Aturan akses menentukan cakupan proses server yang terhubung ke Application Protection dalam mode akses otomatis. Anda dapat mengonfigurasi tiga jenis kebijakan: blacklist, whitelist, dan automatic full access. Topik ini menjelaskan logika konfigurasi, prioritas, serta instruksi operasional untuk setiap aturan. Aturan-aturan ini cocok untuk skenario O&M keamanan yang memerlukan kontrol detail halus atas cakupan perlindungan dan pengurangan false positive.
Aturan blacklist dan whitelist
Cara aturan diterapkan
-
Blacklist dan whitelist hanya berlaku untuk mode akses otomatis dan tidak memengaruhi mode akses manual.
-
Blacklist memiliki prioritas lebih tinggi daripada whitelist. Jika suatu proses sesuai dengan kondisi di blacklist maupun whitelist, Application Protection tidak akan menghubungkannya.
-
Blacklist dan whitelist langsung berlaku jika dikonfigurasi sebelum proses terhubung. Jika dikonfigurasi setelah proses terhubung, aturan tersebut berlaku setelah proses di-restart atau pada akses otomatis berikutnya. Penghapusan aturan blacklist langsung berlaku.
Kasus penggunaan
|
Jenis daftar |
Deskripsi |
Kasus penggunaan |
Jenis proses |
|
Blacklist |
|
|
|
|
Whitelist |
|
Lindungi hanya proses kritis untuk mengikuti prinsip hak istimewa minimal. |
|
Tambahkan blacklist atau whitelist
Langkah-langkah berikut menjelaskan cara menambahkan blacklist. Langkah-langkah untuk menambahkan whitelist serupa.
-
Masuk ke Security Center console.
-
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
-
Pada tab Application Configurations, klik Management Settings di pojok kanan atas.
-
Pada panel Management Settings, pada tab Manage Access Rule, klik tab Blacklist, lalu klik Add Blacklist.
-
Pada kotak dialog Add Blacklist, konfigurasikan parameter berikut dan klik OK.
Parameter
Deskripsi
Rule Name
Masukkan nama untuk aturan blacklist.
Rule Switch
Aturan diaktifkan secara default.
Effective Application Type
Pilih bahasa aplikasi yang diterapkan oleh blacklist: Java atau PHP.
Match Condition
Pilih kondisi yang akan dicocokkan untuk aturan blacklist. Nilai yang valid:
-
cmdline: Mencocokkan proses yang akan dikecualikan berdasarkan parameter command-line-nya. Operator pencocokan yang didukung adalah: contains, does not contain, contains one of multiple values, dan does not contain any of the values.
-
Environment Variables : Mencocokkan proses yang akan dikecualikan berdasarkan variabel lingkungan yang diaksesnya. Satu-satunya operator pencocokan yang didukung adalah equals.
-
-D parameter : Mencocokkan proses yang akan dikecualikan berdasarkan properti sistem yang ditetapkan saat startup program Java. Satu-satunya operator pencocokan yang didukung adalah equals.
CatatanOpsi ini hanya tersedia ketika Effective Application Type diatur ke Java.
-
Container Name: Mencocokkan proses yang akan dikecualikan berdasarkan nama kontainer tempat proses tersebut berada. Operator pencocokan yang didukung adalah: contains, does not contain, contains one of multiple values, dan does not contain any of the values.
CatatanOpsi ini hanya tersedia ketika Effective Application Type diatur ke PHP.
Klik Add Condition untuk menambahkan beberapa kondisi pencocokan. Hubungan logis antar kondisi adalah AND, artinya suatu proses harus memenuhi semua kondisi agar sesuai dengan aturan.
Contoh:
-
Untuk mengecualikan proses yang parameter startup-nya mengandung string
tomcat:-
Untuk Condition, pilih cmdline.
-
Untuk Match Mode, pilih Include.
-
Untuk Content to Match, masukkan tomcat.
-
-
Untuk mengecualikan proses yang parameter startup-nya tidak mengandung string
apacheatautest:-
Untuk Condition, pilih cmdline.
-
Untuk Match Mode, pilih Does Not Contain Any Value.
-
Untuk Content to Match, masukkan apache,test.
-
Match Mode
Pilih operator pencocokan untuk aturan tersebut.
Match Field
Masukkan bidang yang akan dicocokkan.
CatatanParameter ini wajib diisi hanya ketika Match Condition diatur ke Environment Variables atau -D parameter .
Content to Match
Masukkan konten yang akan dicocokkan.
Destination Application Groups
Pilih kelompok aplikasi yang diterapkan aturan blacklist ini. Jenis aplikasi dari kelompok yang dipilih harus sesuai dengan jenis yang ditentukan untuk Effective Application Type.
-
Edit atau hapus blacklist atau whitelist
-
Masuk ke Security Center console.
-
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
-
Pada tab Application Configurations, klik Management Settings di pojok kanan atas.
-
Pada panel Management Settings, pada tab Manage Access Rule, buka sub-tab Blacklist atau Application Access Whitelist. Temukan aturan yang ingin Anda kelola dan klik Edit atau Delete di kolom Actions.
Anda hanya dapat menghapus aturan jika tidak ada kelompok aplikasi yang menggunakannya. Sebelum menghapus aturan, Anda harus terlebih dahulu menghapusnya dari semua kelompok aplikasi terkait.
Automatic full access (hanya untuk proses Java)
Skenario yang didukung
Saat Anda mengaktifkan pay-as-you-go untuk Application Protection dan tidak mengonfigurasi binding on-demand kustom, sistem secara default menambahkan semua proses Java di aset Anda ke Application Protection untuk dikelola menggunakan metode Slow Access.
Jika Anda telah mengaktifkan Application Protection tetapi tidak ada proses yang terhubung, kotak dialog akan muncul dengan dua opsi: Automatic Full Access dan Custom Access. Jika Anda memilih Automatic Full Access, sistem menggunakan metode Slow Access secara default. Anda dapat mengklik Configure Now untuk mengubah metode akses menjadi Fast Access, Regular Access, atau Slow Access.
Metode akses
|
Metode akses |
Deskripsi |
|
Fast Access |
Cocok untuk lingkungan dengan jumlah proses sedikit dan persyaratan stabilitas aplikasi rendah. Waktu instalasi singkat. |
|
Regular Access |
Cocok untuk lingkungan dengan jumlah proses sedang dan persyaratan stabilitas aplikasi rendah. Waktu instalasi rata-rata. |
|
Slow Access |
Cocok untuk lingkungan dengan jumlah proses banyak dan persyaratan stabilitas aplikasi tinggi. Waktu instalasi panjang. |
Hentikan automatic full access
Setelah Anda mengaktifkan Automatic Full Access, Anda dapat menghentikan proses tersebut kapan saja. Buka tab Application Analysis di bawah . Lalu, klik Stop Accessing pada prompt status akses.
Setelah Anda menghentikan proses tersebut, Anda tidak dapat memulai automatic full access lagi. Application Protection tidak akan menghubungkan server dengan status akses Queuing. Server dengan status akses In Progress akan melanjutkan instalasi.
Setelah menghentikan proses, Anda dapat mengklik View Details pada prompt untuk memeriksa status koneksi proses Java pada aset Anda.