時能及時防護您的應用。

  1. 應用安全 > 應用列表頁面,單擊目標應用操作列的防護設定

  2. 在彈出的防護設定對話方塊中,完成以下設定後,單擊確定

    設定項

    說明

    防護模式

    • 監控:只監控攻擊行為,若有配置警示規則,則會產生警示,不影響應用運行。

    • 監控並阻斷:監控並阻斷攻擊行為,阻斷時應用會拋出異常。

    • 禁用:關閉當前應用的應用安全功能,不檢測也不阻斷任何攻擊行為。

    檢測逾時時間

    攻擊檢測的最大時間,輸入範圍為5~200000毫秒,預設設定為300毫秒。若攻擊檢測超過設定的時間,即使未完成檢測邏輯也會繼續執行原始商務邏輯。如無特殊原因,建議使用預設值。

    檢測類型

    檢測攻擊的分類,建議使用預設配置(即全選)。具體檢測類型說明,請參見檢測攻擊類型說明和防護建議

    說明

    若需修改應用的防護設定,需注意,防護設定變更非立即生效,最大延遲在30秒左右。

取消接入目標應用

通過應用監控接入

取消接入通過應用監控接入的目標應用:

  • ACK叢集應用:

    刪除標籤armsSecAutoEnable: "on"

  • 其他環境應用:

    刪除啟動參數-Darms.appsec.enable=true

通過控制台接入

若需取消接入通過控制台接入的目標應用,您可在應用安全 > 應用列表頁面,單擊目標應用操作列的取消接入,然後在彈出的對話方塊中單擊確認。完成後,需在本地重啟目標應用所關聯的相關執行個體,即可取消接入應用安全。

但若沒有特殊情況,只是出於對應用運行效能方面的考慮,則不建議您取消接入應用安全。接入應用安全後,預設防護模式為“監控”。在這種模式下,系統僅上報攻擊警示,不會產生實際阻斷,對應用運行不會產生任何影響,您還可以選擇切換至“禁用”模式來關閉所有安全檢測能力。這種模式下,若存在安全攻擊,系統也不會上報攻擊警示。