接入应用安全

您可以通过ARMS控制台将目标应用一键接入应用安全。接入后,重启该应用对应的实例即可使用应用安全功能,无需修改任何应用代码。

前提条件

  • 应用安全功能目前仅支持Java应用接入。使用前,目标Java应用需已接入ARMS应用监控。具体操作,请参见应用监控接入概述

  • 应用监控的Java探针版本要求:

    • 容器服务应用、EDAS应用等自动升级场景要求版本需为v2.7.1.2或以上。

      说明

      自动升级场景是指可以通过重启应用或Pod等操作自动升级探针版本的场景。更多信息,请参见升级ARMS探针

    • 其他手动升级场景要求版本需为v2.7.1.3或以上。

    您可以登录ARMS控制台,在应用监控 > 探针管理页面查看已接入应用的探针版本。若需升级探针版本,请参见升级ARMS探针

服务授权

在接入应用安全之前,您需要先授权访问阿里云安全服务。经过您的授权后,ARMS仅限于访问应用安全依赖的相关资源,用于完成后续的产品功能。

  1. 登录ARMS控制台

  2. 在左侧导航栏,选择应用安全 > 应用列表

  3. 应用安全区域单击立即授权

  4. 在弹出的提示对话框中单击确认

    授权后,ARMS将会自动创建应用安全服务关联角色AliyunServiceRoleForARMSSecurity,授权成功后,您可以查看应用列表并接入目标应用。关于应用安全服务关联角色AliyunServiceRoleForARMSSecurity的权限说明,请参见应用安全服务关联角色

    说明

    如果页面提示用户没有创建服务关联角色的权限,请联系阿里云账号为当前RAM用户添加指定权限策略。具体操作,请参见常见问题

    应用安全授权

通过应用监控接入应用安全

v2.7.1.4及以上版本探针已支持在接入应用监控时开通应用安全。

通过控制台接入应用安全

如果您在接入应用监控时没有开通应用安全,您可以执行以下操作接入应用安全。

  1. 登录ARMS控制台

  2. 在左侧导航栏,选择应用安全 > 应用列表,然后在页面顶部菜单栏,选择地域。

    应用列表页面列出当前可以接入应用安全的全部Java应用。

    说明

    接入应用前,请先确认您当前使用的探针版本符合版本要求(v2.7.1.3或以上)。

  3. 接入目标应用。

    • 接入单个应用:在目标应用操作列,单击接入,然后在弹出的对话框中单击确认

    • 批量接入应用:

      1. 应用列表页面,单击左上角的接入应用

      2. 接入应用对话框的未接入应用安全应用列表中,选择需接入应用安全的目标应用,单击>图标将其移动至已接入应用安全应用列表后,单击确定

  4. 在本地重启目标应用对应的实例,使接入生效。

    您可以在应用列表页面的接入状态列查看当前应用的接入状态。待全部实例重启完毕后,应用安全功能将对目标应用的全部实例生效。若只有部分实例重启完成,则应用安全功能只在重启成功的实例上生效。

    接入状态列的已接入实例区域显示目标应用中已接入实例和全部实例的数量。您可以单击数字查看实例接入状态详情。

    接入应用安全

设置防护模式

在完成目标应用接入应用安全功能后,您可以设置目标应用的防护模式。目前防护模式包括以下三种:监控监控并阻断禁用。应用接入后,默认的防护模式为监控。您可在观察一段时间确定应用运行无误后,将防护模式切换为监控并阻断,以确保攻击发生时能及时防护您的应用。

  1. 应用安全 > 应用列表页面,单击目标应用操作列的防护设置

  2. 在弹出的防护设置对话框中,完成以下设置后,单击确定

    设置项

    说明

    防护模式

    • 监控:只监控攻击行为,若有配置告警规则,则会产生告警,不影响应用运行。

    • 监控并阻断:监控并阻断攻击行为,阻断时应用会抛出异常。

    • 禁用:关闭当前应用的应用安全功能,不检测也不阻断任何攻击行为。

    检测超时时间

    攻击检测的最大时间,输入范围为5~200000毫秒,默认设置为300毫秒。若攻击检测超过设置的时间,即使未完成检测逻辑也会继续执行原始业务逻辑。如无特殊原因,建议使用默认值。

    检测类型

    检测攻击的分类,建议使用默认配置(即全选)。具体检测类型说明,请参见检测攻击类型说明和防护建议

    说明

    若需修改应用的防护设置,需注意,防护设置变更非立即生效,最大延迟在30秒左右。

取消接入目标应用

通过应用监控接入

取消接入通过应用监控接入的目标应用:

  • ACK集群应用:

    删除标签armsSecAutoEnable: "on"

  • 其他环境应用:

    删除启动参数-Darms.appsec.enable=true

通过控制台接入

若需取消接入通过控制台接入的目标应用,您可在应用安全 > 应用列表页面,单击目标应用操作列的取消接入,然后在弹出的对话框中单击确认。完成后,需在本地重启目标应用所关联的相关实例,即可取消接入应用安全。

但若没有特殊情况,只是出于对应用运行性能方面的考虑,则不建议您取消接入应用安全。接入应用安全后,默认防护模式为“监控”。在这种模式下,系统仅上报攻击告警,不会产生实际阻断,对应用运行不会产生任何影响,您还可以选择切换至“禁用”模式来关闭所有安全检测能力。这种模式下,若存在安全攻击,系统也不会上报攻击告警。