接続ルール機能は、自動接続モードでアプリケーション保護に接続されるサーバープロセスの範囲を定義します。ブラックリスト、ホワイトリスト、自動完全接続の 3 つのポリシー構成をサポートしています。このトピックでは、各ルールの構成ロジック、優先度、および操作手順について説明します。この機能は、保護範囲を詳細に制御し、誤検知による影響を軽減する必要があるセキュリティ O&M シナリオに適しています。
ブラックリストとホワイトリストのルールの詳細
ルールが有効になる仕組み
ブラックリストとホワイトリストは自動接続モードにのみ適用され、手動接続モードには影響しません。
ブラックリストはホワイトリストよりも優先度が高くなります。プロセスがブラックリストルールとホワイトリストルールの両方に一致する場合、そのプロセスは接続されません。
ブラックリストとホワイトリストは、プロセスが接続される前に構成されている場合はすぐに有効になります。プロセスが接続された後に構成されている場合、ルールはプロセスの再起動後または次回の自動接続時に有効になります。ブラックリストルールを削除すると、すぐに有効になります。
シナリオ
リストタイプ | 説明 | シナリオの特徴 | 適用可能なプロセスタイプ |
接続ブラックリスト |
|
|
|
接続ホワイトリスト |
| 最小権限の原則に従い、重要なプロセスのみを保護します。 |
|
ホワイトリストまたはブラックリストの追加
以下の手順では、ブラックリストを追加する方法について説明します。ホワイトリストを追加する手順も同様です。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。
Management Settings パネルの Manage Access Rule タブで、Blacklist タブをクリックし、[ブラックリストの追加] をクリックします。
[ブラックリストの追加] ダイアログボックスで、次のパラメーターを構成し、OK をクリックします。
設定項目
説明
ルール名
接続ブラックリストルールの名前を入力します。
ルールスイッチ
デフォルトで有効になっています。これは、ブラックリストルールがアクティブであることを意味します。
Effective Application Type
ブラックリストが有効になるアプリケーション言語 ([Java] または [PHP]) を選択します。
Match Condition
ブラックリストルールの一致条件を選択します。オプション:
cmdline: コマンドラインパラメーターに基づいて除外するプロセスを照合します。サポートされている照合メソッドには、次が含まれます: 次を含む、次を含まない、複数の値のいずれかを含む、および値のいずれも含まない。
Environment Variables : アクセスする環境変数に基づいて除外するプロセスを照合します。サポートされている照合メソッドは equals です。
-D parameter : Java プログラムの起動時に設定されたシステムプロパティに基づいて除外するプロセスを照合します。サポートされている照合メソッドは equals です。
説明これは、Effective Application Type が [Java] に設定されている場合にのみ構成可能です。
[コンテナー名]: 所属するコンテナーの名前に基づいて除外するプロセスを照合します。サポートされている照合メソッドには、次が含まれます: 次を含む、次を含まない、複数の値のいずれかを含む、および値のいずれも含まない。
説明これは、Effective Application Type が [PHP] に設定されている場合にのみ構成可能です。
[条件の追加] をクリックして、複数の一致条件を追加します。複数の条件間の論理関係は AND であり、すべての条件が満たされる必要があることを意味します。
以下は構成例です:
起動パラメーターに
tomcat文字が含まれるプロセスを除外するWhitelist Mode を cmdline に設定します。
Match Mode を [次を含む] に設定します。
Content to Match には、[tomcat] と入力します。
起動パラメーターに
apacheおよびtest文字が含まれないプロセスを除外するWhitelist Mode を cmdline に設定します。
Match Mode を [値のいずれも含まない] に設定します。
Content to Match には、[apache,test] と入力します。
Match Mode
ルールの一致メソッドを選択します。
一致フィールド
ルールの一致フィールドを入力します。
説明このパラメーターは、Match Condition が Environment Variables または -D parameter に設定されている場合にのみ必要です。
Content to Match
ルールの一致するコンテンツを入力します。
アプリケーショングループの有効化
接続ブラックリストルールが有効になるアプリケーショングループを選択します。アプリケーショングループのアプリケーションタイプは、Effective Application Type に指定したものと同じである必要があります。
ホワイトリストまたはブラックリストの編集または削除
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。
Management Settings パネルの Manage Access Rule タブの Blacklist または Application Access Whitelist サブタブで、目的のルールの [アクション] 列で [編集] または [削除] をクリックします。
アプリケーショングループに適用されていないルールのみを削除できます。ルールを削除する前に、関連付けられているアプリケーショングループをデタッチする必要があります。
自動完全接続 (Java プロセスのみ)
サポートされているシナリオ
従量課金ベースでアプリケーション保護を有効にし、カスタムバインディングを構成しない場合、システムはデフォルトでアセット上のすべての Java プロセスをアプリケーション保護に接続します。低速接続メソッドが使用されます。
アプリケーション保護を有効にしているが、プロセスを接続していない場合、アプリケーション保護が接続されていないことを通知するダイアログボックスが表示され、Automatic Full Access および Custom Access オプションが表示されます。Automatic Full Access を選択すると、デフォルトで低速接続メソッドが使用されます。[今すぐ設定] をクリックして接続メソッドを調整し、Fast Access、Regular Access、または Slow Access を選択できます。
接続メソッドの詳細
接続メソッド | 説明 |
Fast Access | プロセス数が少なく、ビジネスの安定性に対する要件が低いシナリオに適しています。インストール時間は短いです。 |
Regular Access | プロセス数が中程度で、ビジネスの安定性に対する要件が低いシナリオに適しています。インストール時間は中程度です。 |
Slow Access | プロセス数が多く、ビジネスの安定性に対する要件が高いシナリオに適しています。インストール時間は長いです。 |
完全接続を停止する方法
Automatic Full Access モードを有効にすると、 ページの [アプリケーション分析] タブのプロンプトで [オンボーディングの停止] をクリックして、オンボーディングプロセスを停止できます。
接続を停止すると、完全接続を再度実行することはできません。接続ステータスが [キューイング] のサーバーは、アプリケーション保護に接続されなくなります。接続ステータスが [進行中] のサーバーは、インストールを続行します。
接続を停止した後、プロンプトメッセージで [詳細の表示] をクリックして、アセット上の Java プロセスの接続ステータスを表示できます。