美团技术团队
·
美团RASP大规模研发部署实践总结
💡
原文中文,约12500字,阅读约需30分钟。
📝
内容提要
RASP是一种应用程序安全技术,能够在应用程序运行时检测并阻止应用级别的攻击。美团采用了agentmain方式部署RASP,并进行了灰度部署、业务性能优化、热更新、监控体系建设等措施。未来,美团还计划在新型容器形态支持、低打扰无感接入和管控、监控自动化等方面进行进一步的规划和优化。
🎯
关键要点
- RASP是一种应用程序安全技术,能够在应用程序运行时检测并阻止应用级别的攻击。
- 美团采用agentmain方式部署RASP,进行灰度部署和业务性能优化。
- RASP的部署形式有agentmain和premain两种,适合不同的业务场景和安全需求。
- 美团选择agentmain方式以快速解决风险问题,因大部分业务已在线上运营。
- 美团内部Java语言占比超过80%,业务场景复杂,面临多种技术挑战。
- agentmain的动态注入机制对JVM的影响不可避免,可能导致业务性能抖动。
- RASP的故障可能直接影响业务,需关注cpu和执行耗时等指标。
- RASP的升级变更难,因JVM加载Agent后无法更新,需重启业务进程。
- 热更新是美团内部的强诉求,以保障业务安全运行而不影响业务。
- 监控体系建设面临挑战,需及时定位RASP对业务的影响。
- 美团RASP利用Java agent和ASM技术实时分析检测入侵行为。
- RASP的灰度部署和复杂场景兼容性逐步提升,支持多种业务形态。
- RASP的监控指标包括主机注入覆盖率、coredump总数等。
- RASP经过多年的建设,已覆盖绝大多数Java服务,支持多种web容器部署。
- 未来美团计划在新型容器形态支持、低打扰无感接入和监控自动化等方面进行优化。
➡️
