概述
全流量检测与响应(NDR)新增加密流量检测能力,支持对云服务器(CVM)资产、容器资产和公网流量 GAAP 资产的加密流量(如 HTTPS / TLS)进行解析与检测,全面提升对全流量的可视性及威胁检测能力。可通过本文了解该功能的配置与使用方法。
说明:
前提条件
需通过安全组规则配置,授权探针对网络流量的采集权限,以满足全流量检测与响应的数据输入要求。
目标资产需已安装并启用自动化助手(TAT)或主机安全 Agent,以确保系统能够通过可用通道自动部署终端探针。
说明:
系统优先通过 TAT 通道部署终端探针,若 TAT 不可用则自动降级至主机通道完成安装。若两种通道均不可用,页面将展示横幅提示,告知当前实例不满足 Agent 安装条件。
方法一:企业安全组配置
2. 在企业安全组页面, 单击 IPv4 > 添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
访问源 IP 地址 | 0.0.0.0/0 |
访问目的 IP 地址 | 9.9.9.199 |
目的端口 | 47891,47892,47893 |
协议类型 | UDP |
策略 | 允许 |
描述 | NDR 放通规则 |
3. 单击保存,规则将下发至关联实例。
方法二:单实例配置
1. 登录 云服务器控制台,选择实例。
2. 在实例页面,单击需开启加密流量检测的实例名称。
3. 在实例详情页面,选择安全组,单击已绑定安全组的安全组 ID/名称。
4. 单击添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
类型 | 自定义 |
目标 | 9.9.9.199 |
协议端口 | UDP: 47891,47892,47893 |
策略 | 允许 |
备注 | NDR 放通规则 |
5. 单击确定,规则将下发至关联实例。
规格说明
规格说明包含了加密流量检测适用范围与能力、资源占用情况。
说明:
CVM 资产与容器资产的规格主要指主机与集群资源;GAAP 资产的规格则指其加速实例的性能指标。
查看规格说明
1. 登录 云防火墙控制台,在左侧导航栏中,单击全流量检测与响应。
2. 在全流量检测与响应页面,单击查看适用范围与能力、资源占用情况,在侧边窗查看详细的适用范围与能力、资源占用情况。
内核版本兼容性
Linux 内核版本 | 适用 | 不适用 |
低于4.18 | Curl 命令 Python 3.8.15 版本及以上 | OpenSSL 动态库 Java 程序 Golang 程序 |
大于等于4.18 | OpenSSL 动态库 Curl 命令 Python 3.8.15 版本及以上 GnuTLS 动态库 | Java 程序 Golang 程序 |
具体解密能力
协议兼容性:HTTPS、SMTPS、FTPS。
算法支持:TLS1.2/1.3(RSA、ECDHE、DHE)。
长度:支持解密的单条加密流量报文长度上限为64K。
性能:10Gbps(支持动态扩容)。
资源占用
CVM 与 GAAP 加密流量检测
资源占用:在每秒 100 次新建 HTTPS 会话的流量压力下,加密流量检测 Agent 的资源占用情况如下所示。
CPU 占用:持续以每秒 100 次新建 HTTPS 会话的速率运行时,单核 CPU 占用率约为 10%;最高支持 60% 占用率,对应约每秒 600 次新建 HTTPS 会话。
内存占用:初始化占用 100 MB,随新建 HTTPS 会话数量增加而提升,最大占用至 500 MB。
超限暂停:
触发条件:当 CPU 或内存超出上限时,Agent 自动暂停加密流量分析功能。
影响范围:其他基础功能不受影响,Agent 不会对现有业务连接造成中断,但不会生成新的加密流量分析结果。
恢复机制:每10分钟自动尝试恢复分析;若恢复后仍超限,将继续暂停,直至资源回落至阈值以内。
容器加密流量检测
开启容器解密功能后,系统会在对应容器服务的工作负载 > DaemonSet 中创建用于加密流量检测的 Agent Pod,其资源占用限制如下:
整体限制:单个 Agent Pod 最大占用单核 CPU 的 50%,内存 500 MB。
CPU 占用:
每个开启加密流量检测的节点会独立创建对应的 Agent Pod,该 Pod 的运行不会影响同一节点上其他业务 Pod 的正常运行;
容器服务平台会对 DaemonSet Pod 的 CPU 和内存占用进行强制限制。若 Pod 的资源使用仍超出限制(如因异常情况突破 50% CPU 或 500 MB 内存),平台将自动销毁该 Pod 并重建新的实例,此过程不会影响同一节点上的其他业务 Pod。
