アクセスルールは、自動アクセスモードでアプリケーション保護に接続されるサーバープロセスを制御します。特定のプロセスを保護対象から除外する場合はブロックリストを、あらかじめ定義されたプロセスのみを保護対象とする場合は許可リスト(アローリスト)を使用します。本トピックでは、ルールの優先度モデル、設定手順、および Java プロセス向けの自動完全アクセスオプションについて説明します。
ルールの仕組み
アクセスルールは、以下の固定優先度モデルに従います:
ブロックリストは許可リストより優先されます。 あるプロセスがブロックリストルールと許可リストルールの両方に該当する場合、そのプロセスは接続されません。
ルールは自動アクセスモードでのみ適用されます。 手動アクセスモードには影響しません。
ルールの適用タイミングは、プロセスが既に接続済みかどうかによって異なります:
プロセス接続前に設定したルールは、即時に適用されます。
プロセス接続後に設定したルールは、プロセスの再起動時または次回の自動アクセスサイクルで適用されます。
ブロックリストルールを削除した場合、プロセスの状態に関わらず即時に適用されます。
ポリシーの種類を選択
| ポリシー | 機能 | 使用シーン |
|---|---|---|
| ブロックリスト | 特定のプロセスを保護対象から除外します。ブロックリストルールに該当するプロセスはアプリケーション保護に接続されません。RASP エージェントのバージョン 1.0.5 以降が必要です。 | ほとんどのプロセスを保護する必要がありますが、一部のプロセス(例:データベース、信頼済みのシステムプロセス、互換性の問題があるプロセス、テスト環境のプロセスなど)を除外したい場合。 |
| 許可リスト | 指定された範囲内のプロセスのみを保護します。許可リストルールに該当するプロセスのみが接続されます。ルールが未設定の場合、対象資産上のすべてのプロセスが自動的に接続されます。RASP エージェントのバージョン 0.9.4 以降が必要です。 | 重要なプロセスのみを保護する必要がある場合(例:決済ゲートウェイ、ユーザー認証サービス、マルチテナント環境における特定のコンテナワークロードなど)。 |
| 自動完全アクセス | 従量課金でアプリケーション保護を有効化し、カスタムバインディングを行わない場合に利用可能です。対象資産上のすべての Java プロセスを「遅いアクセス」方式で自動的に接続します。 | 初期設定時、またはまだプロセスが接続されていない場合。 |
ブロックリストまたは許可リストルールの追加
以下の手順では、ブロックリストの追加を例として説明します。許可リストの追加も同様の手順で行います。
前提条件
開始する前に、RASP エージェントのバージョンが最低要件を満たしていることを確認してください:ブロックリストの場合はバージョン 1.0.5 以降、許可リストの場合はバージョン 0.9.4 以降です。
操作手順
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、保護構成 > アプリケーション保護 を選択します。画面左上隅から、ご利用の資産が配置されているリージョン(中国本土 または 中国本土以外)を選択します。
アプリケーション構成 タブで、右上隅の 管理設定 をクリックします。
管理設定 パネルの アクセスルールの管理 タブで、ブラックリスト タブをクリックし、その後 ブラックリストの追加 をクリックします。
ブラックリストの追加 ダイアログボックスで、以下のパラメーターを設定し、OK をクリックします。
パラメーター 説明 ルール名 ブラックリストルールの名前を入力します。 ルールの有効化 デフォルトで有効化されています。 適用対象アプリケーションタイプ Java または PHP を選択します。 一致条件 一致させるディメンションを選択します。「一致条件」をご参照ください。複数の条件を追加するには、条件の追加 をクリックします。複数条件は AND 論理で評価され、すべての条件を満たす必要があります。 一致モード 選択した条件に対する一致方法を選択します。 一致フィールド 一致させるフィールドを入力します。一致条件 を 環境変数 または -D パラメーター に設定した場合にのみ必須です。 一致内容 一致させる内容を入力します。 適用先アプリケーショングループ このルールを適用するアプリケーショングループを選択します。選択したグループのアプリケーションタイプは、適用対象アプリケーションタイプ と一致している必要があります。
プロセス接続後に設定したルールは、プロセスの再起動時または次回の自動アクセスサイクルでしか適用されません。
一致条件
| 条件 | 一致対象 | サポートされる一致モード | 利用可能範囲 |
|---|---|---|---|
| cmdline | プロセス起動時のコマンドラインパラメーター | 含む、含まない、複数値のいずれかを含む、複数値のいずれも含まない | Java および PHP |
| 環境変数 | プロセスがアクセスする環境変数 | 等しい | Java および PHP |
| -D パラメーター | Java 起動時に -D フラグで設定されたシステムプロパティ | 等しい | Java のみ |
| コンテナ名 | プロセスが属するコンテナの名前 | 含む、含まない、複数値のいずれかを含む、複数値のいずれも含まない | PHP のみ |
設定例:
起動パラメーターに tomcat を含むプロセスを除外する場合:
一致条件:
cmdline一致モード:含む
一致内容:
tomcat
起動パラメーターに apache または test を含まないプロセスを除外します:
一致条件:
cmdline一致モード:複数値のいずれも含まない
一致内容:
apache,test
ブロックリストまたは許可リストルールの編集および削除
セキュリティセンター コンソールにログインします。[セキュリティセンター コンソール]。
左側のナビゲーションウィンドウで、保護構成 > アプリケーション保護 を選択します。画面左上隅から、ご利用の資産が配置されているリージョン(中国本土 または 中国本土以外)を選択します。
アプリケーション構成 タブで、右上隅の 管理設定 をクリックします。
アクセスルールの管理 タブで、ブラックリスト または アプリケーションアクセスホワイトリスト のサブタブをクリックします。対象ルールの 操作 列で、編集 または 削除 をクリックします。
アプリケーショングループに適用されていないルールのみを削除してください。ルールを削除する前に、関連付けられたすべてのアプリケーショングループをデタッチしてください。
自動完全アクセス(Java プロセス専用)
従量課金でアプリケーション保護を有効化し、カスタムバインディングを行わない場合、対象資産上のすべての Java プロセスがアプリケーション保護に自動的に接続されます。デフォルトでは「遅いアクセス」方式が使用されます。
アプリケーション保護が有効化されているが、まだプロセスが接続されていない場合、ダイアログボックスに 自動完全アクセス および カスタムアクセス の 2 つのオプションが表示されます。自動完全アクセス を選択すると、デフォルトで「遅いアクセス」方式が使用されます。今すぐ設定 をクリックすると、他のアクセス方式に切り替えることができます。
アクセス方式
| アクセス方式 | 推奨用途 | インストール時間 |
|---|---|---|
| 高速アクセス | プロセス数が少なく、安定性要件が低い場合 | 短い |
| 通常アクセス | 中程度のプロセス数で、安定性要件が低い場合 | 中程度 |
| 遅いアクセス | 多数のプロセスで、安定性要件が高い場合 | 長い |
自動完全アクセスの停止
アクセスプロセスを停止するには、保護構成 > アプリケーション保護 > アプリケーション分析 に移動し、プロンプト内の アクセスの停止 をクリックします。
停止後は、自動完全アクセスを再度トリガーすることはできません。
ステータスが キュー待ち のサーバーは、アプリケーション保護に接続されません。
ステータスが 実行中 のサーバーは、現在のインストールを完了します。
停止後は、プロンプト内の 詳細の表示 をクリックして、ご利用の資産上の Java プロセスのアクセス状況を確認できます。