Безопасность приложений

Что вы найдёте на этой странице

• Обзор возможностей Application Security
• Как режимы мониторинга влияют на данные и анализ
• Углубите понимание: видео, руководства, блоги

Dynatrace Application Security обеспечивает защиту в реальном времени и глубокую видимость вашего приложения. Объединяя автоматическое обнаружение уязвимостей, защиту приложений во время выполнения и управление состоянием безопасности, она позволяет командам защищать современные облачные среды с точностью и в масштабе. Ознакомьтесь с обзорами функций, шагами настройки, режимами работы и рекомендациями по использованию.

Начало работы

Dynatrace предоставляет следующие интегрированные возможности Application Security для защиты ваших приложений. Выберите любую, чтобы начать.

Если вы используете классическое лицензирование Dynatrace, обратитесь к эксперту Dynatrace через онлайн-чат, чтобы активировать Application Security перед началом работы.

• Dynatrace Runtime Vulnerability Analytics (RVA): Мгновенно выявляйте критические уязвимости с помощью автоматической оценки рисков и воздействия благодаря глубокому анализу путей доступа к данным и производственному выполнению.
• Dynatrace Runtime Application Protection (RAP): Защищайте приложения в реальном времени, обнаруживая и блокируя атаки с помощью передовых анализа на уровне кода и анализа транзакций.
• Dynatrace Security Posture Management (SPM): Поддерживайте надёжный уровень безопасности путём эффективной оценки, приоритизации и устранения неправильных конфигураций и нарушений соответствия требованиям.

Охват режимами мониторинга

Эффективность и глубина анализа Application Security зависят от развёрнутого режима мониторинга. В этом разделе описывается, как каждый режим влияет на сбор и анализ данных.

Dynatrace Security Posture Management (SPM) работает независимо от режимов мониторинга. Подробнее см. в разделе FAQ.

Обзор поддержки

Возможность	Full-Stack	Инфраструктура	Обнаружение
Обнаружение уязвимостей в сторонних компонентах	Зелёный фон с галочкой	ограниченно	ограниченно
Обнаружение уязвимостей на уровне кода	Зелёный фон с галочкой	ограниченно	ограниченно
Runtime Application Protection	Зелёный фон с галочкой	Зелёный фон с галочкой	Зелёный фон с галочкой

Доступность в публичном интернете

На хостах Linux при отсутствии информации — что может происходить в различных режимах мониторинга или при возникновении ошибок — доступность в публичном интернете определяется через eBPF. Возможные состояния: Public network (Публичная сеть) и Not detected (Не обнаружено). Dynatrace Security Score не зависит ни от одного из этих состояний.

Режим мониторинга Full-Stack

Рекомендуется

Режим мониторинга Full-Stack обеспечивает полный мониторинг производительности приложений, видимость на уровне кода, глубокий мониторинг процессов и мониторинг инфраструктуры (включая платформы PaaS).

Режим мониторинга инфраструктуры

Режим мониторинга инфраструктуры, при котором OneAgent настроен на мониторинг физической и виртуальной инфраструктуры, обеспечивает менее полный мониторинг по сравнению с режимом Full-Stack. Предоставляются следующие функциональные возможности:

• Системные метрики (использование CPU, памяти, дискового пространства)
• Обнаружение уязвимостей в сторонних компонентах
• Обнаружение уязвимостей на уровне кода
• Runtime Application Protection

Характеристики

Уязвимости в сторонних компонентах

Уязвимости на уровне кода

Атаки

Уязвимости в сторонних компонентах

Уязвимости на уровне кода

Атаки

• В развёртывании с режимом мониторинга инфраструктуры Dynatrace Intelligence не может адаптировать Dynatrace Security Score. В этом случае значение риска уязвимости не может быть пересмотрено, так как это возможно только на основе информации о топологии, извлечённой из вашей среды, и DSS будет равен базовому показателю CVSS.

• Режим мониторинга инфраструктуры не содержит информации об окружающей среде, такой как доступные ресурсы данных или доступность в публичном интернете, и ограничивает информацию о связанных объектах, например, базах данных и сервисах. Полная оценка возможна только для уязвимостей, у которых все связанные хосты находятся в режиме Full-Stack Monitoring.

• Если связанные хосты работают в режиме мониторинга инфраструктуры, OneAgent'ы передают недостаточно данных для анализа наличия уязвимости или затронутых конфиденциальных данных, поэтому для доступности в публичном интернете и достижимых ресурсов данных устанавливается значение Not available (Недоступно).

• Если все связанные хосты работают в режиме Full-Stack Monitoring, кроме одного в режиме мониторинга инфраструктуры, и уязвимость не раскрыта и не затронута (исходя из хостов в режиме Full-Stack), значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available. Однако если хотя бы один связанный хост работает в режиме Full-Stack Monitoring и уязвимость раскрыта или затронута, функции доступности в публичном интернете и достижимых ресурсов данных отображаются.
• В режиме мониторинга инфраструктуры поддерживается информация об уязвимых функциях.

