应用防护FAQ

本文介绍云安全中心应用防护功能相关的常见问题。

应用防护和WAF有什么区别?

应用防护RASP(Runtime Application Self-Protection)和Web 应用防火墙 WAF(Web Application Firewall)是用来保护应用程序安全的两种不同技术,应用防护擅长防护针对服务器的0day、加密流量等攻击,WAF擅长防御前端的流量型攻击,两种技术提供的安全能力可以互相补充,建议同时配置应用防护和WAF两种方式。

项目

应用防护RASP

WAF

侧重点

应用程序自身的安全,无视流量来源。

网络层流量级的攻击过滤和防护。

通用防护范围

针对SQL注入、跨站脚本(XSS)、远程代码执行、文件包含、Webshell等常见的Web漏洞提供防御措施。

擅长防护范围

0day、复杂编码/加密流量、内存马、非HTTP协议、内网横向渗透

拒绝服务攻击(例如CC攻击)、爬虫攻击、扫描器、访问控制、API安全

检测原理

对攻击行为进行检测。

基于流量特征进行匹配和过滤。

部署位置

服务器,注入到应用程序内部。

部署在边界网关或串联在服务器前,无入侵

性能

消耗服务器性能

消耗WAF自身性能,对应用和源站无影响

漏洞修复

虚拟补丁,并能定位到漏洞利用的执行代码

虚拟补丁,只上报漏洞利用特征

0day防御

默认支持防护

需要基于漏洞利用方式编写规则进行防护。

应用防护支持接入哪些类型的应用?

应用防护功能目前仅支持接入Java应用及相关中间件,例如Tomcat。

如何确定服务器中可以防护的应用范围?

应用防护仅支持防护运行状态的Java应用。在购买应用防护授权数前,您可以参考下述步骤查看支持接入的应用数量和详细信息。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 应用防护

  3. 防护统计区域,单击立即扫描

    单击立即扫描后,云安全中心客户端将会对您资产中进程信息进行采集。

    说明

    免费版、仅采购增值服务版、防病毒版和高级版每天仅支持执行一次立即扫描操作。

  4. 查看您资产中存在的应用进程数量,您可以单击数字查看应用进程列表。应用进程列表提供了支持接入应用防护的应用进程所在服务器信息、进程名、PID(进程标识符)和启动参数。

    重要

    防护一个应用需消耗一个应用防护授权数。进程数量是动态变化的,此处采集的数据是扫描时间状态为启动中的进程。您可以根据这里的数量,预估需要购买的应用防护授权数。

    image.png

支持防护PHP、Python、Go、.NET应用吗?

不支持。应用防护功能仅支持接入Java应用,暂不支持接入其他类型的应用。

如何判断应用已成功接入应用防护?

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 应用防护

  3. 应用防护页面的应用配置页签,单击目标应用分组已授权实例列下的数字。

  4. 在实例详情面板,查看已接入的应用列表。

    如果目标服务器的应用进程PID在应用列表中,则表示该应用已成功接入应用防护。

    image.png

应用防护对应用运行是否存在影响?

应用防护设计时充分考虑了对系统性能、兼容性和稳定性的影响,确保对应用运行的干扰降至最低。经过实际测试,启用应用防护后,服务器CPU额外负荷不超过1%,内存额外占用低于40 MB,应用延迟(响应时间)影响低于1毫秒。

为进一步减少影响,引入了软熔断机制等应急措施,最大程度保障应用的平稳运行。更多信息,请参见资源使用量阈值说明

如何选择应用防护模式?

应用防护检测到的攻击是能够实际产生安全威胁的行为,相比基于流量特征的传统检测技术而言,误报率较低,所以必须重视应用防护功能所检测到的攻击。在接入应用防护后,应用防护对攻击的默认防护模式为监控。在应用稳定运行后,您可切换为防护模式。

容器手动接入时配置的manager.key有什么作用?

将manager.key填写到启动命令中的主要目的是实现资产联动。在云安全中心的漏洞管理功能中,应用漏洞会对相应的应用进行打标,如果某些漏洞关联的资产已安装了RASP(Runtime Application Self-Protection)探针,需要标记为已保护。云安全中心会获取启动命令,而这个manager.key就是为了与RASP应用进行关联。

容器手动接入时可以不配置manager.key吗?

不可以。

手动接入容器应用时,必须要配置manager.key;手动接入主机应用时无需配置,服务器中的应用可以直接关联到对应资产。

为什么攻击统计中没有攻击数据?

没有攻击数据可能存在以下两种原因:

  • 目标应用没有完成接入。您可以重新将应用进程接入RASP。具体操作,请参见接入应用防护

  • 没有产生真实有效的攻击行为。与传统防火墙不同,应用防护仅记录真实有效的攻击。传统防火墙会在检测到报文中存在恶意攻击特征时进行上报。但存在恶意特征不代表攻击有效,例如利用PHP漏洞的攻击请求在Java环境中则没有意义。若产生真实有效的攻击,一般表明攻击者已成功突破外层防御,可以打入应用内部环境并执行危险动作。您的应用可能不会存在大量真实有效的攻击,但发生时请务必引起重视,及时拦截或者修复相关安全漏洞。

弱点检测和基线检查弱口令检查功能有什么区别?

弱点检测是根据应用运行时的应用行为以及内存情况,判断是否存在风险项;基线检查功能主要是进行系统配置项扫描,例如CIS、等保、静态文件检测等。

应用防护为什么会接入失败?

接入失败可能有以下两种原因:

  1. 如果主机上安装了防病毒软件,那么它有可能将云安全中心客户段或RASP探针进行了隔离,您可以在防病毒软件的界面进行检查。

  2. 如果是Linux系统,您需要检查下root账户的密码是否已经过期。

如何判断业务是否被应用防护拦截阻断?

如果业务日志中出现了AliCloudRaspSecurityException的运行时异常,表示RASP识别到某些异常或潜在的安全威胁,已拦截对应进程的访问行为。