Aturan akses mengontrol proses server mana yang terhubung ke Application Protection dalam mode akses otomatis. Gunakan daftar hitam untuk mengecualikan proses tertentu dari perlindungan atau daftar putih untuk hanya melindungi kumpulan proses yang telah ditentukan. Topik ini menjelaskan model prioritas aturan, prosedur konfigurasi, serta opsi akses penuh otomatis untuk proses Java.
Cara kerja aturan
Aturan akses mengikuti model prioritas tetap:
Daftar hitam memiliki prioritas lebih tinggi daripada daftar putih. Jika suatu proses sesuai dengan aturan daftar hitam sekaligus aturan daftar putih, proses tersebut tidak akan terhubung.
Aturan hanya berlaku untuk mode akses otomatis. Mode akses manual tidak terpengaruh.
Waktu penerapan aturan bergantung pada apakah proses sudah terhubung atau belum:
Aturan yang dikonfigurasi sebelum proses terhubung berlaku segera.
Aturan yang dikonfigurasi setelah proses terhubung berlaku saat proses dijalankan ulang atau selama siklus akses otomatis berikutnya.
Menghapus aturan daftar hitam berlaku segera, terlepas dari status proses.
Pilih jenis kebijakan
| Kebijakan | Fungsinya | Gunakan saat |
|---|---|---|
| Daftar hitam | Mengecualikan proses tertentu dari perlindungan. Proses yang sesuai dengan aturan daftar hitam tidak akan terhubung ke Application Protection. Memerlukan RASP agent versi 1.0.5 atau lebih baru. | Sebagian besar proses memerlukan perlindungan, tetapi beberapa harus dikecualikan—misalnya, database, proses sistem tepercaya, proses dengan masalah kompatibilitas, atau proses di lingkungan pengujian. |
| Daftar putih | Hanya melindungi proses dalam cakupan tertentu. Hanya proses yang sesuai dengan aturan daftar putih yang akan terhubung. Jika tidak ada aturan yang dikonfigurasi, semua proses pada aset akan terhubung secara otomatis. Memerlukan RASP agent versi 0.9.4 atau lebih baru. | Hanya proses kritis yang perlu dilindungi—misalnya, gerbang pembayaran, layanan otentikasi pengguna, atau beban kerja kontainer tertentu di lingkungan multi-tenancy. |
| Akses penuh otomatis | Menghubungkan semua proses Java pada aset Anda secara otomatis menggunakan metode akses lambat. Tersedia ketika Application Protection diaktifkan dengan skema pay-as-you-go tanpa binding kustom. | Pengaturan awal atau saat belum ada proses yang terhubung. |
Tambahkan aturan daftar hitam atau daftar putih
Langkah-langkah berikut menggunakan penambahan daftar hitam sebagai contoh. Penambahan daftar putih mengikuti prosedur yang sama.
Prasyarat
Sebelum memulai, pastikan versi RASP agent memenuhi persyaratan minimum: versi 1.0.5 atau lebih baru untuk daftar hitam, atau versi 0.9.4 atau lebih baru untuk daftar putih.
Langkah-langkah
Masuk ke Konsol Security Center.
Di panel navigasi kiri, pilih Protection Configuration > Application Protection. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Application Configurations, klik Management Settings di pojok kanan atas.
Pada tab Manage Access Rule di panel Management Settings, klik tab Blacklist, lalu klik Add Blacklist.
Pada kotak dialog Add Blacklist, konfigurasikan parameter berikut dan klik OK.
