Rasp技术介绍与实现（一）

From: Rasp技术介绍与实现（一）

RASP（Runtime application self-protection）运行时应用自我保护。Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势，并将其定义为:

RSAP将自身注入到应用程序中，与应用程序融为一体，实时监测、阻断攻击，使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改，只需进行简单的配置即可。

RASP不但能够对应用进行基础安全防护，由于一些攻击造成的应用程序调用栈调用栈具有相似性，还能够对0day进行一定的防护。

除此之外，利用RASP也能够对应用打虚拟补丁，修复官方未修复的漏洞。或者对应用的运行状态进行监控，进行日志采集。

传统的WAF主要通过分析流量中的特征过滤攻击请求，并拦截携带有攻击特征的请求。WAF虽然可以有效个过滤出绝大多数恶意请求，但是不知道应用运行时的上下文，必然会造成一定程度的误报。并且WAF严重依赖于特征库，各种花式绕过，导致特征编写很难以不变应万变。

RASP的不同就在于运行在应用之中，与应用融为一体，可以获取到应用运行时的上下文，根据运行时上下文或者敏感 *** 作，对攻击进行精准的识别或拦截。于此同时，由于RASP运行在应用之中，只要检测点选取合理，获取到的payload已经是解码过的真实payload，可以减少由于WAF规则的不完善导致的漏报。

虽然RASP拥有WAF所不具有的一些优势，但是否能够代替WAF还有待商榷。毕竟WAF是成熟、快速、可以大规模部署的安全产品。两者相互补充，将WAF作为应用外围的防线，RASP作为应用自身的安全防护，确保对攻击的有效拦截。

注入应用中的RASP虽然带来了获取应用运行时上下文的优势，但也带来了一定的缺陷：性能消耗。应用自身在进行常规运算的同时进行了一定的安全运算，造成了一定的性能消耗。不过根据Gartner 分析师的统计，RASP带来的性能消耗在5%~10%之间，在一定程度上仍然是可以接受的。

除此之外，由于RASP需要运行在应用中，不能像WAF一样在流量入口统一部署。需要根据应用开发的技术不同使用不同的RASP。比如.net应用与java应用需要不同的RASP产品，增加了部署成本。

下篇 http://xbear.me/2016/11/21/Rasp%E6%8A%80%E6%9C%AF%E4%BB%8B%E7%BB%8D%E4%B8%8E%E5%AE%9E%E7%8E%B0%EF%BC%88%E4%BA%8C%EF%BC%89/

容器安全的防护包括：1、软件安全。大量的开源组件和软件，如何保证所有的软件都是安全的；2、网络防火墙。容器的横向扩缩容和重启后的 IP 和宿主机漂移，网络防火墙是否有效；3、镜像漏洞。作为容器的核心组件、容器镜像存在的大量漏洞和威胁，如何进行扫描和修复；4、漏洞修复。Docker 技术和 Kubernetes 技术本身较新，本身存在的漏洞如何防护；5、主机安全。容器是构建于物理机和虚拟机之上，是否对宿主机的安全提出了新的需求。

面对这些防护痛点，HC-CSP容器安全平台可一一解决，如针对容器宿主机、容器自身、以及 kubernetes 容器调度系统进行基线检测；对容器镜像进行漏洞扫描、恶意文件扫描以及自定义规则扫描等等。

---