开启加密流量检测
说明:
以 CVM 资产为例,进行相关操作说明,其他资产操作同理。
需先开启 NDR 开关后,才可开启加密流量检测。未开启 NDR 开关时,鼠标悬停在加密流量检测开关上会提示"请先开启 NDR 采集后,再开启加密流量检测"。开启 NDR 开关详情请参见 全流量检测与响应开关。
前置检查
在开启加密流量检测前,系统会自动拉取并校验账号、地域、实例、网络、配额、带宽、Agent、容器权限等状态,并根据校验结果将资产分为以下三种状态:
可开启:所有检查项均通过,可正常开启加密流量检测。
可开启(有风险):存在一定风险(如带宽余量不足),但仍可开启,系统会展示风险提示信息。
不可开启:存在阻断性问题(如地域不支持、操作系统不兼容、配额不足等),需根据引导解决所有问题后才可开启。
检查维度 | 检查方式 | 检查内容 |
区域与产品可用性 | 预先检查 | 地域是否支持流量分析服务 |
资源存在性与基础信息 | 预先检查 / 触发检查 | 实例子网 ID 有效、实例无冲突镜像绑定 |
实例与操作系统兼容性 | 预先检查 | 实例机型是否支持镜像模式;操作系统是否在支持列表 |
网络与带宽健康度 | 触发检查 | 实例实时带宽与阈值;账户购买的带宽上限 |
配额与资源上限 | 预先检查 | 实例开启数量上限 |
容器场景与权限 | 预先检查 | 容器集群 KubeConfig 访问权限;DaemonSet 状态与 Pod 健康 |
账号与白名单 | 预先检查 | 是否已开通 VPC 流量镜像白名单 |
实例终端自动化助手 / Agent 状态 | 预先检查 | 是否已安装终端自动化助手 |
说明:
预先检查:系统每 5 分钟自动检测一次资产是否满足开启条件。
触发检查:用户选择资产后开启 NDR 开关或加密流量检测开关时触发校验,校验完成后同步更新前置检测状态。
单个 CVM 资产
在 全流量检测与响应 页面,单击操作列中的开启加密流量,系统将针对该 CVM 资产启用加密流量检测功能,并自动部署终端探针。部署时优先通过 TAT 通道下发安装命令,若 TAT 通道不可用,则自动降级至主机通道完成安装,无需手动干预。开启后页面会展示实时检测状态,具体的状态说明详情请参见 资产状态说明。
说明:
在操作列中关闭对应的开关即可停止该 CVM 资产的加密流量检测,系统将不再对该资产执行加密流量解密,仅基于明文流量执行常规检测。
多个 CVM 资产
在 全流量检测与响应 > CVM 页面,单击更多操作 > 全部检测加密流量或更多操作 > 全部不检测加密流量,可开启或关闭所有 CVM 资产的加密流量检测开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
若只需对部分 CVM 资产开启或关闭加密流量检测开关,可通过以下步骤操作:
1.1 勾选需要配置的 CVM 资产。
说明:
1.2 单击更多操作,选择批量检测加密流量或批量不检测加密流量。
若需要对新资产进行加密流量检测配置,可参考 全流量检测与响应-基础设置。
资产状态说明
在 CVM 资产列表中,系统通过加密流量检测状态列展示资产的实时运行状态:
状态列 | 可能的状态值 | 说明 |
加密流量检测状态 | 已开启、已关闭、自动关闭、关闭中、开启中、开启失败、可开启-有风险、不可开启、终端 Agent 装载异常、终端 Agent 异常 | 展示加密流量检测的开启状态及异常情况。 |
当状态为异常时(如开启失败、不可开启、终端 Agent 异常等),页面会显示红色警示图标及异常信息 ,提示当前检测不可用。鼠标悬停在状态上可查看具体原因和操作指引,异常信息及指引包括:
状态监控
系统在状态监控模块中新增了加密流量专项统计面板,帮助实时掌握当前加密流量检测的运行状态与整体规模,核心监控指标包括以下三项:
加密流量累计解析量:统计已解析的加密流量总量。
加密检测资产实例数量:显示当前启用加密流量检测的 CVM 资产数量。
加密流量累计趋势图:展示近七天加密流量解析量的动态变化趋势。
加密协议流量日志
在日志审计 > 全流量检测与响应日志 > 流量分析日志 或 流量告警日志页面,针对 HTTPS、SMTPS、FTPS 等加密协议的流量日志,会先将其还原出明文内容(如请求头、响应体等字段),并在旁边标注解密检测;还可通过勾选只看解密检测选项,快速筛选查看所有加密流量检测相关日志。