Parameter Deskripsi Rule Name Masukkan nama untuk aturan daftar hitam. Rule Switch Diaktifkan secara default. Effective Application Type Pilih Java atau PHP. Match Condition Pilih dimensi pencocokan. Lihat Match conditions untuk detailnya. Klik Add Condition untuk menambahkan beberapa kondisi. Beberapa kondisi menggunakan logika AND — semua kondisi harus terpenuhi. Match Mode Pilih metode pencocokan untuk kondisi yang dipilih. Match Field Masukkan bidang yang akan dicocokkan. Hanya diperlukan jika Match Condition diatur ke Environment Variables atau -D parameter. Content to Match Masukkan konten yang akan dicocokkan. Destination Application Groups Pilih kelompok aplikasi yang akan menerapkan aturan ini. Jenis aplikasi dari kelompok yang dipilih harus sesuai dengan Effective Application Type.
Aturan yang dikonfigurasi setelah proses terhubung hanya berlaku setelah proses dijalankan ulang atau selama siklus akses otomatis berikutnya.
Match conditions
| Kondisi | Mencocokkan berdasarkan | Mode pencocokan yang didukung | Ketersediaan |
|---|---|---|---|
| cmdline | Parameter command line saat startup proses | Berisi, tidak berisi, berisi salah satu dari beberapa nilai, tidak berisi nilai apa pun | Java dan PHP |
| Environment Variables | Variabel lingkungan yang diakses oleh proses | Sama dengan | Java dan PHP |
| -D parameter | Properti sistem yang diatur saat startup Java melalui flag -D | Sama dengan | Hanya Java |
| Container Name | Nama kontainer tempat proses berjalan | Berisi, tidak berisi, berisi salah satu dari beberapa nilai, tidak berisi nilai apa pun | Hanya PHP |
Contoh konfigurasi:
Mengecualikan proses yang parameter startup-nya berisi tomcat:
Match Condition:
cmdlineMatch Mode: Berisi
Content to Match:
tomcat
Mengecualikan proses yang parameter startup-nya tidak berisi apache atau test:
Match Condition:
cmdlineMatch Mode: Tidak berisi nilai apa pun
Content to Match:
apache,test
Edit atau hapus aturan daftar hitam atau daftar putih
Masuk ke Konsol Security Center.
Di panel navigasi kiri, pilih Protection Configuration > Application Protection. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Pada tab Application Configurations, klik Management Settings di pojok kanan atas.
Pada tab Manage Access Rule, klik sub-tab Blacklist atau Application Access Whitelist. Pada kolom Actions untuk aturan yang dituju, klik Edit atau Delete.
Hanya hapus aturan yang tidak diterapkan pada kelompok aplikasi mana pun. Sebelum menghapus aturan, lepaskan semua kelompok aplikasi yang terkait darinya.
Akses penuh otomatis (hanya untuk proses Java)
Jika Anda mengaktifkan Application Protection dengan skema pay-as-you-go tanpa binding kustom, semua proses Java pada aset Anda akan terhubung ke Application Protection secara otomatis. Metode akses lambat digunakan secara default.
Jika Application Protection diaktifkan tetapi belum ada proses yang terhubung, kotak dialog akan muncul dengan dua opsi: Automatic Full Access dan Custom Access. Memilih Automatic Full Access akan menggunakan metode akses lambat secara default. Klik Configure Now untuk beralih ke metode akses lain.
Metode akses
| Metode akses | Cocok untuk | Waktu instalasi |
|---|---|---|
| Fast Access | Jumlah proses sedikit, persyaratan stabilitas rendah | Singkat |
| Regular Access | Jumlah proses sedang, persyaratan stabilitas rendah | Sedang |
| Slow Access | Jumlah proses banyak, persyaratan stabilitas tinggi | Lama |
Hentikan akses penuh otomatis
Untuk menghentikan proses akses, buka Protection Configuration > Application Protection > Application Analysis dan klik Stop Accessing pada prompt.
Setelah dihentikan, akses penuh tidak dapat dipicu lagi.
Server dengan status Queuing tidak akan terhubung ke Application Protection.
Server dengan status In Progress akan menyelesaikan instalasi yang sedang berjalan.
Setelah dihentikan, klik View Details pada prompt untuk memeriksa status akses proses Java pada aset Anda.