通過在應用中集成RASP(Runtime Application Self-Protection)探針,應用防護能夠實時監測并抵御惡意行為和安全威脅,確保應用持續穩定運行。本文介紹首次將應用接入應用防護的具體操作步驟。
RASP探針說明
支持防護的應用
應用防護功能通過在應用中安裝RASP探針實現攻擊檢測和防護。應用防護僅支持防護滿足以下條件的Java進程,即只支持在滿足以下條件的業務進程中安裝RASP探針。
JDK:JDK 6及以上版本,JDK 13和14暫不支持。
中間件:對中間件類型和版本無特定要求,包括Tomcat、SpringBoot、Jboss、WildFly、Jetty、Resin、Weblogic、Websphere、Liberty、Netty、GlassFish、國產中間件等。
操作系統:Linux(64位)、Windows(64位)。
資源使用量閾值說明
在主機、容器或JVM資源使用量超過一定閾值時,為了保證應用防護功能的正常運行,自動接入方式會暫停接入RASP探針,直到降到閾值以下才會繼續安裝RASP探針;手動接入方式無此限制。停止安裝探針的具體閾值如下:
主機或容器CPU占用超過98%,或剩余內存不足200 MB。
JVM堆內存剩余不足150 MB,元數據空間不足5 MB。
接入白名單說明
接入白名單定義了服務器自動接入應用防護的應用進程范圍。為應用分組配置接入白名單后,只有匹配規則的應用進程才會接入應用防護。下述是接入白名單的生效說明:
僅對0.9.4及以上的RASP探針版本生效。
如果在主機資產接入前配置了接入白名單,則自動接入時該白名單會生效;如果在主機資產接入后配置了接入白名單,已成功接入的進程需等待下次應用進程重啟后生效;對于接入失敗或者接入跳過的進程,接入白名單會在下次自動接入時生效。
前提條件
圖標表示在線。如果Agent離線,處理方法請參見1. 查看哪些應用可以接入
應用防護僅支持防護運行狀態的Java應用。在購買應用防護授權數前,您可以參考下述步驟查看支持接入的應用數量和詳細信息。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在防護統計區域,單擊立即掃描。
單擊立即掃描后,云安全中心客戶端將會對您資產中進程信息進行采集。
說明免費版、僅采購增值服務版、防病毒版和高級版每天僅支持執行一次立即掃描操作。
查看您資產中存在的應用進程數量,您可以單擊數字查看應用進程列表。應用進程列表提供了支持接入應用防護的應用進程所在服務器信息、進程名、PID(進程標識符)和啟動參數。
重要防護一個應用需消耗一個應用防護授權數。進程數量是動態變化的,此處采集的數據是執行掃描的時刻狀態為啟動中的進程。您可以根據這里的數量,預估需要購買的應用防護授權數。
2. 購買應用防護授權數
您需要購買足夠的應用防護授權數,才能將應用接入到應用防護中。在購買云安全中心時,選擇需要的版本(任一版本)和應用防護授權數即可。具體操作,請參見購買云安全中心。
云安全中心免費試用支持免費獲取10個應用防護授權數。如果您未購買過云安全中心,可申請免費試用。具體限制條件和操作,請參見開通7天免費試用。
3. 接入應用防護
應用防護按應用分組執行防護策略,對應用分組內的Web業務進程提供安全防護。因此,您需要先創建應用分組,接入應用進程后,為分組內的業務進程配置統一的防護策略。
3.1 創建應用分組
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在應用配置頁簽,單擊新建應用分組。
在新建應用分組向導頁面,輸入要新建的應用分組名稱和備注信息,然后單擊下一步。
建議您根據需要防護的Web業務進程設置應用分組名稱,應用分組名稱不可重復。完成該操作后,云安全中心會創建一個應用分組。
3.2 自動接入或手動接入
接入方式說明
RASP支持自動接入和手動接入方式,您可以根據下表的說明選擇合適的接入方式。
接入方式 | 說明 | 應用場景 |
