概述
全流量检测与响应(NDR)新增加密流量检测能力 ,支持对云服务器(CVM)资产的加密流量(如 HTTPS / TLS)进行解析与检测,全面提升对全流量的可视性及威胁检测能力。当前为公测版本,仅限受邀用户使用。非受邀用户如果想体验此功能,可 提交工单 申请体验。用户可通过本章内容了解该功能的配置与使用方法。
前提条件
用户需通过安全组规则配置,授权探针对网络流量的采集权限,以满足全流量检测与响应的数据输入要求。
方法一:企业安全组配置
2. 在企业安全组页面, 单击 IPv4 > 添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
访问源 IP 地址 | 0.0.0.0/0 |
访问目的 IP 地址 | 9.9.9.199 |
目的端口 | 47891,47892,47893 |
协议类型 | UDP |
策略 | 允许 |
描述 | NDR 放通规则 |
3. 单击保存,规则将下发至关联实例。
方法二:单实例配置
1. 登录 云服务器控制台,选择实例。
2. 在实例页面,单击需开启加密流量检测的实例名称。
3. 在实例详情页面,选择安全组,单击已绑定安全组的安全组ID/名称。
4. 单击添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
类型 | 自定义 |
目标 | 9.9.9.199 |
协议端口 | UDP: 47891,47892,47893 |
策略 | 允许 |
备注 | NDR 放通规则 |
5. 单击确定,规则将下发至关联实例。
适用范围与能力说明
内核版本兼容性
Linux 内核版本 | 适用 | 不适用 |
低于4.18 | Curl 命令 Python 3.8.15 版本及以上 | OpenSSL 动态库 Java 程序 Golang 程序 |
大于等于4.18 | OpenSSL 动态库 Curl 命令 Python 3.8.15 版本及以上 GnuTLS 动态库 | Java 程序 Golang 程序 |
具体解密能力
协议兼容性:HTTPS、SMTPS、FTPS。
算法支持:TLS1.2/1.3(RSA、ECDHE、DHE)。
长度:支持解密的单条加密流量报文长度上限为64K。
性能:10Gbps(支持动态扩容)。
资源占用
CVM 加密流量检测
在每秒 100 次新建 HTTPS 会话的流量压力下,加密流量检测 Agent 的资源占用情况如下:
CPU 占用:持续以每秒 100 次新建 HTTPS 会话的速率运行时,单核 CPU 占用率约为 10%;最高支持 60% 占用率,对应约每秒 600 次新建 HTTPS 会话。
内存占用:初始化占用100MB,随新建 HTTPS 会话数量增加而提升,最大占用至 500MB。
当 CPU 或内存超出上述上限时,Agent 自动暂停“加密流量分析”功能(其他基础功能不受影响,Agent 不会对现有业务连接造成中断,但不会生成新的加密流量分析结果,直至资源恢复),每 10 分钟自动尝试恢复分析;若恢复后仍超限,将继续暂停,直至资源回落至阈值以内。
容器加密流量检测
开启容器解密功能后,系统会在对应容器服务的工作负载 > DaemonSet 中创建用于加密流量检测的 Agent Pod,其资源占用限制如下:
整体限制:单个 Agent Pod 最大占用单核 CPU 的 50%,内存 500MB。
运行特性:
每个开启加密流量检测的节点会独立创建对应的 Agent Pod,该 Pod 的运行不会影响同一节点上其他业务 Pod 的正常运行。
容器服务平台会对 DaemonSet Pod 的 CPU 和内存占用进行强制限制。若 Pod 的资源使用仍超出限制(如因异常情况突破 50% CPU 或 500MB 内存),平台将自动销毁该 Pod 并重建新的实例,此过程不会影响同一节点上的其他业务 Pod。
开启加密流量检测
单个 CVM 资产
在 CVM 资产列表中,系统为 CVM 资产类型新增了 “加密流量检测”操作列 ,您可通过该列的 “检测” 或 “不检测” 选项,灵活控制单台资产的加密流量检测状态:
当您选择检测时:终端探针一键快速部署 ,无需手动安装,系统自动完成配置。系统将针对该 CVM资产启用加密流量检测功能,此时页面会展示实时检测状态 ,具体分为以下几种情况:
无提示(正常状态):未弹出异常提示时,表示加密流量检测运行正常。系统已自动在您的 CVM节点部署终端探针 Agent ,该探针会解密该资产的 HTTPS / TLS 加密流量 ,并将解密后的明文流量纳入全流量检测与响应(NDR) 分析范围。
红色警示(异常状态):若检测功能出现异常,页面会显示 红色警示图标及异常信息 ,提示当前检测不可用。异常信息及指引包括:
灰色提示(功能关闭状态):当全流量检测与响应(NDR)的主开关关闭时,加密流量检测功能自动停止,该资产仅检测明文传输流量 。
当您选择不检测时:系统将不对该 CVM 资产启用加密流量检测 ,仅基于明文流量执行常规检测。
多个 CVM 资产
1. 若您需要对所有 CVM 资产统一配置加密流量检测状态,可通过更多操作快速实现:
全部检测加密流量:系统将自动在所有 CVM 资产上部署终端探针,解密这些资产的 HTTPS / TLS 加密流量 ,并将解密后的流量纳入全流量检测与响应(NDR)分析范围。
全部不检测加密流量:所有 CVM 资产的终端探针将 停止解密加密流量 ,仅基于明文传输流量执行常规检测。
2. 若您只需对部分 CVM 资产统一配置加密流量检测状态,可通过以下步骤操作:
2.1 在 CVM 资产列表中,单击更多操作。
2.2 勾选需要配置的 CVM 资产 (支持多选)。
2.3 选择批量操作:
批量检测加密流量:系统将为选中的 CVM 资产自动部署终端探针,解密其 HTTPS /TLS 加密流量并纳入 NDR 分析。
批量不检测加密流量:选中的 CVM 资产的终端探针将停止解密加密流量,仅检测明文流量。
3. 若您需要对新资产进行加密流量检测配置,可参考 全流量检测与响应开关。
状态监控
系统在状态监控模块中新增了加密流量专项统计面板,帮助您实时掌握当前加密流量检测的运行状态与整体规模,核心监控指标包括以下三项:
加密流量累计解析量:统计已解析的加密流量总量。
加密监测资产实例数量:显示当前启用加密流量检测的 CVM 资产数量。
加密流量累计趋势图:展示近七天加密流量解析量的动态变化趋势。
加密协议流量日志
在日志审计 > 全流量检测与响应日志 > 流量分析日志 或 流量告警日志页面,针对 HTTPS、SMTPS、FTPS 等加密协议的流量日志,会先将其还原出明文内容(如请求头、响应体等字段),并在旁边标注解密检测;您还可通过勾选只看解密检测选项,快速筛选查看所有加密流量检测相关日志。
