本文介紹應用防護功能相關的常見問題。
應用防護和WAF有什麼區別?
應用防護RASP(Runtime Application Self-Protection)和Web Application Firewall (WAF)是用來保護應用程式安全的兩種不同技術,應用防護擅長防護針對伺服器的0day、加密流量等攻擊,WAF擅長防禦前端的流量型攻擊,兩種技術提供的安全能力可以互相補充,建議同時配置應用防護和WAF兩種方式。
專案 | 應用防護RASP | WAF |
側重點 | 應用程式自身的安全,無視流量來源。 | 網路層流量級的攻擊過濾和防護。 |
通用防護範圍 | 針對SQL注入、遠程代碼執行、檔案包含、Webshell等常見的Web漏洞提供防禦措施。 | |
擅長防護範圍 | 0day、複雜編碼/加密流量、記憶體馬、非HTTP協議、內網橫向滲透。 | 拒絕服務的攻擊(例如CC攻擊)、爬蟲攻擊、掃描器、存取控制、API安全。 |
檢測原理 | 對攻擊行為進行檢測。 | 基於流量特徵進行匹配和過濾。 |
部署位置 | 伺服器,注入到應用程式內部。 | 部署在邊界網關或串聯在伺服器前,無入侵。 |
效能 | 消耗伺服器效能。 | 消耗WAF自身效能,對應用和來源站點無影響。 |
漏洞修複 | 虛擬補丁,並能定位到漏洞利用的執行代碼。 | 虛擬補丁,只上報漏洞利用特徵。 |
0day防禦 | 預設支援防護。 | 需要基於漏洞利用方式編寫規則進行防護。 |
應用防護支援接入哪些類型的應用?
應用防護功能僅支援接入並防護Java應用和PHP應用。並且Java應用和PHP應用運行環境需要滿足一定的限制。更多資訊,請參見防護限制。
支援防護Python、Go、.NET應用嗎?
不支援。應用防護功能僅支援接入Java和PHP應用,暫不支援接入其他類型的應用。
應用防護功能對應用運行是否存在影響?
應用防護功能在設計時充分考慮了對系統效能、相容性和穩定性的影響,確保對應用啟動並執行幹擾降至最低。經過實際測試,啟用應用防護後,伺服器CPU額外負荷不超過1%,記憶體額外佔用低於50 MB,應用延遲(回應時間)影響低於1毫秒。
為進一步減少影響,引入了軟熔斷機制等應急措施,最大程度保障應用的平穩運行。更多資訊,請參見自動接入資源使用量閾值說明。
如何選擇應用防護模式?
應用防護檢測到的攻擊是能夠實際產生安全威脅的行為,相比基於流量特徵的傳統檢測技術而言,誤判率較低,所以必須重視應用防護功能所檢測到的攻擊。在接入應用防護後,應用防護對攻擊的預設防護模式為監控。在應用穩定運行後,您可切換為防護模式。
手動接入容器環境Java應用時配置的manager.key有什麼作用?可以不配置嗎?
將manager.key填寫到啟動命令中的主要目的是實現資產關聯,是必須要配置的。
手動接入容器應用時,必須要配置manager.key;手動接入主機環境Java應用時無需配置,伺服器中的應用可以直接關聯到對應資產。
為什麼攻擊統計中沒有攻擊資料?
沒有攻擊資料可能存在以下兩種原因:
目標應用沒有完成接入。您可以重新將應用進程接入RASP。具體操作,請參見接入應用防護。
沒有產生真實有效攻擊行為。與傳統防火牆不同,應用防護僅記錄真實有效攻擊。傳統防火牆會在檢測到報文中存在惡意攻擊特徵時進行上報。但存在惡意特徵不代表攻擊有效,例如利用PHP漏洞的攻擊請求在Java環境中則沒有意義。若產生真實有效攻擊,一般表明攻擊者已成功突破外層防禦,可以打入應用內部環境並執行危險動作。您的應用可能不會存在大量真實有效攻擊,但發生時請務必引起重視,及時攔截攻擊行為或者修複相關安全性漏洞。
弱點檢測和基準檢查弱口令檢查功能有什麼區別?
弱點檢測是根據應用運行時的應用行為以及記憶體情況,判斷是否存在風險項;基準檢查功能主要是進行系統配置項掃描,例如CIS、等保、靜態檔案檢測等。
應用防護為什麼會接入失敗?
接入失敗可能有以下兩種原因:
如果主機上安裝了防毒軟體,那麼防毒軟體有可能將Security Center用戶端或RASP探針進行了隔離,您可以在防毒軟體介面進行檢查。
如果是Linux系統,您需要檢查下root賬戶的密碼是否已經到期。
如何判斷業務是否被應用防護攔截阻斷?
如果業務日誌中出現了AliCloudRaspSecurityException的運行時異常,表示RASP識別到某些異常或潛在的安全威脅,已攔截對應進程的訪問行為。如果無需RASP攔截對應的進程行為,您可以將該進程行為加入白名單。具體操作,請參見新增白名單規則。
如何確定伺服器中可以防護的應用範圍?
應用防護僅支援防護運行狀態的Java和PHP應用。在購買應用防護授權數前,您可以參考下述步驟查看支援接入的應用數量和詳細資料。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在防护统计地區,單擊立即掃描。
單擊立即掃描後,Security Center用戶端將會對您資產中進程資訊進行採集。
說明免費版、僅採購增值服務版、防病毒版和進階版每天僅支援執行一次立即掃描操作。
查看您資產中存在的應用進程數量,您可以單擊數字查看應用進程列表。應用進程列表提供了支援接入應用防護的應用進程所在伺服器資訊、進程名、PID(進程標識符)和啟動參數。
重要防護一個應用進程需消耗一個應用防護授權數。進程數量是動態變化的,此處採集的資料是執行掃描的時刻狀態為啟動中的進程。您可以根據這裡的數量,預估需要購買的應用防護授權數。
如果您之前執行過掃描操作,系統將自動儲存並展示7天內的掃描資料。超過7天的掃描資料將自動被清理。執行掃描後,採集到的伺服器最新資料將覆蓋之前已有的伺服器資料。
如何判斷應用已成功接入應用防護?
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在應用防護頁面的应用配置頁簽,單擊目標應用分組已授權執行個體列下的數字。
在執行個體詳情面板,查看已接入的應用列表。
如果目標伺服器的應用進程PID在應用列表中,則表示該應用已成功接入應用防護。