自動接入主機和容器(推薦) | 以服務器為單位進行接入,服務器接入后,在應用程序運行時,應用防護功能會使用JVM Attach能力自動識別并接入服務器中的存在監聽端口的Java進程(包括容器環境),將應用防護功能集成到應用程序中。 該方式可以在應用程序運行時動態地加載和卸載應用防護功能,無需重啟應用進程,可以保障業務的連續性。 | 未自動接入過其他應用分組的服務器可以選擇自動接入方式。 說明 如果您服務器中的部分應用進程已自動接入指定應用分組,現需要將該主機中的應用進程重新接入另一個應用分組,您可以先為該服務器關閉應用防護,從當前應用分組移除該服務器,再在新的應用分組開啟自動接入。 |
手動接入 | 以應用為單位進行接入,需手動部署并重啟應用。 |
|
自動接入
建議首次自動接入時避開業務高峰期,分批次灰度執行并觀察業務監控指標。自動接入過程中RASP會對應用進程進行埋點(即插入監控或防護代碼),該過程中產生的退優化現象可能會有半分鐘的CPU占用升高,平均影響10-20s,大型應用的影響小概率為數分鐘,接入完成后自動恢復正常。
一臺主機僅支持自動接入到一個應用分組中,不支持同時自動接入多個應用分組。自動接入服務器時,僅支持選擇未自動接入過其他應用分組且操作系統為64位的主機。
已通過手動接入方式接入的主機,可以開啟自動接入。當您卸載了手動接入的RASP探針后,應用防護會為您重新自動接入。
自動接入只會接入有監聽端口的Java應用。如果Java應用沒有監聽端口,則需要您進行手動接入。
在自動/手動接入應用防護向導頁面自動接入頁簽,單擊選擇資產接入應用防護。
在選擇資產對話框選擇需要接入的資產,并單擊確定。
當您選擇接入的主機后,應用防護功能會自動識別并接入防護主機上的Java服務進程(包括容器環境),無需重啟進程。最多支持同時選擇50臺服務器。
根據需要接入的服務器數量,參考下述說明操作。
僅需接入一臺服務器時,打開該服務器應用防護列的開關,待RASP探針安裝完成后,單擊下一步。
需要接入多臺服務器時,選中需要接入的服務器,單擊批量防護,然后單擊下一步。
批量防護一次最多支持選擇50臺服務器。
為單臺服務器打開應用防護開關或者選中多臺服務器并單擊批量防護后,云安全中心會自動識別并主機上的Java進程接入防護(應用防護開關顯示安裝中),根據您的網絡環境不同此過程可能會持續約10分鐘。如果您的主機中有多個啟動狀態的Java進程,云安全中心會同時接入這些進程。
接入成功后,應用防護列的開關為打開狀態,您可以在應用防護接入狀態列查看應用實例的接入狀態。以下是應用防護接入狀態的說明:
未接入:表示該服務器未開啟應用防護開關。
接入失敗:表示該服務器所有支持防護的應用都接入失敗。
部分接入:表示該服務器支持防護的應用部分接入成功,部分接入失敗。
全部接入:表示該服務器支持防護的Java應用均已接入應用防護,或者該服務器上無可接入的進程。
說明應用防護接入狀態顯示為全部接入時,如果服務器上不存在可接入的進程,或者所屬業務進程不在支持范圍內,此時接入詳情列表為空。如果后續該服務器上出現可接入的進程可自動接入應用防護。
在操作列單擊詳情,可以查看已接入的Java進程狀態。
說明如果您已為應用分組配置接入白名單,未命中接入白名單規則的進程會被跳過接入。
手動接入
您可以參考下述步驟手動將主機或容器中的應用接入應用防護。關于如何選擇手動接入容器方式的說明如下:
手動接入容器(一鍵推送):您已明確需要接入的服務器和應用范圍時,可以直接使用該方式,直接完成安裝包的推送。
手動接入容器(自定義下載安裝):如果需要其他人員協助安裝RASP探針時,您可以使用該方式下載安裝包,并將安裝包分發給其他人員進行安裝部署。
手動接入主機
在接入管理面板手動接入的主機接入指南子頁簽,單擊一鍵推送。
在推送RASP探針對話框,選擇需推送探針的服務器,并單擊確定。
根據應用運行環境類型參考控制臺或下表中的說明在應用服務器中添加JVM參數。
參考下表進行操作時,您需要使用控制臺主機接入指南頁簽展示的應用ID替換下表中的
{appId}。應用ID的位置如下圖所示。
運行環境
參數配置說明
Tomcat(Linux)
在<Tomcat安裝目錄>/bin/setenv.sh文件中添加以下內容。
