您可以通過ARMS控制臺將目標應用一鍵接入應用安全。接入后,重啟該應用對應的實例即可使用應用安全功能,無需修改任何應用代碼。
前提條件
服務授權
在接入應用安全之前,您需要先授權訪問阿里云安全服務。經過您的授權后,ARMS僅限于訪問應用安全依賴的相關資源,用于完成后續的產品功能。
登錄ARMS控制臺。
在左側導航欄,選擇。
在應用安全區域單擊立即授權。
在彈出的提示對話框中單擊確認。
授權后,ARMS將會自動創建應用安全服務關聯角色AliyunServiceRoleForARMSSecurity,授權成功后,您可以查看應用列表并接入目標應用。關于應用安全服務關聯角色AliyunServiceRoleForARMSSecurity的權限說明,請參見應用安全服務關聯角色。
說明如果頁面提示用戶沒有創建服務關聯角色的權限,請聯系阿里云賬號為當前RAM用戶添加指定權限策略。具體操作,請參見常見問題。
通過應用監控接入應用安全
v2.7.1.4及以上版本探針已支持在接入應用監控時開通應用安全。
ACK集群應用:
添加標簽
armsSecAutoEnable: "on",具體操作,請參見容器服務ACK環境自動安裝探針。其他環境應用:
添加啟動參數
-Darms.appsec.enable=true,具體操作,請參見手動安裝探針。
通過控制臺接入應用安全
如果您在接入應用監控時沒有開通應用安全,您可以執行以下操作接入應用安全。
登錄ARMS控制臺。
在左側導航欄,選擇,然后在頁面頂部菜單欄,選擇地域。
應用列表頁面列出當前可以接入應用安全的全部Java應用。
說明接入應用前,請先確認您當前使用的探針版本符合版本要求(v2.7.1.3或以上)。
接入目標應用。
接入單個應用:在目標應用操作列,單擊接入,然后在彈出的對話框中單擊確認。
批量接入應用:
在應用列表頁面,單擊左上角的接入應用。
在接入應用對話框的未接入應用安全應用列表中,選擇需接入應用安全的目標應用,單擊>圖標將其移動至已接入應用安全應用列表后,單擊確定。
在本地重啟目標應用對應的實例,使接入生效。
您可以在應用列表頁面的接入狀態列查看當前應用的接入狀態。待全部實例重啟完畢后,應用安全功能將對目標應用的全部實例生效。若只有部分實例重啟完成,則應用安全功能只在重啟成功的實例上生效。
接入狀態列的已接入實例區域顯示目標應用中已接入實例和全部實例的數量。您可以單擊數字查看實例接入狀態詳情。
設置防護模式
在完成目標應用接入應用安全功能后,您可以設置目標應用的防護模式。目前防護模式包括以下三種:監控、監控并阻斷和禁用。應用接入后,默認的防護模式為監控。您可在觀察一段時間確定應用運行無誤后,將防護模式切換為監控并阻斷,以確保攻擊發生時能及時防護您的應用。
在頁面,單擊目標應用操作列的防護設置。
在彈出的防護設置對話框中,完成以下設置后,單擊確定。
設置項
說明
防護模式
監控:只監控攻擊行為,若有配置告警規則,則會產生告警,不影響應用運行。
監控并阻斷:監控并阻斷攻擊行為,阻斷時應用會拋出異常。
禁用:關閉當前應用的應用安全功能,不檢測也不阻斷任何攻擊行為。
檢測超時時間
攻擊檢測的最大時間,輸入范圍為5~200000毫秒,默認設置為300毫秒。若攻擊檢測超過設置的時間,即使未完成檢測邏輯也會繼續執行原始業務邏輯。如無特殊原因,建議使用默認值。
檢測類型
檢測攻擊的分類,建議使用默認配置(即全選)。具體檢測類型說明,請參見檢測攻擊類型說明和防護建議。
說明若需修改應用的防護設置,需注意,防護設置變更非立即生效,最大延遲在30秒左右。
取消接入目標應用
通過應用監控接入
取消接入通過應用監控接入的目標應用:
ACK集群應用:
刪除標簽
armsSecAutoEnable: "on"。其他環境應用:
刪除啟動參數
-Darms.appsec.enable=true。
通過控制臺接入
若需取消接入通過控制臺接入的目標應用,您可在頁面,單擊目標應用操作列的取消接入,然后在彈出的對話框中單擊確認。完成后,需在本地重啟目標應用所關聯的相關實例,即可取消接入應用安全。
但若沒有特殊情況,只是出于對應用運行性能方面的考慮,則不建議您取消接入應用安全。接入應用安全后,默認防護模式為“監控”。在這種模式下,系統僅上報攻擊告警,不會產生實際阻斷,對應用運行不會產生任何影響,您還可以選擇切換至“禁用”模式來關閉所有安全檢測能力。這種模式下,若存在安全攻擊,系統也不會上報攻擊告警。