本文介紹使用應用安全過程中可能會遇見的常見問題。
應用安全對應用運行是否存在影響?
應用安全自身對效能、相容性和穩定性有良好的控制,對應用啟動並執行影響幾乎可以忽略不計。實際測試中,CPU的額外開銷小於1%,記憶體開銷小於30 MB,應用延遲(RT)小於1 ms。此外,應用安全還提供觀察模式、軟熔斷逃生機制等功能,最大限度降低對應用啟動並執行幹擾。
如何接入應用安全?
您可通過ARMS控制台一鍵接入應用安全,接入後重啟目標應用對應的執行個體即可,無需修改任何應用代碼。應用安全目前僅支援Java應用接入。具體操作,請參見接入應用安全。
接入應用安全後應如何進行應用防護?
理論上來說,應用安全檢測到的攻擊是能夠實際產生安全威脅的行為,相比基於流量特徵的傳統檢測技術而言,誤判率較低,所以對應用安全功能所檢測到的攻擊,必須引起重視。在接入應用安全後,應用安全對攻擊的預設防護模式為“監控”。在應用穩定運行後,您可切換為“監控並阻斷”模式。
為什麼攻擊統計中沒有攻擊資料?
沒有攻擊資料可能存在以下三種原因:
目標應用沒有完成接入。在控制台單擊接入後沒有重啟目標應用對應的執行個體(或只重啟了部分執行個體)。
目標應用的Java探針版本較低。應用安全對探針版本要求如下。更多資訊,請參見接入應用安全
Container Service應用、EDAS應用等自動升級情境要求版本需為v2.7.1.2或以上。
說明自動升級情境是指可以通過重啟應用或Pod等操作自動升級探針版本的情境。更多資訊,請參見升級ARMS探針。
其他手動升級情境要求版本需為v2.7.1.3或以上。
沒有產生真實有效攻擊行為。與傳統防火牆不同,應用安全僅記錄真實有效攻擊。傳統防火牆會在檢測到報文中存在惡意攻擊特徵時進行上報,但存在惡意特徵不代表攻擊有效,例如利用PHP漏洞的攻擊請求在Java環境中則沒有意義。若產生真實有效攻擊,往往表明攻擊者已成功突破外層防禦,可以打入應用內部環境並執行危險動作。您的應用可能不會存在大量真實有效攻擊,但發生時請務必引起重視,及時攔截或者修複相關安全性漏洞。
危險組件檢測中的漏洞應該如何處理?
危險組件檢測中關聯到的漏洞均為已被公開的漏洞,這些漏洞可能會被攻擊者利用進行入侵(即使當前無法被利用,未來應用代碼改動後也存在被利用的風險)。通常情況下,這些漏洞可以被應用安全防禦,前提是相關應用的防護模式已經切換到監控並阻斷而不是預設的監控模式。
同時,建議您及時修複這些漏洞。您可以登入ARMS控制台,在頁面單擊列表中目標漏洞詳情列的查看,在漏洞詳情頁簽的修複參考地區查看相關修複建議。這些建議多數為相關組件官方提供的升級或修複方案。您也可以通過在搜尋引擎中搜尋漏洞的CVE編號檢索相關修複方案。