export CATALINA_OPTS="$CATALINA_OPTS -javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar"如果您的<Tomcat安裝目錄>/bin/目錄下沒有setenv.sh配置文件,請在<Tomcat安裝目錄>/bin/目錄下創建該文件。
Tomcat(Windows)
在<Tomcat安裝目錄>\bin\setenv.bat文件中添加以下內容。
set CATALINA_OPTS=%CATALINA_OPTS% "-javaagent:C:\Program Files (x86)\Alibaba\Aegis\rasp\apps\{appId}\rasp.jar"如果您的<Tomcat安裝目錄>\bin\目錄下沒有setenv.bat配置文件,請在<Tomcat安裝目錄>\bin\下創建該文件。
Jetty
在{JETTY_HOME}/start.ini配置文件中添加以下配置。
--exec -javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jarSpring Boot
啟動Spring Boot進程時,在啟動命令后加上-javaagent參數。
java -javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar例如,您在啟動Spring Boot進程時修改前的命令為:
java -jar app.jar需要安裝RASP探針時啟動Spring Boot進程執行的命令為:
java -javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar -jar app.jar重要-javaagent參數應始終放在-jar參數之前。
JBoss或WildFly
Standalone模式
打開<Jboss安裝目錄>/bin/standalone.sh,在# Display our environment下面添加以下內容:
JAVA_OPTS="${JAVA_OPTS} -javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar"Domain模式
打開<Jboss安裝目錄>/domain/configuration/domain.xml文件,找到<server-groups>標簽,在需要安裝RASP探針的<server-group>標簽中找到<jvm>標簽并添加以下內容:
<jvm-options> <option value="-javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar"/> </jvm-options>
Liberty
在<Liberty安裝目錄>/${server.config.dir}路徑下(默認路徑為:/opt/ibm/wlp/usr/servers/defaultServer/jvm.options),創建或修改jvm.options文件 ,在文件中添加以下內容:
-javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jarResin
Resin3
在<Resin安裝目錄>/conf/resin.conf路徑下,找到 <server-default> 標簽下的 <jvm-arg>標簽,在下面添加以下內容:
<jvm-arg>-javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar</jvm-arg>Resin4
在<Resin安裝目錄>/conf/cluster-default.xml路徑下,找到<server-default>標簽下的<jvm-arg-line>標簽,在下面添加以下內容:
<jvm-arg>-javaagent:/usr/local/aegis/rasp/apps/{appId}/rasp.jar</jvm-arg>
在本地重啟需接入的應用。
應用重啟后RASP防護可立即生效。您可以在應用配置頁面,查看該應用分組下接入實例列表。
手動接入容器(一鍵推送安裝)
