このトピックでは、Security Center のアプリケーション保護機能に関するよくある質問に回答します。
アプリケーション保護と WAF の違いは何ですか?
ランタイムアプリケーション自己保護 (RASP) 技術を使用するアプリケーション保護と、Web Application Firewall (WAF) は、アプリケーションを保護するための 2 つの異なる技術です。アプリケーション保護は、ゼロデイ脆弱性や暗号化されたトラフィックなど、サーバーを標的とする攻撃からの防御に優れています。WAF は、フロントエンドでの大量の攻撃を軽減することに長けています。これら 2 つの技術のセキュリティ機能は相互に補完的です。包括的な保護のために、アプリケーション保護と WAF の両方を使用できます。次の表に、両者の違いを示します。
項目 | アプリケーション保護 (RASP) | WAF |
焦点 | トラフィックソースに関係なく、アプリケーション自体を保護します。 | ネットワークレイヤーで攻撃トラフィックをフィルターし、保護します。 |
一般的な保護範囲 | SQL インジェクション、任意コード実行、ファイルインクルード、Web シェルなどの一般的な Web の脆弱性から防御します。 | |
専門的な保護範囲 | ゼロデイ脆弱性、複雑にエンコードまたは暗号化されたトラフィック、インメモリ Web シェル、非 HTTP プロトコル、および内部ネットワークのラテラルムーブメントから防御します。 | CC 攻撃などのサービス拒否 (DoS) 攻撃、Web クローラー、スキャナー、アクセスの制御の問題、および API セキュリティの脅威から防御します。 |
検出原理 | 攻撃の動作を検出します。 | トラフィックの特性に基づいて照合し、フィルターします。 |
デプロイ場所 | サーバー上。アプリケーションに挿入されます。 | ボーダーゲートウェイ上、またはサーバーの前にインラインで配置。非侵入型です。 |
パフォーマンス | サーバーのパフォーマンスを消費します。 | WAF 自体のパフォーマンスを消費します。アプリケーションやオリジンサーバーには影響しません。 |
脆弱性の修復 | 仮想パッチを使用します。エクスプロイトの実行コードを特定できます。 | 仮想パッチを使用します。エクスプロイトの特性のみを報告します。 |
ゼロデイ防御 | デフォルトで有効です。 | 保護のためには、エクスプロイトのメソッドに基づいてルールを作成する必要があります。 |
アプリケーションがアプリケーション保護に正常にオンボードされたかどうかを確認する方法
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
アプリケーション保護 ページで、アプリケーションの設定 タブをクリックします。次に、ターゲットアプリケーショングループの 権限を付与したインスタンス 列の番号をクリックします。
インスタンス詳細パネルで、オンボードされたアプリケーションのリストを表示します。
ターゲットサーバー上のアプリケーションのプロセス ID (PID) がリストにある場合、アプリケーションは正常にオンボードされています。
アプリケーション保護はアプリケーションのランタイムに影響しますか?
アプリケーション保護機能は、システムのパフォーマンス、互換性、安定性への影響を最小限に抑えるように設計されています。テストによると、アプリケーション保護を有効にした後、追加の CPU 負荷は 1% 未満、追加のメモリ使用量は 50 MB 未満、アプリケーションのレイテンシー (応答時間) への影響は 1 ミリ秒未満です。
影響をさらに軽減するために、ソフトサーキットブレーキングメカニズムなどの緊急措置が含まれており、スムーズなアプリケーション操作を保証します。詳細については、「保護のためにアプリケーションをオンボードする」をご参照ください。
アプリケーション保護モードの選択方法
アプリケーション保護によって検出される攻撃は、実際のセキュリティ脅威をもたらす動作です。トラフィックの特性に基づく従来の検出技術と比較して、誤検知率は低くなります。したがって、この機能によって検出された攻撃には細心の注意を払う必要があります。アプリケーションをオンボードした後、デフォルトの保護モードは [Monitor] です。アプリケーションが安定して実行された後、[Block] モードに切り替えることができます。
攻撃統計がないのはなぜですか?
攻撃データがないのは、次の理由が考えられます:
ターゲットアプリケーションが正常にオンボードされませんでした。アプリケーションプロセスを再度 RASP にオンボードしてください。詳細については、「保護のためにアプリケーションをオンボードする」をご参照ください。
実際の有効な攻撃が発生しませんでした。従来のファイアウォールとは異なり、アプリケーション保護は実際の有効な攻撃のみを記録します。従来のファイアウォールは、メッセージに悪意のある特性を検出するとアラートを報告します。ただし、悪意のある特性が存在しても、攻撃が有効であるとは限りません。たとえば、PHP の脆弱性を悪用する攻撃リクエストは、Java 環境では意味がありません。実際の有効な攻撃が発生した場合、通常は攻撃者が外部の防御を突破し、内部のアプリケーション環境にアクセスして危険な操作を実行できることを意味します。アプリケーションでは、実際の有効な攻撃はあまり発生しないかもしれません。ただし、攻撃が発生した場合は、真剣に受け止める必要があります。攻撃を速やかにブロックするか、関連するセキュリティ脆弱性を修正してください。
脆弱性検出とベースラインチェックにおける弱いパスワードのチェックの違いは何ですか?
脆弱性検出は、ランタイム時のアプリケーションの動作とメモリの状態に基づいてリスクを特定します。ベースラインチェックは、主に CIS コンプライアンス、等級保護コンプライアンス、静的ファイル検出などのシステム設定項目をスキャンします。
アプリケーション保護へのオンボードが失敗するのはなぜですか?
オンボードが失敗する理由は次のとおりです:
ホストにウイルス対策ソフトウェアがインストールされている場合、Security Center クライアントまたは RASP プローブが隔離されている可能性があります。ウイルス対策ソフトウェアのインターフェイスを確認してください。
Linux システムを使用している場合は、root アカウントのパスワードの有効期限が切れていないか確認してください。
サービスがアプリケーション保護によってブロックされているかどうかを判断する方法
サービスログに AliCloudRaspSecurityException という名前のランタイム例外が表示された場合、RASP が異常または潜在的なセキュリティ脅威を検出し、対応するプロセス動作をブロックしたことを意味します。RASP がこのプロセス動作をブロックしないようにするには、その動作をホワイトリストに追加できます。詳細については、「攻撃アラートの処理」をご参照ください。