本文介紹使用應用安全過程中可能會遇見的常見問題。
應用安全對應用運行是否存在影響?
應用安全自身對性能、兼容性和穩定性有良好的控制,對應用運行的影響幾乎可以忽略不計。實際測試中,CPU的額外開銷小于1%,內存開銷小于30 MB,應用延遲(RT)小于1 ms。此外,應用安全還提供觀察模式、軟熔斷逃生機制等功能,最大限度降低對應用運行的干擾。
如何接入應用安全?
您可通過ARMS控制臺一鍵接入應用安全,接入后重啟目標應用對應的實例即可,無需修改任何應用代碼。應用安全目前僅支持Java應用接入。具體操作,請參見接入應用安全。
接入應用安全后應如何進行應用防護?
理論上來說,應用安全檢測到的攻擊是能夠實際產生安全威脅的行為,相比基于流量特征的傳統檢測技術而言,誤報率較低,所以對應用安全功能所檢測到的攻擊,必須引起重視。在接入應用安全后,應用安全對攻擊的默認防護模式為“監控”。在應用穩定運行后,您可切換為“監控并阻斷”模式。
為什么攻擊統計中沒有攻擊數據?
沒有攻擊數據可能存在以下三種原因:
目標應用沒有完成接入。在控制臺單擊接入后沒有重啟目標應用對應的實例(或只重啟了部分實例)。
目標應用的Java探針版本較低。應用安全對探針版本要求如下。更多信息,請參見接入應用安全
容器服務應用、EDAS應用等自動升級場景要求版本需為v2.7.1.2或以上。
說明自動升級場景是指可以通過重啟應用或Pod等操作自動升級探針版本的場景。更多信息,請參見升級ARMS探針。
其他手動升級場景要求版本需為v2.7.1.3或以上。
沒有產生真實有效的攻擊行為。與傳統防火墻不同,應用安全僅記錄真實有效的攻擊。傳統防火墻會在檢測到報文中存在惡意攻擊特征時進行上報,但存在惡意特征不代表攻擊有效,例如利用PHP漏洞的攻擊請求在Java環境中則沒有意義。若產生真實有效的攻擊,往往表明攻擊者已成功突破外層防御,可以打入應用內部環境并執行危險動作。您的應用可能不會存在大量真實有效的攻擊,但發生時請務必引起重視,及時攔截或者修復相關安全漏洞。
危險組件檢測中的漏洞應該如何處理?
危險組件檢測中關聯到的漏洞均為已被公開的漏洞,這些漏洞可能會被攻擊者利用進行入侵(即使當前無法被利用,未來應用代碼改動后也存在被利用的風險)。通常情況下,這些漏洞可以被應用安全防御,前提是相關應用的防護模式已經切換到監控并阻斷而不是默認的監控模式。
同時,建議您及時修復這些漏洞。您可以登錄ARMS控制臺,在頁面單擊列表中目標漏洞詳情列的查看,在漏洞詳情頁簽的修復參考區域查看相關修復建議。這些建議多數為相關組件官方提供的升級或修復方案。您也可以通過在搜索引擎中搜索漏洞的CVE編號檢索相關修復方案。