在接入管理面板手動接入頁簽的容器接入指南子頁簽,單擊一鍵推送。
您也可以在推送記錄頁簽,單擊推送RASP探針,為應用所在的主機或容器推送并安裝RASP探針。
在推送RASP探針對話框,選擇需推送探針的服務器,并單擊確定。
啟動RASP探針。
方法一:寫入Dockerfile方式
執行下述命令進入Dockerfile所在目錄,并創建rasp目錄。
cd <Dockerfile所在目錄> mkdir rasp執行下述命令將推送到服務器上的RASP文件拷貝到新創建的rasp目錄下。
您可以在云安全中心控制臺容器接入指南頁簽下,獲取應用分組ID的值。
cp -r /usr/local/aegis/rasp/apps/<應用分組ID>/* ./rasp修改Dockerfile文件,將下載好的 rasp 安裝包打包到容器鏡像中。Dockerfile文件需要添加的內容如下。
COPY rasp /rasp/重要您需要賦予指定用戶讀取和執行/rasp/目錄以及目錄下文件的權限。
通過Dockerfile 修改JVM啟動參數,添加-javaagent:/rasp/rasp.jar。
您需要使用容器接入指南頁簽展示的
Dmanager.key值替換下表中的{manager.key}。運行環境
參數配置說明
SpringBoot
在鏡像打包時安裝RASP探針,您需要在Dockerfile上修改啟動參數。啟動應用的命令修改如下:
修改前:
CMD ["java","-jar","/app.jar"]修改后:
CMD ["java","-javaagent:/rasp/rasp.jar","-Dmanager.key={manager.key}","-jar","/app.jar"]Tomcat
在鏡像打包時安裝RASP探針,您需要在Dockerfile中添加以下內容。
ENV JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}"在容器啟動時安裝RASP探針,您需要在啟動時添加以下參數。
docker --env JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}"
例如,您的容器啟動命令為
docker -itd --name=test -P 鏡像名,您需要在啟動容器時安裝RASP探針,則執行的命令需要修改為docker -itd --env JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}" --name=test -P 鏡像名。Weblogic
重新生成鏡像,并啟動容器。
方法二:數據卷掛載方式
執行下述命令在創建容器時將服務器上的rasp目錄掛載到容器指定目錄。
docker run -itd --privileged=true -v /usr/local/aegis/rasp/apps/<應用分組ID>:/rasp/ 鏡像ID執行下述命令進入容器。
docker exec -it <容器ID> /bin/bash在應用服務器的啟動腳本中添加以下JVM參數以啟動RASP探針。
您需要參考下述參數結合自己的業務環境進行配置。您需要使用容器接入指南頁簽展示的
Dmanager.key值替換下述{manager.key}。-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}
手動接入容器(自定義下載安裝)
在接入管理面板手動接入頁簽的容器接入指南子頁簽,在下載安裝RASP探針下方的下拉列表中選擇自定義下載安裝。
您也可以在推送記錄頁簽,單擊推送RASP探針,為應用所在的主機或容器推送并安裝RASP探針。
在下拉列表中,根據您需要安裝RASP探針的服務器是否通過代理接入云安全中心,選擇不接入代理或自建代理集群。
選擇自建代理集群后,您需要選擇服務器接入的代理集群。關于代理接入的更多信息,請參見代理接入。
單擊RASP安裝包右側的下載,下載RASP安裝包。
啟動RASP探針。
方法一:寫入Dockerfile方式
執行下述命令進入Dockerfile所在目錄。
