アクセスルールは、自動アクセスモードでアプリケーション保護に接続されるサーバープロセスの範囲を定義します。ブラックリスト、ホワイトリスト、および自動フルアクセスの 3 種類のポリシーを設定できます。このトピックでは、各ルールの設定ロジック、優先順位、および操作手順について説明します。これらのルールは、保護範囲のきめ細かな制御と誤検知の削減を必要とするセキュリティ運用保守のシナリオに適しています。
ブラックリストとホワイトリストのルール
ルールが有効になる仕組み
-
ブラックリストとホワイトリストは、自動アクセスモードにのみ適用され、手動アクセスモードには影響しません。
-
ブラックリストはホワイトリストよりも優先度が高くなります。プロセスがブラックリストとホワイトリストの両方の条件に一致する場合、アプリケーション保護はそのプロセスに接続しません。
-
ブラックリストとホワイトリストは、プロセスが接続される前に設定されていれば、即時に有効になります。プロセスが接続された後に設定された場合、ルールはプロセスの再起動後、または次回の自動アクセス時に有効になります。ブラックリストルールの削除は即時に有効になります。
ユースケース
|
リストタイプ |
説明 |
ユースケース |
プロセスタイプ |
|
ブラックリスト |
|
|
|
|
ホワイトリスト |
|
最小権限の原則に従い、重要なプロセスのみを保護します。 |
|
ブラックリストまたはホワイトリストの追加
以下の手順では、ブラックリストの追加方法について説明します。ホワイトリストを追加する手順も同様です。
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
-
[アプリケーションの設定] タブで、右上隅にある [Management Settings] をクリックします。
-
[Management Settings] パネルの [Manage Access Rule] タブで、[Blacklist] タブをクリックし、[Add Blacklist] をクリックします。
-
[Add Blacklist] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
[ルール名]
ブラックリストルールの名前を入力します。
[ルールスイッチ]
ルールはデフォルトで有効になっています。
[Effective Application Type]
ブラックリストを適用するアプリケーション言語 ([Java] または [PHP]) を選択します。
[Match Condition]
ブラックリストのルールに一致する条件を選択します。有効な値は次のとおりです。
-
[cmdline]:コマンドラインパラメーターに基づいて除外するプロセスを照合します。サポートされている一致演算子は、
Include、Does Not Contain、Contains One of Multiple Values、およびDoes Not Contain Any Valueです。 -
[Environment Variables ]:アクセスする環境変数に基づいて除外するプロセスを照合します。サポートされている一致演算子は
equalsのみです。 -
[-D parameter ]:Java プログラムの起動時に設定されるシステムプロパティに基づいて除外するプロセスを照合します。サポートされている一致演算子は
equalsのみです。説明このオプションは、[Effective Application Type] が [Java] に設定されている場合にのみ使用できます。
-
[Container Name]:属しているコンテナの名前に基づいて除外するプロセスを照合します。サポートされている一致演算子は、
Include、Does Not Contain、Contains One of Multiple Values、およびDoes Not Contain Any Valueです。説明このオプションは、[Effective Application Type] が [PHP] に設定されている場合にのみ使用できます。
[Add Condition] をクリックして、複数の一致条件を追加します。条件間の論理関係は AND であり、プロセスがルールに一致するにはすべての条件を満たす必要があります。
例:
-
起動パラメーターに文字列
tomcatが含まれるプロセスを除外するには、次のように設定します。-
[条件] で、[cmdline] を選択します。
-
[Match Mode] で、[Include] を選択します。
-
[Content to Match] に、「tomcat」と入力します。
-
-
起動パラメーターに文字列
apacheまたはtestが含まれないプロセスを除外するには、次のように設定します。-
[条件] で、[cmdline] を選択します。
-
[Match Mode] で、[Does Not Contain Any Value] を選択します。
-
[Content to Match] に、「apache,test」と入力します。
-
[Match Mode]
ルールの一致演算子を選択します。
[一致するフィールド]
一致させるフィールドを入力します。
説明このパラメーターは、[Match Condition] が [Environment Variables ] または [-D parameter ] に設定されている場合にのみ必要です。
[Content to Match]
一致させるコンテンツを入力します。
[アプリケーショングループの有効化]
このブラックリストルールを適用するアプリケーション グループを選択します。選択したグループのアプリケーションタイプは、[Effective Application Type] で指定されたタイプと一致する必要があります。
-
ブラックリストまたはホワイトリストの編集または削除
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
-
[アプリケーションの設定] タブで、右上隅にある [Management Settings] をクリックします。
-
[Management Settings] パネルの [Manage Access Rule] タブで、[Blacklist] または [Application Access Whitelist] サブタブに移動します。管理するルールを見つけ、[Actions] 列の [編集] または [削除] をクリックします。
ルールを削除できるのは、そのルールを使用しているアプリケーション グループがない場合のみです。ルールを削除する前に、まず関連するすべてのアプリケーション グループからルールを削除する必要があります。
自動フルアクセス (Java プロセスのみ)
サポートされているシナリオ
アプリケーション保護の従量課金を有効にすると、カスタムのオンデマンドバインディングを設定しない場合、システムはデフォルトですべてのアセットの Java プロセスを管理のためにアプリケーション保護に追加し、低速アクセス方式を使用します。
アプリケーション保護を有効にしてもプロセスが接続されていない場合、ダイアログボックスに 2 つのオプション ([Automatic Full Access] と [Custom Access]) が表示されます。[Automatic Full Access] を選択すると、システムはデフォルトで[Slow Access]方式を使用します。[Configure Now] をクリックして、アクセス方式を[Fast Access]、[Regular Access]、または[Slow Access]に変更できます。
アクセス方式
|
アクセス方式 |
説明 |
|
[Fast Access] |
プロセス数が少なく、アプリケーションの安定性に対する要件が低い環境に適しています。インストール時間は短いです。 |
|
[Regular Access] |
プロセス数が中程度で、アプリケーションの安定性に対する要件が低い環境に適しています。インストール時間は平均的です。 |
|
[Slow Access] |
プロセス数が多く、アプリケーションの安定性に対する要件が高い環境に適しています。インストール時間は長いです。 |
自動フルアクセスの停止
[Automatic Full Access] を有効にした後、いつでもプロセスを停止できます。 の下にある [アプリケーション分析] タブに移動します。次に、アクセスステータスのプロンプトで [Stop Accessing] をクリックします。
プロセスを停止すると、自動フルアクセスを再度開始することはできません。アプリケーション保護は、アクセスステータスが [Queuing] のサーバーには接続しません。アクセスステータスが [In Progress] のサーバーは、インストールを続行します。
プロセスを停止した後、プロンプトで [View Details] をクリックして、アセット上の Java プロセスの接続ステータスを確認できます。