美团RASP大规模研发部署实践总结
💡
原文中文,约13300字,阅读约需32分钟。
📝
内容提要
RASP是一种应用程序安全技术,能够在应用程序运行时检测并阻止应用级别的攻击。美团选择了agentmain方式来实现快速部署,通过优化措施减小了对业务性能的影响。插件热更新和热修复解决了RASP的升级和更新挑战。美团RASP具备高覆盖率、低性能影响和兼容性等优点。未来规划包括支持新型容器形态、低打扰无感接入和管控、监控自动化。
🎯
关键要点
- RASP是一种应用程序安全技术,能够在应用程序运行时检测并阻止应用级别的攻击。
- 美团选择了agentmain方式来实现快速部署,减少对业务性能的影响。
- 插件热更新和热修复解决了RASP的升级和更新挑战。
- 美团RASP具备高覆盖率、低性能影响和兼容性等优点。
- 未来规划包括支持新型容器形态、低打扰无感接入和管控、监控自动化。
- RASP的部署形式有agentmain和premain两种方式,各有优劣。
- 美团的RASP建设面临复杂的业务场景和多种发布平台的挑战。
- agentmain方式虽然支持热插拔,但会对业务性能产生影响。
- RASP的动态注入机制对JVM的影响不可避免,可能导致性能抖动。
- RASP的升级变更难,依赖于业务进程的重启时机。
- 热更新是美团内部安全部门的强烈需求,以保障业务安全运行。
- 监控体系建设是RASP的重要组成部分,需及时感知和处理故障。
- 美团RASP通过ASM技术实时分析检测命令执行、文件访问等入侵行为。
- RASP的架构经过多年的迭代,逐渐形成目前的系统。
- RASP的运行时注入与更新机制解决了首次注入不依赖业务重启的问题。
- RASP采用agentmain与premain结合方式,平衡灵活性与性能。
- 监控指标包括主机注入覆盖率、coredump总数、TP9999等。
- RASP的性能影响较小,整体性能与开源RASP相当。
- 美团RASP支持多种漏洞检测类型,基本覆盖常见漏洞。
- 美团RASP的检测引擎使用Java实现,性能优越于JavaScript引擎。
➡️