cd <Dockerfile所在目錄>將下載的RASP安裝包上傳到Dockerfile所在目錄下,并解壓RASP安裝包到該目錄。
unzip <安裝包名稱> -d .說明安裝包解壓完成后會直接生成一個名稱為rasp的目錄。
修改Dockerfile文件,將下載好的 rasp 安裝包打包到容器鏡像中。Dockerfile文件需要添加的內容如下。
COPY rasp /rasp/重要您需要賦予指定用戶讀取和執行/rasp/目錄以及目錄下文件的權限。
通過Dockerfile 修改JVM啟動參數,添加-javaagent:/rasp/rasp.jar。
您需要使用容器接入指南頁簽展示的
Dmanager.key值替換下表中的{manager.key}。運行環境
參數配置說明
SpringBoot
在鏡像打包時安裝RASP探針,您需要在Dockerfile上修改啟動參數。啟動應用的命令修改如下:
修改前:
CMD ["java","-jar","/app.jar"]修改后:
CMD ["java","-javaagent:/rasp/rasp.jar","-Dmanager.key={manager.key}","-jar","/app.jar"]Tomcat
在鏡像打包時安裝RASP探針,您需要在Dockerfile中添加以下內容。
ENV JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}"在容器啟動時安裝RASP探針,您需要在啟動時添加以下參數。
docker --env JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}"
例如,您的容器啟動命令為
docker -itd --name=test -P 鏡像名,您需要在啟動容器時安裝RASP探針,則執行的命令需要修改為docker -itd --env JAVA_OPTS="-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}" --name=test -P 鏡像名。Weblogic
重新生成鏡像,并啟動容器。
方法二:數據卷掛載方式
將下載的RASP安裝包上傳到服務器指定的目錄下,并執行解壓操作。
您需要根據具體環境替換user.path為正確的路徑。
unzip zhh-php1-China.zip -d /<user.path>/執行下述命令在創建容器時將服務器上的rasp目錄掛載到容器指定目錄。
docker run -itd -v /<user.path>/rasp:/rasp/ 鏡像id執行下述命令進入容器。
docker exec -it <容器ID> /bin/bash在應用服務器的啟動腳本中添加以下JVM參數以啟動RASP探針。
您需要參考下述參數結合自己的業務環境進行配置。您需要使用容器接入指南頁簽展示的
Dmanager.key值替換下述{manager.key}。-javaagent:/rasp/rasp.jar -Dmanager.key={manager.key}
3.3 設置防護策略
在觀察告警無誤設置“防護”模式向導頁面,設置防護策略,單擊確定。
默認防護模式為監控模式,建議您先使用監控模式2~5天,如果在此期間未出現誤告警您可以將防護模式修改為防護。如果出現誤告警,您可以通過配置白名單規則,屏蔽產生誤攔截的檢測類型。具體操作,請參見將告警加入白名單。
分類 | 配置項 | 說明 |
防護策略 | 應用分組名稱 | 展示應用分組的名稱,在此處不支持修改。 |
防護模式 | 選擇應用分組的防護模式,可選項:
| |
防護策略組 | 默認的防護策略組是日常運行組。您可以在下拉列表中選擇其他防護策略組。防護策略組的更多信息,請參見5. 管理防護策略組。 | |
檢測類型 | 展示已選擇的防護策略組支持的檢測類型。 | |
檢測策略 | 弱點檢測 | 選擇是否為當前應用分組開啟弱點檢測。更多信息,請參見發現應用弱點。 |
內存馬檢測 | 選擇是否為當前應用分組開啟內存馬檢測。更多信息,請參見內存馬防御。 | |