Режим мониторинга инфраструктуры не содержит информации об окружающей среде, такой как доступные ресурсы данных или доступность в публичном интернете, и ограничивает информацию о связанных объектах, например, базах данных и сервисах. Полная оценка возможна только для уязвимостей, у которых все связанные хосты находятся в режиме Full-Stack Monitoring.

• Если связанные хосты работают в режиме мониторинга инфраструктуры, OneAgent'ы передают недостаточно данных для анализа наличия уязвимости или затронутых конфиденциальных данных, поэтому для доступности в публичном интернете и достижимых ресурсов данных устанавливается значение Not available.
• Если все связанные хосты работают в режиме Full-Stack, кроме одного в режиме мониторинга инфраструктуры, и уязвимость не раскрыта и не затронута (исходя из хостов в режиме Full-Stack), значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available. Однако если хотя бы один связанный хост работает в режиме Full-Stack и уязвимость раскрыта или затронута, функции доступности в публичном интернете и достижимых ресурсов данных отображаются.

Те же возможности, что и в режиме Full-Stack Monitoring.

Потребление

• Если вы используете модель лицензирования Dynatrace Platform Subscription (DPS), the licensing model for all Dynatrace capabilities."), см. Мониторинг хостов (DPS): Infrastructure Monitoring.
• Если вы используете классическое лицензирование Dynatrace, см. Мониторинг приложений и инфраструктуры (Host Units).

Режим обнаружения

Режим обнаружения — это облегчённый режим мониторинга, обеспечивающий базовый мониторинг. Предоставляются следующие функциональные возможности:

• Системные метрики (использование CPU, памяти, дискового пространства)
• Обнаружение уязвимостей в сторонних компонентах
• Обнаружение уязвимостей на уровне кода
• Runtime Application Protection

Для работы Application Security в режиме обнаружения после включения режима обнаружения также необходимо включить внедрение кодового модуля.

Характеристики

Уязвимости в сторонних компонентах

Уязвимости на уровне кода

Атаки

Уязвимости в сторонних компонентах

Уязвимости на уровне кода

Атаки

• В развёртывании с режимом обнаружения Dynatrace Intelligence не может адаптировать Dynatrace Security Score. В этом случае значение риска уязвимости не может быть пересмотрено, так как это возможно только на основе информации о топологии, извлечённой из вашей среды, и DSS будет равен базовому показателю CVSS.

• Режим обнаружения не содержит информации об окружающей среде, такой как доступные ресурсы данных или доступность в публичном интернете, и ограничивает информацию о связанных объектах, например, базах данных и сервисах. Полная оценка возможна только для уязвимостей, у которых все связанные хосты находятся в режиме Full-Stack Monitoring.

• Если связанные хосты работают в режиме обнаружения, OneAgent'ы передают недостаточно данных для анализа наличия уязвимости или затронутых конфиденциальных данных, поэтому значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available.

• Если все связанные хосты работают в режиме Full-Stack Monitoring, кроме одного в режиме обнаружения, и уязвимость не раскрыта и не затронута (исходя из хостов в режиме Full-Stack Monitoring), значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available. Однако если хотя бы один связанный хост работает в режиме Full-Stack Monitoring и уязвимость раскрыта или затронута, функции доступности в публичном интернете и достижимых ресурсов данных отображаются.

Исключение

Доступность в публичном интернете определяется на хостах Linux, работающих в режиме обнаружения, через eBPF. Возможные состояния: Public network и Not detected. Dynatrace Security Score не зависит ни от одного из этих состояний. * В режиме обнаружения поддерживается информация об уязвимых функциях.

Режим обнаружения не содержит информации об окружающей среде, такой как доступные ресурсы данных или доступность в публичном интернете, и ограничивает информацию о связанных объектах, например, базах данных и сервисах. Полная оценка возможна только для уязвимостей, у которых все связанные хосты находятся в режиме Full-Stack Monitoring.

• Если связанные хосты работают в режиме обнаружения, OneAgent'ы передают недостаточно данных для анализа наличия уязвимости или затронутых конфиденциальных данных, поэтому значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available.
• Если все связанные хосты работают в режиме Full-Stack Monitoring, кроме одного в режиме обнаружения, и уязвимость не раскрыта и не затронута (исходя из хостов в режиме Full-Stack Monitoring), значения для доступности в публичном интернете и достижимых ресурсов данных устанавливаются как Not available. Однако если хотя бы один связанный хост работает в режиме Full-Stack Monitoring и уязвимость раскрыта или затронута, функции доступности в публичном интернете и достижимых ресурсов данных отображаются.

Исключение

Доступность в публичном интернете определяется на хостах Linux, работающих в режиме обнаружения, через eBPF. Возможные состояния: Public network и Not detected. Dynatrace Security Score не зависит ни от одного из этих состояний.

