本文介绍应用防护功能相关的常见问题。
应用防护RASP(Runtime Application Self-Protection)和Web 应用防火墙 WAF(Web Application Firewall)有什么区别?
应用防护和Web应用防火墙是用来保护应用程序安全的两种不同技术,应用防护擅长防护针对服务器的0day、加密流量等攻击,WAF擅长防御前端的流量型攻击,两种技术提供的安全能力可以互相补充,建议同时配置应用防护和WAF两种方式。
项目 | 应用防护RASP | WAF |
侧重点 | 应用程序自身的安全,无视流量来源。 | 网络层流量级的攻击过滤和防护。 |
通用防护范围 | 针对SQL注入、跨站脚本(XSS)、远程代码执行、文件包含、Webshell等常见的Web漏洞提供防御措施。 | |
擅长防护范围 | 0day、复杂编码/加密流量、内存马、非HTTP协议、内网横向渗透 | 拒绝服务攻击(例如CC攻击)、爬虫攻击、扫描器、访问控制、API安全 |
检测原理 | 对攻击行为进行检测。 | 基于流量特征进行匹配和过滤。 |
部署位置 | 服务器,注入到应用程序内部。 | 部署在边界网关或串联在服务器前,无入侵 |
性能 | 消耗服务器性能 | 消耗WAF自身性能,对应用和源站无影响 |
漏洞修复 | 虚拟补丁,并能定位到漏洞利用的执行代码 | 虚拟补丁,只上报漏洞利用特征 |
0day防御 | 默认支持防护 | 需要基于漏洞利用方式编写规则进行防护。 |
应用防护支持接入哪些类型的应用?
应用防护功能目前仅支持接入Java应用及相关中间件,例如Tomcat。
如何确定服务器中可以防护的应用范围?
应用防护仅支持防护运行状态的Java应用。在购买应用防护授权数前,您可以参考下述步骤查看支持接入的应用数量和详细信息。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在防护统计区域,单击立即扫描。
单击立即扫描后,云安全中心客户端将会对您资产中进程信息进行采集。
说明免费版、仅采购增值服务版、防病毒版和高级版每天仅支持执行一次立即扫描操作。
查看您资产中存在的应用进程数量,您可以单击数字查看应用进程列表。应用进程列表提供了支持接入应用防护的应用进程所在服务器信息、进程名、PID(进程标识符)和启动参数。
重要防护一个应用需消耗一个应用防护授权数。进程数量是动态变化的,此处采集的数据是执行扫描的时刻状态为启动中的进程。您可以根据这里的数量,预估需要购买的应用防护授权数。
支持防护PHP、Python、Go、.NET应用吗?
不支持。应用防护功能仅支持接入Java应用,暂不支持接入其他类型的应用。
如何判断应用已成功接入应用防护?
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在应用防护页面的应用配置页签,单击目标应用分组已授权实例列下的数字。
在实例详情面板,查看已接入的应用列表。
如果目标服务器的应用进程PID在应用列表中,则表示该应用已成功接入应用防护。
应用防护对应用运行是否存在影响?
应用防护设计时充分考虑了对系统性能、兼容性和稳定性的影响,确保对应用运行的干扰降至最低。经过实际测试,启用应用防护后,服务器CPU额外负荷不超过1%,内存额外占用低于40 MB,应用延迟(响应时间)影响低于1毫秒。
为进一步减少影响,引入了软熔断机制等应急措施,最大程度保障应用的平稳运行。更多信息,请参见资源使用量阈值说明。
如何选择应用防护模式?
应用防护检测到的攻击是能够实际产生安全威胁的行为,相比基于流量特征的传统检测技术而言,误报率较低,所以必须重视应用防护功能所检测到的攻击。在接入应用防护后,应用防护对攻击的默认防护模式为监控。在应用稳定运行后,您可切换为防护模式。
容器手动接入时配置的manager.key有什么作用?
将manager.key填写到启动命令中的主要目的是实现资产联动。在云安全中心的漏洞管理功能中,应用漏洞会对相应的应用进行打标,如果某些漏洞关联的资产已安装了RASP(Runtime Application Self-Protection)探针,需要标记为已保护。云安全中心会获取启动命令,而这个manager.key就是为了与RASP应用进行关联。
容器手动接入时可以不配置manager.key吗?
不可以。
手动接入容器应用时,必须要配置manager.key;手动接入主机应用时无需配置,服务器中的应用可以直接关联到对应资产。
为什么攻击统计中没有攻击数据?
没有攻击数据可能存在以下两种原因:
目标应用没有完成接入。您可以重新将应用进程接入RASP。具体操作,请参见接入应用防护。
没有产生真实有效的攻击行为。与传统防火墙不同,应用防护仅记录真实有效的攻击。传统防火墙会在检测到报文中存在恶意攻击特征时进行上报。但存在恶意特征不代表攻击有效,例如利用PHP漏洞的攻击请求在Java环境中则没有意义。若产生真实有效的攻击,一般表明攻击者已成功突破外层防御,可以打入应用内部环境并执行危险动作。您的应用可能不会存在大量真实有效的攻击,但发生时请务必引起重视,及时拦截或者修复相关安全漏洞。
弱点检测和基线检查弱口令检查功能有什么区别?
弱点检测是根据应用运行时的应用行为以及内存情况,判断是否存在风险项;基线检查功能主要是进行系统配置项扫描,例如CIS、等保、静态文件检测等。
应用防护为什么会接入失败?
接入失败可能有以下两种原因:
如果主机上安装了防病毒软件,那么它有可能将云安全中心客户段或RASP探针进行了隔离,您可以在防病毒软件的界面进行检查。
如果是Linux系统,您需要检查下root账户的密码是否已经过期。
如何判断业务是否被应用防护拦截阻断?
如果业务日志中出现了AliCloudRaspSecurityException的运行时异常,表示RASP识别到某些异常或潜在的安全威胁,已拦截对应进程的访问行为。