常用配置 | 檢測超時時間 | 攻擊檢測的最大時間,輸入范圍為1~60,000毫秒,默認設置為300毫秒。若攻擊檢測超過設置的時間,即使未完成檢測邏輯也會繼續執行原始業務邏輯。如無特殊原因,建議使用默認值。 |
源IP判斷方式 |
| |
運行時熔斷配置 | 開啟該功能后,當服務器或進程的資源占用率超過CPU或內存任一熔斷值時,RASP的實時防護能力、內存馬檢測和弱點檢測能力將自動停止。當服務器或進程資源占用率低于設置的所有熔斷值時,RASP的防護能力會自動恢復。 該功能可以保障業務在高峰情況下穩定運行,默認為關閉狀態。如果您的應用為對性能敏感的計算型業務,可以開啟該功能。配置說明如下:
重要
|
3.4 配置自動接入白名單
如果您的業務較為敏感不想接入應用防護,或者想對特定業務進程做灰度接入,您可以通過配置接入白名單,設置白名單規則定義需要接入應用防護的進程列表。僅命中白名單規則的進程會接入應用防護。未配置白名單規則時,資產中的所有進程會全部自動接入。以下步驟介紹如何配置接入白名單,如果無需配置可跳過該步驟。
在新建應用分組面板的自動接入頁簽,單擊接入白名單。
在白名單列表頁面接入白名單頁簽,單擊配置接入白名單。
在配置接入白名單面板,配置下述參數,并單擊確定。
配置項
說明
規則名稱
輸入接入白名單規則的名稱。
加白模式
選擇白名單規則使用的加白模式。可選項:
cmdline:通過命令行參數匹配需接入的進程。該模式支持的匹配方式包括:
包含
包含多值之一
不包含
不包含任一值
環境變量:通過進程訪問的環境變量匹配需接入的進程。該模式支持的匹配方式為等于。
-D參數:通過Java程序啟動時設置的系統屬性匹配需接入的進程。該模式支持的匹配方式為等于。
配置示例如下:
僅接入tomcat相關進程
加白模式選擇為cmdline。
匹配方式選擇為包含。
匹配內容選輸入tomcat。
接入非apache和test的進程
加白模式選擇為cmdline。
匹配方式選擇為不包含任一值。
匹配內容選輸入apache,test。
匹配方式
選擇規則的匹配方式。
匹配字段
輸入規則的匹配字段。
說明僅加白模式選擇環境變量或-D參數時,需要配置該參數。
匹配內容
輸入規則的匹配內容。
生效應用分組
選擇接入白名單規則生效的應用分組。
4. 驗證應用接入情況
如果應用進程的PID展示在應用分組的已授權實例列表中,則說明該應用已正常接入應用防護。參考以下步驟可查看已接入的應用列表。
在應用防護頁面的應用配置頁簽,單擊目標應用分組已授權實例列下的數字。
在實例詳情面板,查看已接入的應用列表。
如果目標服務器的應用進程PID在應用列表中,則表示該應用已成功接入應用防護。
5. 管理防護策略組
為滿足不同業務情況下的安全需求,應用防護功能對攻擊檢測規則的能力進行分級,提供了防護策略組:業務優先組(默認寬松規則組)、正常運營組(默認標準規則組)和防護優先組(默認嚴格規則組)。
默認防護策略組中的規則的檢測模式均相同,例如默認業務優先組(默認寬松規則組)內所有攻擊規則的檢測模式均為寬松;您可以根據實際需要使用對應規則組,或自定義規則組。
檢測模式說明
為了平衡不同業務場景下誤報率和攻擊防護強度,應用防護功能定義了多種檢測模式:寬松、標準和嚴格。這三種模式的防護能力從低到高逐級遞增,誤報率也是從低到高。
寬松:只覆蓋已知攻擊特征,極少誤報。
標準(默認):覆蓋常見攻擊特征,并具有部分泛化推理能力,適用于日常運維場景。
嚴格:支持識別更多隱蔽的攻擊行為,適用于重保場景,但存在一定的誤報風險。
新建防護策略組
在應用防護頁面的應用配置頁簽,單擊防護策略組管理。
單擊新建防護策略組。
在新建防護策略組面板,輸入防護策略組名稱、備注,并單擊檢測類型右側的選擇配置檢測類型。
在選擇檢測類型面板,選中需要的檢測類型,并設置檢測模式,選擇完成后,單擊確定。
例如,在已有的告警中,您發現SQL注入誤報較多,您可以將SQL注入檢測項的檢測模式修改為寬松。
單擊確定。
相關操作
授權數管理
查看應用防護剩余授權數
防護一個應用進程實例會消耗一個授權數。在使用應用防護功能時,請確保您擁有充足的剩余授權數。購買應用防護授權數后,您可以在應用防護頁面應用配置頁簽查看剩余授權數。