Те же возможности, что и в режиме Full-Stack Monitoring.

Потребление

Режим обнаружения доступен только для модели лицензирования Dynatrace Platform Subscription (DPS), the licensing model for all Dynatrace capabilities.").

Информацию о потреблении при мониторинге см. в разделе Мониторинг хостов (DPS): Foundation & Discovery.

Дополнительные ресурсы

Изучите дополнительную документацию, чтобы углубить понимание и максимально использовать возможности Dynatrace Application Security.

Видео

Учебные курсы Dynatrace University

Блоги

FAQ

Видео

Учебные курсы Dynatrace University

Блоги

FAQ

• Что такое Dynatrace и как начать работу:

Что такое Dynatrace и как начать работу * Повышение уровня безопасности с Dynatrace Anomaly Detection:

Повышение уровня безопасности с Dynatrace Anomaly Detection * Unguard — площадка для тестирования безопасности приложений с открытым исходным кодом:

Unguard: площадка для тестирования безопасности приложений с открытым исходным кодом * Обнаружение уязвимостей и автоматическая оценка рисков с Dynatrace Application Security:

Обнаружение уязвимостей и автоматическая оценка рисков с Dynatrace AppSec * Устранение уязвимостей наподобие Log4Shell с помощью Dynatrace:

Устранение уязвимостей наподобие Log4Shell с помощью Dynatrace * Защита приложений от атак:

Защита приложений от атак * Как обеспечить гиперстабильную облачную безопасность с Dynatrace:

Как обеспечить гиперстабильную облачную безопасность с Dynatrace

• Введение в концепции Application Security
• Обзор Dynatrace Application Security
• Активация Application Security
• Включение Runtime Vulnerability Analytics
• Автоматизация и упрощение Application Security с Dynatrace
• Настройка уведомлений безопасности
• Runtime Application Protection
• Управление уязвимостями на уровне кода

• Кейс Application Security: log4j

• Представляем ленту уязвимостей Dynatrace: точная, прозрачная и учитывающая угрозы

• Устранение CVE-2025-3248: как Dynatrace Application Security защищает агентские AI-приложения
• Безопасность цепочки поставок: как обнаружить вредоносные программные пакеты с помощью Dynatrace
• Основы безопасности Kubernetes: Неправильные конфигурации контейнеров — от теории к эксплуатации
• Платформа третьего поколения Dynatrace: создана для мира автономного интеллекта
• Революция в облачной безопасности с контекстом наблюдаемости: Dynatrace Cloud Security и CADR
• Расширение возможностей SRE с помощью аналитики уязвимостей во время выполнения и управления состоянием безопасности
• Dynatrace запускает мониторинг уязвимостей Python для повышения безопасности клиентов
• Интеграция Snyk для Dynatrace: соединение разработки и среды выполнения с действенными уведомлениями безопасности
• Обнаружение угроз в нативных облачных средах: обнаружение подозрительного поведения сервисных аккаунтов Kubernetes
• Обнаружение угроз в нативных облачных средах (часть 2): как автоматизировать управление угрозами с помощью рабочих процессов
• Возвращение к Spring4Shell: как Cloud Application Detection and Response (CADR) обеспечивает многоуровневую защиту
• Основы безопасности Kubernetes: пути атак через неправильные конфигурации Kubernetes и стратегии смягчения
• Основы безопасности Kubernetes: понимание неправильных конфигураций безопасности Kubernetes
• Балансировка безопасности и производительности с бизнес-целями через наблюдаемость
• Анонс защиты Java SSRF в Dynatrace Application Security
• Уязвимость NGINX: быстрое обнаружение и устранение уязвимостей IngressNightmare с помощью Dynatrace
• Откройте для себя новый опыт работы с Dynatrace Runtime Vulnerability Analytics
• Новые требования к непрерывному соответствию требованиям обусловливают необходимость конвергенции наблюдаемости и безопасности
• Что такое мониторинг безопасности приложений
• Реагирование на инциденты безопасности с помощью автоматизации Dynatrace
• Автоматизация DevSecOps повышает безопасность приложений в мультиоблачных средах
• Управление уязвимостями vs управление доступностью: предотвращение атак с помощью надёжной стратегии кибербезопасности
• Контекстно-зависимое реагирование на инциденты безопасности с Dynatrace Automations и Tetragon
• Лучшие практики построения надёжной модели зрелости DevSecOps
• Защита организации от уязвимостей нулевого дня
• Находите уязвимости в вашем коде — не ждите, пока их кто-то эксплуатирует
• Покрытие жизненного цикла DevSecOps Dynatrace со Snyk устраняет слепые зоны в безопасности
• Что такое безопасность приложений? И почему нужен новый подход

FAQ по Application Security

По статьям для решения проблем, связанных с Application Security, посетите Сообщество Dynatrace.

Связанные темы

• Application Security
• eBook по облачной безопасности приложений