如果剩余授權數不足,即剩余授權數為0時:
進行自動接入時,無法選擇主機資產進行接入。
說明如果在自動接入的過程中授權數消耗完,應用進程可正常接入,但是超出授權數部分的進程實例狀態為未授權。
使用手動接入方式可正常接入應用進程,但實例狀態為未授權。未授權狀態的實例沒有受到防護。
授權數不足時,建議您參考下文,擴充應用授權數。
擴充應用防護授權數
如果需要防護的應用實例數量大于剩余授權數,您需要在應用防護頁面應用配置頁簽,單擊剩余授權數右側的升級,前往相應頁面購買應用防護授權數。
修改應用分組的防護策略
您可以參考下述步驟修改應用分組的防護策略。
在應用防護頁面的應用配置頁簽,單擊目標應用分組操作列的防護策略。
在防護策略面板,在防護策略組下拉列表中選擇需生效的防護策略組。
單擊確定。
關閉應用防護
關閉單個應用的防護
在應用防護頁面應用配置頁簽,單擊目標應用分組操作列的接入管理,在接入管理面板,根據您的應用接入方式參考以下說明卸載RASP探針:
自動接入(云安全中心客戶端在線):在自動接入頁簽,選中需要卸載實例的服務器,單擊批量關閉防護。或關閉應用防護列的開關,卸載該服務器中的RASP探針。
重要如果不再需要防護指定服務器,您可以在確保該服務器的應用防護開關為關閉狀態時,刪除該服務器。
在自動接入頁簽,單擊目標服務器操作列的刪除,或選中多個服務器后單擊批量刪除,在該應用分組下刪除服務器。
自動接入(云安全中心客戶端離線):云安全中心客戶端離線時,無法通過控制臺自動卸載RASP探針,您需要參考以下步驟手動卸載RASP探針。
在服務器的終端或命令行界面中執行
crontab -e。在定時任務列表中刪除應用防護相關任務。應用防護相關任務如下所示。
* * * * * bash -c /usr/local/aegis/rasp/apps/664dd403cd24364f9e******/attach/runJavaFinder.sh http://update-vpc.aegis.aliyuncs.com/rasp/plugin/v1/error/report aa97bdc587ac7ab37028506359****** 6901ad53-a454-4681-afdb-c894d2******保存cron定時任務文件并退出。
使用編輯器
vi或vim,先按Esc鍵確保你處于正常模式,然后輸入:wq并回車來保存并退出。使用編輯器nano,按
Ctrl+O來保存更改,然后按Ctrl+X退出。
在業務低峰時期重啟進程。
手動接入:如果需要為目標應用卸載RASP探針,您需要手動刪除在接入指南中添加的JVM參數,然后重啟相關應用,即可取消接入應用防護功能。
禁用應用分組的防護
需要停止某個應用分組下的所有應用防護時,您可以在應用防護頁面應用配置頁簽,單擊目標應用分組操作列的防護策略,將防護模式修改為禁用,并單擊確定。
刪除應用分組
刪除應用分組后,對該分組下所有實例的防護都會失效。請您在確認無需使用該應用分組下的所有RASP探針時,再執行刪除操作。
在刪除應用分組前,您需要確認當前應用分組下不存在已授權實例,或自動接入中所有服務器的應用防護開關均為關閉狀態。
在應用防護頁面的應用配置頁簽,單擊目標應用分組操作列的刪除。
查看探針版本
在應用防護頁面應用配置頁簽,單擊目標應用分組接入實例列的數字,查看已接入的實例列表。如果應用實例RASP版本列右側顯示
圖標,代表該應用實例安裝的探針存在新版本,建議您通過重啟應用來自動更新探針版本。
查看實例狀態
在應用防護頁面應用配置頁簽,單擊目標應用分組接入實例列的數字,查看已接入的實例列表。
不同狀態實例的具體含義如下:
在線已授權:該實例已被正常防護。
在線未授權:由于應用防護授權數不足,該實例雖已成功接入但未受到防護。您可以單擊剩余授權數右側的升級購買充足的應用防護授權數。
離線:該實例未接入應用防護。
在線防護熔斷:該實例所在應用分組開啟了運行時熔斷配置,該實例的資源占用率已滿足熔斷條件,應用防護已停止對該實例的防護,處于該狀態的實例會占用授權數。當該實例的資源占用率降低到所有熔斷條件下時,應用防護會重新開啟對該實例的防護,該實例狀態將變更為在線已授權。
